Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!
Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.
Strony: 1
Witam, zainstalowalem sobie wczoraj debiana 6.0.5 i mam taki problem, bo chce zainstalowac sobie program psad, ale do jego poprawnego dzialania potrzebne bedzie skonfigurowac plik syslog.conf. Niestety nie mam tego pliku, ma ktos pomysl dlaczego? jak zrobic bym mial? szukalem po necie i nie moge znalezc odpowiedzi do tego.
Wczesniej mialem ubuntu, tez nie bylo tego pliku... pomyslalem ze jak zrobie reinstall na maszynie na debiana to sie ten problem naprawi.
PS. Zainstalowalem podstawowa wersje Debiana.
Offline
W Debianie domyślnie jest rsyslog z konfigiem /etc/rsyslog.conf.
Offline
Dziekuje Ci serdecznie za odpowiedź.
Jednak mam dodatkowe pytanie, korzystajac z tego poradniku w instalacji i konfiguracji programu psad ktory korzysta "chyba" z ustawien pliku syslog.conf jak mam go skonfigurowac aby dzialal?
http://www.cyberciti.biz/faq/linux-detect-port-scan-attacks/
Dodam że, zalezy mi na tym aby skonfigurowac odpowiednio program PSAD dzieki ktoremu będę mial bialo na czarnym wypisane kto mnie atakuje
PS. Posiadam serwer ktory jest czesto atakowany, zrobilem reinstall systemu na debiana, wczesniej uzywalem ubuntu.
Offline
ten pakiet zawiera /etc/syslog.conf [deb]sysklogd[/deb] tylko nie jestem pewien czy czegoś nie zepsuje
Offline
Samo skanowanie portów zdaża się czasami co minutę, i w ogóle nie ma sę czym zajmować.
Weź, zainteresuj się [url=http://packages.debian.org/wheezy/xtables-addons-dkms]xtables-addons[/url], ustaw na domyślny cel blokowanych połączen tcp
-j TARPIT --honeypot
i udp - cel
-j STEAL
albo np
-j REJECT --reject-with icmp-host-unreachable
, i szybko zobaczysz, że skanery portów nie są wcale straszne, ani na tyle ważne, żeby w ogóle się nimi interesować.
W dodatku systemowy firewall może bgarrdzo łądnie wyłapywać skanowania Nmapem:
http://www.cyberciti.biz/tips/linux-iptables-10-how-to-block-common-attack.html
http://www.linux-educd.pl/?p=147
Mój firewall (desktop)- tablice INPUT i FORWARD.
iptables -S -P INPUT DROP -P FORWARD DROP -P OUTPUT ACCEPT -A INPUT -i lo -j ACCEPT -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT -A INPUT -p udp -m state --state INVALID,NEW -j STEAL -A INPUT -p tcp -m state --state INVALID,NEW -j TARPIT --honeypot -A FORWARD -o ppp+ -j ACCEPT -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
A jak koniecznie chcesz wiedzieć, kto Cię atakuje, to zainteresuj się np [b]Honeypot[/b]em albo [b]Snort[/b]em, względnie jakims programem do sortowania logów i generowania raportów, lub podobne akcji interaktywnych, np [url=http://en.gentoo-wiki.com/wiki/Swatch]Swatch[/url] albo [url=http://www.gentoo.org/doc/en/logcheck.xml]Logcheck[/url].
Pozdrawiam
;-)
Ostatnio edytowany przez Jacekalex (2012-07-27 11:31:45)
Offline
Z ciekawości spytam - w czym psad lepszy od np. portsentry, który chyba łatwiej skonfigurować.
Offline
Strony: 1
Time (s) | Query |
---|---|
0.00011 | SET CHARSET latin2 |
0.00005 | SET NAMES latin2 |
0.00126 | SELECT u.*, g.*, o.logged FROM punbb_users AS u INNER JOIN punbb_groups AS g ON u.group_id=g.g_id LEFT JOIN punbb_online AS o ON o.ident='3.144.92.165' WHERE u.id=1 |
0.00070 | REPLACE INTO punbb_online (user_id, ident, logged) VALUES(1, '3.144.92.165', 1732313799) |
0.00053 | SELECT * FROM punbb_online WHERE logged<1732313499 |
0.00027 | SELECT topic_id FROM punbb_posts WHERE id=207375 |
0.00024 | SELECT id FROM punbb_posts WHERE topic_id=21682 ORDER BY posted |
0.00030 | SELECT t.subject, t.closed, t.num_replies, t.sticky, f.id AS forum_id, f.forum_name, f.moderators, fp.post_replies, 0 FROM punbb_topics AS t INNER JOIN punbb_forums AS f ON f.id=t.forum_id LEFT JOIN punbb_forum_perms AS fp ON (fp.forum_id=f.id AND fp.group_id=3) WHERE (fp.read_forum IS NULL OR fp.read_forum=1) AND t.id=21682 AND t.moved_to IS NULL |
0.00022 | SELECT search_for, replace_with FROM punbb_censoring |
0.00071 | SELECT u.email, u.title, u.url, u.location, u.use_avatar, u.signature, u.email_setting, u.num_posts, u.registered, u.admin_note, p.id, p.poster AS username, p.poster_id, p.poster_ip, p.poster_email, p.message, p.hide_smilies, p.posted, p.edited, p.edited_by, g.g_id, g.g_user_title, o.user_id AS is_online FROM punbb_posts AS p INNER JOIN punbb_users AS u ON u.id=p.poster_id INNER JOIN punbb_groups AS g ON g.g_id=u.group_id LEFT JOIN punbb_online AS o ON (o.user_id=u.id AND o.user_id!=1 AND o.idle=0) WHERE p.topic_id=21682 ORDER BY p.id LIMIT 0,25 |
0.00102 | UPDATE punbb_topics SET num_views=num_views+1 WHERE id=21682 |
Total query time: 0.00541 s |