良玉的博客 点点滴滴,积水成河_良玉的博客_页游、手游linux运维工程师之路

psad使用指纹/etc/psad/pf.os

psad使用来自p0f的操作系统数据库来被动地识别远程操作系统的指纹。psad将该数据库安装为/etc/psad/pf.os文件并在启动时导入它(或者当psad通过kill命令或psad -H命令接收到挂起或HUP信号时导入它)。

阅读全文...

常用的IP选项及其相应的识别号/etc/psad/ip_options

IP通信通常不使用IP首部中的选项部分,但iptables可以使用--log-ip-options命令行参数记录IP选项。如果iptables日志信息包含IP选项,psad将解析这些选项以便发现可疑行为,如源站选路企图。有些Snort规则定义了对IP选项的可疑用法,psad将参考/etc/psad/ip_options文件以便对iptables日志信息中的IP选项进行解码。该文件定义了常用的IP选项及其相应的识别号,其语法格式如下所示:

阅读全文...

psad的黑、白名单/etc/psad/auto_dl


对任何IDS来说,总是存在着误报的可能性。因此,每个IDS都会配备白名单的功能,它可以将某些系统、网络、端口或协议排除在任何检测机制和任何自动回应功能(最重要的)之外。因为某些IP地址或网络还可能是已知的不良行为者,所以IDS还应配备黑名单功能。

阅读全文...

/etc/psad/psad.conf配置详细

所有的psad守护进程都使用/etc/psad/psad.conf配置文件,该文件遵循一个简单的约定:注释行以字符(#)开头,配置参数使用的是键-值格式。例如,psad.conf配置文件中的HOSTNAME变量定义了部署psad的系统主机名:


阅读全文...

标签: psadconf配置

作者:良玉 分类:psad 浏览:838 评论:0

psad的安装

在安装psad之前,需要首先从http://www.cipherdyne.org/psad/download上下载最新版本的psad。在http://www.cipherdyne.org上发布的所有程序(包括psad)都在它们各自的源代码树中捆绑了一个安装程序install.pl。一旦下载了tarball文件,最好同时验证它的MD5 sum和GnuPG签名 。可以在http://www.cipherdyne.org/public_key上找到我的GnuPG公钥。下面显示的是如何针对版本2.0.8执行这些步骤:

install.pl脚本在运行时将提示进行一些输入,包括电子邮件警报将发送给哪个电子邮件地址、目前运行在系统中的syslog守护进程的类型(syslogd、syslog-ng或metalog)、是否要求psad只分析包含特定日志前缀的iptables日志信息,以及是否将日志数据发送到DShield分布式IDS。可以手工输入相应的信息,也可以使用默认值(只需按下回车键),这样很快就将拥有一个可以正常运作的psad了。

阅读全文...

标签: linuxpsad

作者:良玉 分类:psad 浏览:510 评论:0