почитал про portsentry

Проблемы установки, настройки и работы Правильной Операционной Системы

Модератор: terminus

Правила форума
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Аватара пользователя
dvg_lab
сержант
Сообщения: 291
Зарегистрирован: 2007-07-02 22:51:25
Откуда: Москва

почитал про portsentry

Непрочитанное сообщение dvg_lab » 2007-07-29 21:48:11

в приципе штука интересная и нужная, но как у нее самой с безопасностью? ато работает она под рутом что меня лично напрягает. Помню одно время в snort дыры находили, не знаю как сейчас с этим, но именно это меня останавливает от установки этих прог. Может все уже стало хорошо с безопасностью и можно ставить?

PS: Кстати кетайцев можно просто целыми сетями в файер на гейте заносить, все равно от них только одни траблы. Лежит у меня fetch_cino_cidr.sh надо бы его на файер натравить, ато сейчас только к антиспаму прикручен...
FreeBSD the power to serve.

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2460 рублей (8 CPU, 8Gb RAM, 2x500Gb HDD, RAID 3ware 9750):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35071
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Re: почитал про portsentry

Непрочитанное сообщение Alex Keda » 2007-07-29 22:15:09

после того, как оно меня самого залочило пару раз, я завязал с этими играми.
пусть сканят...
Убей их всех! Бог потом рассортирует...

Аватара пользователя
dvg_lab
сержант
Сообщения: 291
Зарегистрирован: 2007-07-02 22:51:25
Откуда: Москва

Re: почитал про portsentry

Непрочитанное сообщение dvg_lab » 2007-07-30 8:46:23

значит в топку ево... в принципе за 3 года мои серваки еще ни разу не ломали, так что пусть сканят... действительно...
FreeBSD the power to serve.

Аватара пользователя
stomotolog
рядовой
Сообщения: 29
Зарегистрирован: 2007-07-27 8:57:57
Откуда: Италия

Re: почитал про portsentry

Непрочитанное сообщение stomotolog » 2007-07-30 15:50:51

Добрый день!
Вот в таком вот случае под себя необходимо писать демоны, которые следят за сканированием!
А не бросать всё на произвол....!!! А СЕБЯ просто в ЭТОМ ДЕМОНЕ исклоючить как класс (чтобы не блокировало)!! ТЫ же рулишь демоном (а себе отчётики на почту присылать по мылу)!
Можно и демоном складывать всё в МУСКУЛ а там ВЕБ-МОРДУ прикрутить и будет тебе красивости и отчётности!!! :-)
ТОко время на это необхоимо!
С Уважением!!!
Кощеи бессмертны - пока Иванушки дураки!

arkan
ст. прапорщик
Сообщения: 559
Зарегистрирован: 2008-08-03 19:58:13
Откуда: Новосибирск
Контактная информация:

Re: почитал про portsentry

Непрочитанное сообщение arkan » 2013-01-16 7:03:47

Народ а ни кто так и не разобрался зачем portsentry сам по себе открывает любой порт по своему вкусу типа 10000,10107,10124,10125,10126,10127,10128,10129 и так далее
ну прям вообще фантастика
Может разрабам пора написать спросить в чем дело ?

arkan
ст. прапорщик
Сообщения: 559
Зарегистрирован: 2008-08-03 19:58:13
Откуда: Новосибирск
Контактная информация:

Re: почитал про portsentry

Непрочитанное сообщение arkan » 2013-01-16 7:09:48

Ради интереса забанил на фаере и получил в логе
Deny TCP 192.168.1.1:53 192.168.1.201:10129 in via alc0

Аватара пользователя
kharkov_max
капитан
Сообщения: 1790
Зарегистрирован: 2008-10-03 14:56:40

Re: почитал про portsentry

Непрочитанное сообщение kharkov_max » 2013-01-23 21:57:16

arkan писал(а):Народ а ни кто так и не разобрался зачем portsentry сам по себе открывает любой порт по своему вкусу типа 10000,10107,10124,10125,10126,10127,10128,10129 и так далее
ну прям вообще фантастика
Может разрабам пора написать спросить в чем дело ?
Ну так наверное у него в деволтном конфиге эти порты заюзаны, вот и открывает.
Принцип его работы понимаете ?

Как то тоже игрался, поставил - работает без глюков более года.
Исправно банит сканеров, ввиду того что сервер не сильно активный фаер - справляется ...(в таблицах пока не особо много IP до сотни).
На на реально боевых серверах (там где web и т.д.) фаер ляжет от перепонения таблиц забаненых IP ....

arkan
ст. прапорщик
Сообщения: 559
Зарегистрирован: 2008-08-03 19:58:13
Откуда: Новосибирск
Контактная информация:

Re: почитал про portsentry

Непрочитанное сообщение arkan » 2013-01-25 13:24:21

Ни чего в дефолтном конфиге и нет, перепроверил на несколько раз

а конфиг забаненных чистится по крону раз в неделю, там особо для отчистки то и ни чего не надо
/etc/rc.d/ipfw restart
/usr/local/etc/rc.d/portsentry.sh stop
/usr/local/etc/rc.d/portsentry.sh start

так же что то не получилось в конфиг portsentry записать много много портов

Аватара пользователя
kharkov_max
капитан
Сообщения: 1790
Зарегистрирован: 2008-10-03 14:56:40

Re: почитал про portsentry

Непрочитанное сообщение kharkov_max » 2013-01-25 15:22:03

arkan писал(а):Ни чего в дефолтном конфиге и нет, перепроверил на несколько раз

а конфиг забаненных чистится по крону раз в неделю, там особо для отчистки то и ни чего не надо
/etc/rc.d/ipfw restart
/usr/local/etc/rc.d/portsentry.sh stop
/usr/local/etc/rc.d/portsentry.sh start

так же что то не получилось в конфиг portsentry записать много много портов
Для забаненых не нужно перезапускать portsentry, он не банит а только запускает действие add table.
Для очистки в фаере достаточно flush table сделать.

А у меня банится навсегда ))
Таблицы сохраняются скриптом, и загружаются при запуске/перезапуске фаера ipfw.

Много портов не добавите - есть такое т.к. 1 порт 1 процесс portsentry, думаю что 15-20 tcp и 15-20 udp достаточно.
Сканеры обычно начинают с 1го и т.д. вот их и укажите.

И вообще, portsentry вам не забанит всех сканеров, и никто всех не забанит.
Можно предпринять определенное кол-во мер для того что бы уменьшить кол-во сканеров/переборщиков паролей и т.д.
А portsenrty это одна из мер ...

Аватара пользователя
kharkov_max
капитан
Сообщения: 1790
Зарегистрирован: 2008-10-03 14:56:40

Re: почитал про portsentry

Непрочитанное сообщение kharkov_max » 2013-01-25 15:28:17

Посмотрите еще fail2ban, чудесно банит через ipfw переборщиков паролей на ftp, http, mpd и т.д.

Аватара пользователя
Neus
капитан
Сообщения: 1753
Зарегистрирован: 2008-09-08 21:59:56

Re: почитал про portsentry

Непрочитанное сообщение Neus » 2013-01-25 18:52:54

Банить навсегда не интересно :-)
Симантек вот обнаружив сканер или гадский код в трафике от сайта банит айпи на 10 мин.
Можно же складывать айпи в файлик для выявления самых упертых

Аватара пользователя
kharkov_max
капитан
Сообщения: 1790
Зарегистрирован: 2008-10-03 14:56:40

Re: почитал про portsentry

Непрочитанное сообщение kharkov_max » 2013-01-25 21:08:20

В pf можно выводить IP из таблицы через определенное врямя, там вроде есть время добавления в таблицу.
А вот в ipfw вроде как нет ...

На сайте видел статейку как можно юзать таблицы PF в ipfw ...
Собственно можно процесс удаления автоматизировать ...

buzz
проходил мимо

Re: почитал про portsentry

Непрочитанное сообщение buzz » 2013-08-17 13:24:39

Ребята, порт сент ре многое умеет, почитайте про него ... :-)

Аватара пользователя
vintovkin
ВДВ
Сообщения: 1284
Зарегистрирован: 2007-05-11 9:39:11
Откуда: CSKA

Re: почитал про portsentry

Непрочитанное сообщение vintovkin » 2013-08-19 20:45:48

чё за софтина, просвятите!
Junos OS kernel based on FreeBSD UNIX.

Аватара пользователя
kharkov_max
капитан
Сообщения: 1790
Зарегистрирован: 2008-10-03 14:56:40

Re: почитал про portsentry

Непрочитанное сообщение kharkov_max » 2013-08-19 21:23:07

Вешается на различные порты хоста, и мониторит перебор с одного IP, если есть перебор - добавляет IP в таблицу фаера.
На таблицу deny.

Таким образом ловит сканеров портов.