Différences
Ci-dessous, les différences entre deux révisions de la page.
Prochaine révision | Révision précédente | ||
secu:portsentry [2016/05/03 00:17] – modification externe 127.0.0.1 | secu:portsentry [2022/11/08 16:43] (Version actuelle) – modification externe 127.0.0.1 | ||
---|---|---|---|
Ligne 1: | Ligne 1: | ||
+ | ====== | ||
+ | (scan de ports) | ||
+ | Article reference: https:// | ||
+ | |||
+ | Cet utilitaire permet de bloquer en temps réel la plupart des scans de port connus (même très discrets et échappant aux règles de filtrage du firewall basiques). | ||
+ | | ||
+ | <note important> | ||
+ | |||
+ | ====== Installation | ||
+ | $ apt-get install portsentry | ||
+ | |||
+ | ===== Pour le configurer : ===== | ||
+ | |||
+ | - Ajoutez l'IP de votre serveur dans le fichier " | ||
+ | |||
+ | $ nano / | ||
+ | |||
+ | |||
+ | - Editer le fichier de configuration principal de Portsentry : | ||
+ | |||
+ | $ nano / | ||
+ | |||
+ | - Laissez Portsentry ouvrir tous les ports disponibles **avant le port 1024**, port défini par défaut dans les paramètres ADVANCED_PORTS_TCP et ADVANCED_PORTS_UDP du fichier de configuration de Portsentry. | ||
+ | |||
+ | Vous pouvez aussi détecter les " | ||
+ | |||
+ | | ||
+ | | ||
+ | |||
+ | Pour laisser Portsentry ouvrir tous les ports disponibles, | ||
+ | |||
+ | | ||
+ | | ||
+ | |||
+ | Dans tous les cas, n' | ||
+ | |||
+ | $ sudo iptables -t filter -A INPUT -p tcp --match multiport --dports 1, | ||
+ | $ sudo iptables -t filter -A INPUT -p udp --match multiport --dports 1, | ||
+ | |||
+ | Une fois ce paramétrage réalisé, vous pouvez modifier le comportement par défaut à réaliser en cas de détection de connexion par Portsentry : | ||
+ | |||
+ | < | ||
+ | # 0 = Ne rien faire, juste loguer .... | ||
+ | # 1 = Bloquer les ports au niveau du réseau | ||
+ | # 2 = Exécuter seulement une commande Linux externe (KILL_RUN_CMD) | ||
+ | |||
+ | BLOCK_UDP=" | ||
+ | BLOCK_TCP=" | ||
+ | </ | ||
+ | |||
+ | |||
+ | La première option, l' | ||
+ | |||
+ | // | ||
+ | |||
+ | |||
+ | - Il ne vous reste plus qu'à démarrer le service : | ||
+ | |||
+ | $ sudo service portsentry restart | ||
+ | |||
+ | Ensuite, vous pourrez vérifier les tentatives d' | ||
+ | |||
+ | $ sudo less / | ||
+ | |||
+ | Vous devrez très vite voir apparaitre des IP dans ce fichier. D' | ||
+ | |||
+ | Enfin, pour permettre à Portsentry de démarrer à chaque redémarrage de votre serveur : | ||
+ | |||
+ | $ sudo systemctl enable portsentry | ||
+ | |||
+ | |