Configuration
允許對 psad 中的特定地址進行埠掃描
如何在 psad 中啟用特定地址(或範圍)的埠掃描?
預設情況下,我會從自己的監控服務中獲得大量日誌。如何告訴 psad 將我的地址或域視為受信任的地址或域?
我想避免將它們添加到 /etc/hosts.allow 文件中。
這是範例日誌文件消息:
Scanned UDP ports: [36604-53945: 3 packets, Nmap: -sU] iptables chain: INPUT, 3 packets Source: a.b.c.200 DNS: ns3-cache.example.com Destination: a.b.c.185 DNS: my.machine.example.com
要將 IP 或範圍列入白名單,請使用以下
/etc/psad/auto_dl
文件:它具有顯示其功能的範例:
# <IP address> <danger level> <optional protocol>/<optional ports>; # # Examples: # # 10.111.21.23 5; # Very bad IP. # 127.0.0.1 0; # Ignore this IP. # 10.10.1.0/24 0; # Ignore traffic from this entire class C. # 192.168.10.4 3 tcp; # Assign danger level 3 if protocol is tcp. # 10.10.1.0/24 3 tcp/1-1024; # Danger level 3 for tcp port range
您需要
Ignore
規則類型,因為它將 設置danger level
為零,有效地忽略了該 IP/範圍。