centos5.5 x86-凯发app官方网站

我在检查一台centos5.5服务器的安全环境时，发现很多ip在恶意扫描此服务器的端口，本来想部署snort防入侵环境的，后来发现snort环境部署非常复杂，而以上的恶意扫描完全可以用portsentry来实现。portsentry是入侵检测工具中配置最简单、效果最直接的工具之一。portsentry是abacus工程的一个组成部分。abacus工程的目标是建立一个基于主机的网络入侵检测系统，可以从的到关于abacus工程更为详细的信息。虽然portsentry被cisco收购后不再开发，但丝毫不影响此软件的强大功能。portsentry可以实时检测几乎所有类型的网络扫描，并对扫描行为做出反应。一旦发现可疑的行为，portsentry可以采取如下一些特定措施来加强防范：

给出虚假的路由信息，把所有的信息流都重定向到一个不存在的主机；

自动将对服务器进行端口扫描的主机加到tcp-wrappers的/etc/hosts.deny文件中去，我个人比较喜欢这种方式，因为线上许多环境并非都能打开iptables，这个选项也是portsentry默认的功能；

利用netfilter机制，用包过滤程序，比如iptables和ipchain等，把所有非法数据包（来自对服务器进行端口扫描的主机）都过滤掉；

通过syslog()函数给出一个目志消息，甚至可以返回给扫描者一段警告信息。

一、portsentry的安装

下面详细介绍portsentry工具的安装和配置方法。

1．从下载软件的最新版portsentry-1.2.tar.gz，用root用户执行如下命令进行安装：

#tar zxvf portsentry-1.2.tar.gz

#cd portsentry-1.2_beta

#make

#make install

进行到这步时发现报错，系统生成不了protsentry执行文件，我们查看makefile文件时发现，make后面根据操作系统的不同有许多选项。

所以我们重新执行此步操作，将目录删除重新解压缩

然后我们执行make linux，发现系统仍然报错，如下：

systype=linux

making

cc -o -wall -dlinux -dsupport_stealth -o ./portsentry ./portsentry.c \

              ./portsentry_io.c ./portsentry_util.c

./portsentry.c: in function ?.ortsentrymodetcp?.

./portsentry.c:1187: warning: pointer targets in passing argument 3 of ?.ccept?.differ in signedness

./portsentry.c: in function ?.ortsentrymodeudp?.

./portsentry.c:1384: warning: pointer targets in passing argument 6 of ?.ecvfrom?.differ in signedness

./portsentry.c: in function ?.sage?.

./portsentry.c:1584: error: missing terminating " character

./portsentry.c:1585: error: ?.ourceforget?.undeclared (first use in this function)

./portsentry.c:1585: error: (each undeclared identifier is reported only once

./portsentry.c:1585: error: for each function it appears in.)

./portsentry.c:1585: error: expected ?.?.before ?.ot?

./portsentry.c:1585: error: stray ?.?.in program

./portsentry.c:1585: error: missing terminating " character

./portsentry.c:1595: error: expected ?.?.before ?.?.token

make: *** [linux] error 1

解决方法：

我们打开portsentry.c文件，在1590行左右，我们将带有凯发app官方网站 copyright 1997-2003字样的那行调整为一行即可，如下图所示

图1-1 文字有白线标记的那行代码应调整为一行

调整后我们再执行make linux&& make install后，portsentry顺利安装成功，其安装路径为/usr/local/psionic/portsentry，如下所示表示成功安装此软件：

edit /usr/local/psionic/portsentry/portsentry.conf and change

your settings if you haven't already. (route, etc)

warning: this version and above now use a new

directory structure for storing the program

and config files (/usr/local/psionic/portsentry).

please make sure you delete the old files when

the testing of this install is complete.

二、portsentry的配置

 1．修改配置文件portsentry.conf

通过portsentry进行入侵检测，首先需要为它定制一份需要监视的端口清单，以及相应的阻止对策。然后启动后台进程对这些端口进行检测，一旦发现有人扫描这些端口，就启动相应的对策进行阻拦。

（1）设置端口清单

下面给出portsentry.conf中关于端口的默认配置情况：

#un-comment these if you are really anal;

#tcp_ports="1,7,9,11,15,70,79,80,109,110,111,119,138,139,143,512,513,514,515,540,636,1080,1424,2000,2001,[..]

#udp_ports="1,7,9,66,67,68,69,111,137,138,161,162,474,513,517,518,635,640,641,666,700,2049,31335,27444,34555,[..]

#use these if you just want to be aware:

tcp_ports="1,11,15,79,111,119,143,540,635,1080,1524,2000,5742,6667,12345,12346,20034,27665,31337,32771,32772,[..]

udp_ports="1,7,9,69,161,162,513,635,640,641,700,37444,34555,31335,32770,32771,32772,32773,32774,31337,54321"

#use these for juse bare-bones

#tcp_ports="1,11,15,110,111,143,540,635,180,1524,2000,12345,12346,20034,32771,32772,32773,32774,49724,54320"

#udp_ports="1,7,9,69,161,162,513,640,700,32770,32771,32772,32773,32774,31337,54321"

可以有选择地去掉前面的注释来启用默认配置，也可以根据自己的实际情况定制一份新的清单，格式和原来的一样即可。端口列表要根据具体情况而定，假如服务器为web服务器，那么web端口就不需要监视。反之，如果是ftp服务器，那么监视web端口也是有必要的。

（2）portsentry.conf里的相关文件

在portsentry.conf中自动配置了许多文件，我们看下它们有哪些用途：

#此文件记录允许合法扫描服务器的主机地址

ignore_file="/usr/local/psionic/portsentry/portsentry.ignore"

#此文件中保留了以往所有入侵主机的ip历史记录

histroy_file="/usr/lcal/psionic/portsentry/portsentry.history"

#此文件中是已经被阻止连接的主机ip记录

blocked_file="/usr/local/psionic/portsentry/portsentry.blocked"

（3）设置路由重定向

通过配置portsentry.conf文件，可以设置一条虚拟路由记录，把数据包重定向到一个未知的主机．使之无法获取信息。相应配置代码如下：

#generic

#kill_route="/sbin/route add $target$ 333.444.555.666"

#generic linux

kill_route="/sbin/route add -host $target$ gw 333.444.555.666

针对不同的平台有不同的路由命令，在配置文件中选择适台自己平台的命令即可。我的服务器是centos5.5 x86_64，以上语法适合linux平台的机器；portsentry非常人性化，下面都有系统对应的配置文件，我们只需要依样操作即可。

（4）我们还可以利用linux中的iptables命令，可以切断攻击主机的连接：

kill_route="/usr/local/sbin/iptables -i input -s $target$ -j drop"

也可以直接把攻击者的ip记录到/etc/hosts.deny文件中，利用tcp_wrappers保护机制来防止攻击：

kill_hosts_deny="all:$target$ # portsentry blocked"

系统默认是利用tcp_wrappers来切断与主机之间的连接

（5）定制警告信息

我们也可以定制一条警告信息，警告攻击者。不过，手册上建议不要使用该选项，因为这样做可能会暴露主机的ids系统。

port_banner="** unauthorized access prohibited *** your connection attempt has been logged. go away."

修改完毕后，改变文件的权限．以保证其安全性：

chmod 600 /usr/local/psionic/portsentry/portsentry.conf

2．配置portsentry.ignore文件

/usr/psionic/portsentry/portsentry.ignore文件中设置了希望portsentry忽略的主机ip，即允许合法扫描的主机地址下面是配置情况：

#put hosts in here you never want blocked,this includes the ip addresses

#of all local interfaces on the protected host(i.e virtual host,mult-home)

#keep 127.0.0.1 and 0.0.0.0 to keep people from playing games.

127.0.0.1/32

0.0.0.0

#exclude all local interfaces   

192.168.1.103

192.168.1.102

127.0.0.1

记得带上本机地址，以防万一。

修改完成后同样需要改变文件默认的权限：

chmod 600 /usr/local/psionic/portsentry/portsentry.ignore

 三、启动检测模式

最后介绍一下portsentry的启动检测模式。对应tcp和udf两种协议方式．分别有三种启动模式，即基本、秘密和高级秘密扫描检测模式。

◆ portsentry-tcp，tcp的基本端口绑定模式；

◆ portsentry-udp，udp的基本端口绑定模式；

◆ portsentry-stcp，tcp的秘密扫描检测模式；

◆ portsentry-sudp，udp的秘密扫描检测模式；

◆ portsentry-atcp，tcp的高级秘密扫描检测模式；

◆ portsentry-audp，udp的高级秘密扫描检测模式。

一般情况下，建议使用秘密扫描检测模式或高级秘密扫描检测模式。

使用高级秘密扫描检测模式（advanced stealth scan detection mode），portsentry会自动检查服务器上正在运行的端口， 然后把这些端口从配置文件中移去， 只监控其它的端口。这样会加快对端口扫描的反应速度，并且只占用很少的cpu时间，这种模式非常智能，我比较喜欢用

启动portsentry的命令如下：

#/usr/psionic/portsentry/portsentry -atcp

可以把启动命令加到“/etc/rc.d/rc.local”脚本文件中，果想让它和其它后台进程一样可以随时启动、停止并查看进程状态， 可以去这样当重新启动计算机的时候portsentry就会自动运行。

四、测试

我们在192.168.1.102上启动portsentry后，我们先暂时清掉portsentry.ignore里的文件，我们在另一台192.168.1.104的机器上启动扫描命令nmap -ss 192.168.1.102，稍等片刻我们就会发现/etc/hosts.deny里会出现all:192.168.1.104的字样，证明此软件配置都是生效的。

为了证明其有效性，我拿自己的线上的一台lvs机器布署了portsentry1.2，查看日志发现

[root@localhost portsentry_beta]# tail /var/log/messages

jun  6 13:11:07 localhost portsentry[2555]: attackalert: tcp syn/normal scan from host: adsl-65-9-251-89.mia.bellsouth.net/65.9.251.89 to tcp port: 80

jun  6 13:11:07 localhost portsentry[2555]: attackalert: host 65.9.251.89 has been blocked via wrappers with string: "all: 65.9.251.89"

jun  6 13:11:07 localhost portsentry[2555]: attackalert: tcp syn/normal scan from host: adsl-65-9-251-89.mia.bellsouth.net/65.9.251.89 to tcp port: 80

jun  6 13:11:07 localhost portsentry[2555]: attackalert: host: adsl-65-9-251-89.mia.bellsouth.net/65.9.251.89 is already blocked ignoring

jun  6 13:11:08 localhost portsentry[2555]: attackalert: tcp syn/normal scan from host: adsl-65-9-251-89.mia.bellsouth.net/65.9.251.89 to tcp port: 80

jun  6 13:11:08 localhost portsentry[2555]: attackalert: host: adsl-65-9-251-89.mia.bellsouth.net/65.9.251.89 is already blocked ignoring

jun  6 13:19:57 localhost portsentry[2555]: attackalert: tcp syn/normal scan from host: ns38534.ovh.net/91.121.14.153 to tcp port: 80

jun  6 13:19:57 localhost portsentry[2555]: attackalert: host 91.121.14.153 has been blocked via wrappers with string: "all: 91.121.14.153"

jun  6 13:35:44 localhost portsentry[2555]: attackalert: tcp syn/normal scan from host: 61.156.31.43/61.156.31.43 to tcp port: 80

jun  6 13:35:44 localhost portsentry[2555]: attackalert: host 61.156.31.43 has been blocked via wrappers with string: "all: 61.156.31.43"

检查了下/etc/hosts.deny，发现如下恶意ip:

all: 113.57.224.3

all: 124.238.249.246

all: 65.9.251.89

all: 91.121.14.153

all: 61.156.31.43

感觉现在的无聊人士也是非常多的，一天到晚开着扫描器在公网上，难道欲捕肉鸡乎？