本文详细介绍构建安全可靠的Linux服务平台(下)
(1)配置/usr/psionic/portsentry/portsentry.conf文件
/usr/psionic/portsentry/portsentry.conf是PortSentry的主要配置文件。可以设置需要监听的端口、需要禁止和监控的IP地址等。可以参看PortSentry的README.install文件以获取更多的信息。
(2)配置portsentry.ignore文件
在portsentry.ignore文件中设置希望PortSentry忽略的主机。这个文件至少要包括localhost(127.0.0.1)和本地界面(lo)的IP。
(3)最好改变文件默认的权限:
#chmod 600 /usr/psionic/portsentry/portsentry.conf
#chmod 600 /usr/psionic/portsentry/portsentry.ignore(4)启动PortSentry
PortSentry程序可以配置在6个不同的模式下运行,但每次启动时只能在一种模式下运行。这些模式是:
◆ portsentry -tcp(基本的端口绑定TCP模式);
◆ portsentry -udp 基本的端口绑定UDP 模式);
◆ portsentry -stcp(秘密的TCP扫描检测);
◆ portsentry -atcp(高级TCP秘密扫描检测);
◆ portsentry -sudp(秘密的UDP扫描检测);
◆ portsentry -audp(高级的秘密UDP扫描检测)。
推荐使用最后两种模式检测。建立启动脚本:
# vi /etc/init.d/portsentry
/usr/local/portsentry/portsentry sudp
/usr/local/portsentry/portsentry audp
# chmod a+x ./portsentry(建立启动脚本)
# cd /etc/rc.d/rc3.d/ ; ln -s ../init.d/portsentry S60portsentry(建立软链接启动)2. chkrootkit
另一个有用的工具是chkrootkit。chkrootkit是设计用来检查许多广为人知的rootkit(一组包括常用木马程序的套件,以方便 cracker攻入主机时, 在受害主机上顺利地编译和安装特洛伊木马程序)。在chkrootkit的网站上会公布最新的rootkit列表。
责编:豆豆技术应用