良玉的博客 点点滴滴,积水成河_良玉的博客_页游、手游linux运维工程师之路

psad为触发指定Snort规则的任何IP地址自动设置危险级别的配置/etc/psad/snort_rule_dl

与/etc/psad/auto_dl文件类似,snort_rule_dl文件告诉psad为触发指定Snort规则的任何IP地址自动设置危险级别。这个文件的语法如下所示:

sid          危险级别

如果危险级别为0,那么psad将完全忽略该签名并且不发送任何警报。而一些签名的威胁程度比另一些要更大--如果psad检测到匹配Snort规则ID 1812(gobbles SSH攻击 )的数据包,其潜在的危害要比匹配Snort规则ID 469(ICMP PING NMAP)的大得多。当然,限制Gobbles SSH攻击影响的最好的策略不要运行有漏洞的SSH守护进程,但对这一攻击的检测仍然是非常重要的。可以将匹配Snort规则1812的IP地址危险级别提升为第5级,如下所示:


        1812    5;


标签: psadsnortlinuxIPIDSsnort_rule_dl

作者:良玉 分类:psad 浏览:1033 评论:0
留言列表
发表评论
来宾的头像