Différences
Ci-dessous, les différences entre deux révisions de la page.
Les deux révisions précédentes Révision précédente Prochaine révision | Révision précédente | ||
psad [Le 20/05/2016, 17:51] 90.31.31.10 |
psad [Le 18/12/2022, 13:01] (Version actuelle) 176.143.54.37 [Installation] |
||
---|---|---|---|
Ligne 3: | Ligne 3: | ||
----- | ----- | ||
====== PSAD ====== | ====== PSAD ====== | ||
- | |||
- | FIXME : Présenter succinctement le logiciel. | ||
- | |||
PSAD est une collection de quatre démons système léger écrits en Perl et C, conçus pour fonctionner avec le code de pare-feu Linux (voir [[:Iptables]]) pour détecter les scans de ports. | PSAD est une collection de quatre démons système léger écrits en Perl et C, conçus pour fonctionner avec le code de pare-feu Linux (voir [[:Iptables]]) pour détecter les scans de ports. | ||
===== Installation ===== | ===== Installation ===== | ||
+ | [[:tutoriel:comment_installer_un_paquet|Installez le paquet]] **[[apt>psad]]** | ||
- | ==== Par les dépôts ==== | + | Pour que PSAD puisse analyser aussi les logs IPTables quand on utilise UFW, il faut réaliser les manipulations suivantes. |
+ | Déjà il faut activer le logging avec UFW | ||
+ | ufw logging on | ||
- | [[:tutoriel:comment_installer_un_paquet|Installez le paquet]] **[[apt>psad]].** | + | Puis il faut editer les fichiers |
+ | /etc/ufw/before.rules | ||
+ | /etc/ufw/before6.rules | ||
+ | Et ajouter les lignes suivantes, mais AVANT la ligne COMMIT: | ||
+ | |||
+ | # log all traffic so psad can analyze | ||
+ | -A INPUT -j LOG --log-tcp-options --log-prefix "[IPTABLES] " | ||
+ | -A FORWARD -j LOG --log-tcp-options --log-prefix "[IPTABLES] " | ||
+ | |||
+ | Une fois enregistré, il faut relancer ufw puis psad: | ||
+ | ufw reload | ||
+ | psad -R | ||
+ | | ||
+ | On peut s'assurer que tout fonctionne bien en lançant: | ||
+ | root@xxx:~# psad --fw-analyze | ||
+ | [+] Parsing INPUT chain rules. | ||
+ | [+] Parsing INPUT chain rules. | ||
+ | [+] Firewall config looks good. | ||
+ | [+] Completed check of firewall ruleset. | ||
+ | [+] Results in /var/log/psad/fw_check | ||
+ | [+] Exiting. | ||
=====Configuration ===== | =====Configuration ===== | ||
- | |||
Pour mettre à jour les règles, entrez la commande suivante dans un [[terminal]] : | Pour mettre à jour les règles, entrez la commande suivante dans un [[terminal]] : | ||
<code>sudo psad --sig-update</code> | <code>sudo psad --sig-update</code> | ||
+ | On pourra éditer le fichier /etc/psad/psad.conf pour par exemple réhausser le niveau de danger avant l'envoi d'un email pour les machines exposées sur internet (''EMAIL_ALERT_DANGER_LEVEL'' avec la valeur 5) ou alors s'assurer que ''ENABLE_AUTO_IDS'' est défini à Y. | ||
===== Désinstallation ===== | ===== Désinstallation ===== | ||
- | + | Pour supprimer cette application, il suffit de [[:tutoriel:comment_supprimer_un_paquet|supprimer son paquet]]. Selon la méthode choisie, le configuration globale de l'application est conservée ou supprimée. Les journaux du système, et les fichiers de préférence des utilisateurs dans leurs dossiers personnels sont toujours conservés. | |
- | Pour supprimer cette application, il suffit de [[:tutoriel:comment_supprimer_un_paquet|supprimer son paquet]]. La configuration de l'application sera conservée ou supprimée selon la méthode de désinstallation que vous choisirez. | + | |
=====Ressource===== | =====Ressource===== | ||
Ligne 29: | Ligne 48: | ||
FIXME | FIXME | ||
- | ====Liens externes==== | + | ==== Voir aussi==== |
* [[http://cipherdyne.org/psad/|Site officiel]] | * [[http://cipherdyne.org/psad/|Site officiel]] | ||
----- | ----- | ||
- | |||
//Contributeurs : [[:utilisateurs:psychederic|Psychederic]], ...// | //Contributeurs : [[:utilisateurs:psychederic|Psychederic]], ...// |