/etc/protsentry/portsentry.modes文件定义了在启动时,portsentry命令运行的模式.下面的是默认条件所显示的:
tcp
udp
#stcp
#sudp
#atcp
#audp
tcp和udp分别是protsentry进行TCP和UDP服务的基本模式,其它可选选项包括stcp(stealth TCP),atcp(advanced stealth TCP),sudp(sealth UDP),和audp(advanced stealth UDP).只运行一个TCP和一个UDP服务TCP,因此,要使用stealth或者advancedstelth服务,确保在相应的basic服务前面加上一个#号要激活新的服务,运行:
/etc/init.d/portsentry restart 或者:
service portsentry restart
新的模式立即生效,当系统重启后,新的模式仍然有效.
5,测试portsentry
可以测试端口是否被用不同的方式正确保护.你需要做的是运行潜在的入侵者会运行的一个程序,看是否会引起portsentry的正确的反应例如用端口扫描程序来看端口是否暴露在外面,也可以用命令,像te.net引发一个特殊的端口,看是否portsentry能抓住它常用的端口扫描程序是nmap,它扫描tcp/udp端口,给nmap一个IP或者主机地址,它就会扫描此主机的大约1500个端口,检查哪个端口是打开的,并且推测提供了哪些可以被攻击的服务.
例如:
1),先关闭portsentry
service protsentry stop
2)用nmap扫描
nmap -sS -O 127.0.0.1
nmap -sU -O 127.0.0.1
输出显示了本地主机上哪些端口目前分别提供的TCP和UDP服务
3)如果有你不想打开的服务,可以通过使用chkconfig servicename
off来关闭.通过编辑/etc/xinetd.d目录下的文件,以及将disable=no更改为yes或者改变防火墙规则.
4)如果你想使来自你的主机的服务可用,要使相应的端口不被portsentry监视.从/etc/portsentry/portsentry.conf文件中的TCP_PORT和/或UDP_PORT选项删除该端口号.
5)从新启动:
service protsentry start
6)如前,再次运行nmap,提供合法服务的端口,以及被portsentry监视的端口,全部显示
7)检查/var/log/messages文件以确保portsentry没有试图监视任何正在提供服务的端口.
这样,当确定了portsentry建立了所希望的方式后,在网络的另外一个主机运行nmap来扫描本地主机,如果运行正常的花,远程主机扫描你的主机的第一个端口,将阻塞所有随后的扫描.
> 6,跟踪portsentry入侵
除了对入侵者采取行动之外,portsentry还实用syslog记录他的活动.portsentry启动/关闭/扫描检测等活动都被记录/var/log/messages文件
*****over****
附:protsentry软件包
portsentry-1.1-fr8.i386.rpm
文章来源于领测软件测试网 https://www.ltesting.net/
