почитал про portsentry

[dvg_lab]

в приципе штука интересная и нужная, но как у нее самой с безопасностью? ато работает она под рутом что меня лично напрягает. Помню одно время в snort дыры находили, не знаю как сейчас с этим, но именно это меня останавливает от установки этих прог. Может все уже стало хорошо с безопасностью и можно ставить?

PS: Кстати кетайцев можно просто целыми сетями в файер на гейте заносить, все равно от них только одни траблы. Лежит у меня fetch_cino_cidr.sh надо бы его на файер натравить, ато сейчас только к антиспаму прикручен...

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[Alex Keda]

после того, как оно меня самого залочило пару раз, я завязал с этими играми.
пусть сканят...

[dvg_lab]

значит в топку ево... в принципе за 3 года мои серваки еще ни разу не ломали, так что пусть сканят... действительно...

[stomotolog]

Добрый день!
Вот в таком вот случае под себя необходимо писать демоны, которые следят за сканированием!
А не бросать всё на произвол....!!! А СЕБЯ просто в ЭТОМ ДЕМОНЕ исклоючить как класс (чтобы не блокировало)!! ТЫ же рулишь демоном (а себе отчётики на почту присылать по мылу)!
Можно и демоном складывать всё в МУСКУЛ а там ВЕБ-МОРДУ прикрутить и будет тебе красивости и отчётности!!! :-)
ТОко время на это необхоимо!
С Уважением!!!

[arkan]

Народ а ни кто так и не разобрался зачем portsentry сам по себе открывает любой порт по своему вкусу типа 10000,10107,10124,10125,10126,10127,10128,10129 и так далее
ну прям вообще фантастика
Может разрабам пора написать спросить в чем дело ?

[arkan]

Ради интереса забанил на фаере и получил в логе
Deny TCP 192.168.1.1:53 192.168.1.201:10129 in via alc0

[kharkov_max]

Народ а ни кто так и не разобрался зачем portsentry сам по себе открывает любой порт по своему вкусу типа 10000,10107,10124,10125,10126,10127,10128,10129 и так далее
ну прям вообще фантастика
Может разрабам пора написать спросить в чем дело ?

Ну так наверное у него в деволтном конфиге эти порты заюзаны, вот и открывает.
Принцип его работы понимаете ?

Как то тоже игрался, поставил - работает без глюков более года.
Исправно банит сканеров, ввиду того что сервер не сильно активный фаер - справляется ...(в таблицах пока не особо много IP до сотни).
На на реально боевых серверах (там где web и т.д.) фаер ляжет от перепонения таблиц забаненых IP ....

[arkan]

Ни чего в дефолтном конфиге и нет, перепроверил на несколько раз

а конфиг забаненных чистится по крону раз в неделю, там особо для отчистки то и ни чего не надо
/etc/rc.d/ipfw restart
/usr/local/etc/rc.d/portsentry.sh stop
/usr/local/etc/rc.d/portsentry.sh start

так же что то не получилось в конфиг portsentry записать много много портов

[kharkov_max]

Ни чего в дефолтном конфиге и нет, перепроверил на несколько раз

а конфиг забаненных чистится по крону раз в неделю, там особо для отчистки то и ни чего не надо
/etc/rc.d/ipfw restart
/usr/local/etc/rc.d/portsentry.sh stop
/usr/local/etc/rc.d/portsentry.sh start

так же что то не получилось в конфиг portsentry записать много много портов

Для забаненых не нужно перезапускать portsentry, он не банит а только запускает действие add table.
Для очистки в фаере достаточно flush table сделать.

А у меня банится навсегда ))
Таблицы сохраняются скриптом, и загружаются при запуске/перезапуске фаера ipfw.

Много портов не добавите - есть такое т.к. 1 порт 1 процесс portsentry, думаю что 15-20 tcp и 15-20 udp достаточно.
Сканеры обычно начинают с 1го и т.д. вот их и укажите.

И вообще, portsentry вам не забанит всех сканеров, и никто всех не забанит.
Можно предпринять определенное кол-во мер для того что бы уменьшить кол-во сканеров/переборщиков паролей и т.д.
А portsenrty это одна из мер ...

[kharkov_max]

Посмотрите еще fail2ban, чудесно банит через ipfw переборщиков паролей на ftp, http, mpd и т.д.

[Neus]

Банить навсегда не интересно :-)
Симантек вот обнаружив сканер или гадский код в трафике от сайта банит айпи на 10 мин.
Можно же складывать айпи в файлик для выявления самых упертых

[kharkov_max]

В pf можно выводить IP из таблицы через определенное врямя, там вроде есть время добавления в таблицу.
А вот в ipfw вроде как нет ...

На сайте видел статейку как можно юзать таблицы PF в ipfw ...
Собственно можно процесс удаления автоматизировать ...

[buzz]

Ребята, порт сент ре многое умеет, почитайте про него ... :-)

[vintovkin]

чё за софтина, просвятите!

[kharkov_max]

Вешается на различные порты хоста, и мониторит перебор с одного IP, если есть перебор - добавляет IP в таблицу фаера.
На таблицу deny.

Таким образом ловит сканеров портов.