psad документация

[Utility]

Хочу с <некое чувство> сообщить, что сегодня (в течении суток постараюсь) выложу часть вольного перевода psad.
Готовы Описание, опции/аргументы psad, настройки, - предварительно перечитаю, перед выкладкой.
Заинтересованным предлогаю просмотреть, вычитать, предложить, - в общем, обсудить)
После дополню отладочной информацие из руководства, примеры от туда же. Да и с официального сайта заметку по работе с iptables.

В целом хочу "разобрать" связку suricata и psad. Соответственно в перспетиве буду смотреть suricata, возможно придётся копнть iptables.




Cообщение объединено 22 июля 2015, 03:44:47
NAME

Открыть содержимое (спойлер)

psad - The Port Scan Attack Detector

psad — обнаружение нападения сканированием портов

[свернуть]

SYNOPSIS

Открыть содержимое (спойлер)

psad [options]

[свернуть]

DESCRIPTION

Открыть содержимое (спойлер)

psad  makes use of iptables log messages to detect, alert, and (optionally) block port scans and other suspect traffic.  For TCP  scans  psadanalyzes  TCP  flags  to determine the scan type (syn, fin, xmas, etc.) and corresponding command line options that could be supplied  to  nmap to generate such a scan.  In addition, psad makes use of many TCP, UDP, and ICMP signatures contained within the Snort intrusion detection system  (see  http://www.snort.org/)  to detect suspicious network traffic such as probes for common  backdoors,  DDoS  tools,  OS  fingerprinting attempts,  and  more.   By  default psad also provides alerts for snort rules that are detected directly by iptables through the use of a rule‐set  generated  by  fwsnort (http://www.cipherdyne.org/fwsnort/).  This enables psad to send alerts for application layer attacks.   psad  features  a  set  of  highly configurable danger thresholds (with sensible defaults provided) that allow the administrator to define what  constitutes  a port scan or other suspect traffic.  Email alerts sent by psad contain the scanning ip, number of packets sent to each port, any  TCP, UDP, or ICMP signatures that have been matched (e.g. "NMAP XMAS scan"),  the scanned port range, the current danger level (from 1 to 5), reverse dns info, and whois information.  psad also makes use of various packet header fields associated with TCP SYN packets to passively  fingerprint remote operating systems (in a manner similar to the p0f fingerprinter) from which scans originate.  This requires the use  of  the  --log-tcp-options  argument  for  iptables  logging  rules; if this option is not used, psad will fall back to a fingerprinting method that makes use  of packet length, TTL and TOS values, IP ID, and TCP window sizes.

Psad находит применение сообщениям журналам iptables для обнаружения, оповещения, и (опционально) блокировки портов при их сканировании и подозрительном сетевом трафике. Psad анализирует TCP флаги при TCP-сканировании для определения типа такого сканирования (syn, fin,xmas, и т. п.) и сообщении о соответствующих опций nmap для коммандной строки, что бы получить такое же сканирование. В дополнении к описанному, psad может использовать интерфейсы структур TCP, UDP, ICMP содержащихся в IDS Snort (см . http://www.snort.org/) для обнаружения подозрительного сетевого трафика, попыток найти и воспользоваться backdoor, орудий DDoS, fingerprint OS и так далее. Отметим, что по умолчанию, psad  предусматривает оповещения для правил Snort, в связке с fwsnort,  который применяет правила управления iptables при обнаружении сканирования через набор правил fwsnort (см. http://www.cipherdyne.org/fwsnort/). Что позволяет psad отправлять предупреждения о атаке на уровне application level.  Psad поддерживает гибкие в настройке пороги опасности (по умолчанию, с приемлимыми рамками обнаружения), которые позволяют администратору определить, что расценивать как сканирование портов или что считать подозрительным сетевом трафиком. Оповещения psad по e-mail содержат IP-адрес сканирования, число пришедших  от него пакетов на порт, ассоциированный интерфейс структуры TCP, UDP или ICMP (т. е. сканирование ""NMAP XMAS scan""), диапазон сканируемых портов, текущий порог опасности (от 1 до 5),  информацию обратного преобразования DNS, информацию whois. Psad допускает применение различных заголовков пакетов, связанных с TCP SYN и пассивно приводящих к fingerprint  удалённых ОС (в манере, похожей на p0f fingerprint) коммуникатирующих со стороны сканирования. По возможности используйте аргумент --log-tcp-options для журналирования правил iptables; если же аргумент не применён, psad вернется обратно к методу fingerprint для lenght, TTL и TOS значений, IP ID, и размеру TCP window.

Открыть содержимое (спойлер)

alert - оповещение
detect - обнаружение
log messages - сообщения журнала
signatures - интерфейс структур, как sign* и struc*tures
danger level - порог опасности, т.к. указывается диапазон
rule-set - набор правил, как master kit
scanning - сканирование, т.е источник сканирования

[свернуть]

psad  reads all iptables log data by default from the /var/log/messages file.  By parsing firewall log messages, psad  is  provided  with  data that represents packets that have been logged (and possibly dropped) by the running iptables policy.  In this sense, psad is  supplied  with  a pure  data  stream  that exclusively contains packets that the firewall has deemed unfit to enter the network.  psad consists of three daemons: psad,  kmsgsd,  and psadwatchd.  psad is responsible for processing all  packets that have been logged by the firewall and applying  the  signature  logic  in order to determine what type of scan has been leveraged against the machine and/or network.  kmsgsd (deprecated) reads all messages  that  have been written to the /var/lib/psad/psadfifo named pipe and writes any message that matches a particular regular expression (or string)   to   /var/log/psad/fwdata.    kmsgsd  is  only  used  if  the ENABLE_SYSLOG_FILE variable is disabled in psad.conf.  psadwatchd is  a software watchdog that will restart any of the other two daemons should  a daemon die for any reason.

Psad читает все данные журнала iptables, по умолчанию, по пути /var/log/messages. Разбирая сообщения журнала firewall, psad предоставляет обработку данных о пакетах в журнале (в .т.ч.  возможно о отброшенных) согласно policy iptables.  В таком понимании, psad работает с потоком данных содержащим пакеты, которые firewall счёл не пригодными для попадания в сеть. Psad состоит из трёх демонов: psad, kmsgsd и psadwatchd.  Psad отвечает за обработку всех пакетов, которые упомянуты в журнале firewall и выбраны по логике совпадения с интерфейсом структур для определения типа сканирования и его направленности против машины и/или сети.  Kmsgsd (устарел)  читает все сообщения попавшие в именованный канал /var/lob/psad/psadfifo и пишет любое сообщение, соответствующее конкретному регулярному выражению (или строке) в /var/log/log/psad/fwdata. Kmsgsd используется только с выключающей переменной для ENABLE_SYSLOG_FILE в psad.conf. psadwatchd это ПО сторожевой таймер для перезапуска  двух остальных демонов, как убить демон в любом случае.

Открыть содержимое (спойлер)

parsing - разбор
processing - обработка

[свернуть]

[свернуть]

OPTIONS
       -A, --Analyze-msgs

Открыть содержимое (спойлер)

Analyze an iptables logfile for scans and exit.  This will  generate  email  alerts just as a normal running psad process would have for all logged  scans. By  default  the  psad  data  file /var/log/psad/fwdata is  parsed for old scans, but any file can be specified through the use of the --messages-file command line option.   For  example  it might be useful to point psad at your /var/log/messages file.

Анализ журнала iptables на предмет сканирования и выйти. Будет создано оповещение по e-mail, как если бы psad был запущен обычным процессом и работал для журналирования всех сканирований. По умолчанию, файл с данными /var/log/psad/fwdata разбирается и содержит результат предыдущих сканирований, но необходимый файл для таких данных может быть указан с использованием опции --messages-file. Например, может быть полезным указать и упоминать psad в ваш /var/log/messages.

[свернуть]

       --analysis-fields <search fields>

Открыть содержимое (спойлер)

In --Analyze mode restrict analysis  to  iptables  log  messages that  have  specific  values  for  particular  fields.  Examples include "SRC:1.2.3.4", "DST:10.0.0.0/24, and "TTL:64", and  multiple  fields  are  supported  as  a  comma-separated  list like "SRC:1.2.3.4, LEN:44, DST:10.0.0.0/24".

В режиме --Analyze ограничиться анализом сообщений журнала iptables с определёнными значениями в конкретных полях. Например, содержимым "SRC:1.2.3.4", "DST:10.0.0.0/24" и "TTL:64" или несколькими полями, т.е. списком разделенным через запятую, наподобие "SRC:1.2.3.4, LEN:44, DST:10.0.0.0/24".

[свернуть]

       -i, --interface <interface>

Открыть содержимое (спойлер)

Specify the interface that psad will examine  for  iptables  log messages.   This interface will be the IN= interface for packets that are logged in the INPUT and FORWARD chains,  and  the  OUT= interface for packets logged in the OUTPUT chain.

Указать интерфейс, который будет проверять psad по сообщениям журнала iptables. Такой сетевой интерфейс будет в IN= для журналирования пакетов в цепочках INPUT и FORWARD и сетевой интерфейс в OUT= для журналирования пакетов в цепочке OUTPUT.

Открыть содержимое (спойлер)

examine - проверять, ex*tended mine*
interface - сетевой интерфейс
chain - цепочка iptables

[свернуть]

[свернуть]

       --sig-update

Открыть содержимое (спойлер)

Instruct  psad to download the latest set of modified Snort signatures from http://www.cipherdyne.org/psad/signatures  so  that psad  can  take  advantage  of  signature  updates  before a new release is made.

Попросить psad загрузить последний комплект  интерфейс структур Snort с http://www.cipherdyne.org/psad/signatures, что бы psad мог использовать обновлённые интерфейсы структур перед новым выпуском.

Открыть содержимое (спойлер)

instruct - попросить, как in*put struct*ure
set - комплект
modified - изменить

[свернуть]

[свернуть]

       -O, --Override-config <file>

Открыть содержимое (спойлер)

Override config variable values that are normally read from  the  /etc/psad/psad.conf  file  with  values from the specified file.Multiple override config files can be given as a comma separated list.

Переопределить значения для переменных в настройках из указанного файла, вместо тех, что обычно читаются из /etc/psad/psad.conf. Несколько файлов настроек может быть указан списком разделённым через запятую.

Открыть содержимое (спойлер)

override - переопределить, как over* w*ri*te de*scrition
variable - переменная
value - значение
config - настройки
list - список
comma - запятая

[свернуть]

[свернуть]

       -D, --Dump-conf

Открыть содержимое (спойлер)

Dump the current psad config to STDOUT and exit.  Various pieces of information such as the home network, alert email  addresses, and  DShield user id are removed from the resulting output so it is safe to send to others.

Вывести текущие настройки psad в STDOUT и выйти. Различные части, такие как домашняя сеть, адреса e-mail оповещений и id пользователя Dshield будут удалены из такого вывода для получения безопасного вывода, в виде сообщения для отправки другим.

Открыть содержимое (спойлер)

dump - вброс, но здесь как вывод
resulting - получение, как result* set*ting

[свернуть]

[свернуть]

       -F, --Flush

Открыть содержимое (спойлер)

Remove any auto-generated firewall block rules if psad was  configured   to   automatically   respond   to   scans   (see   the ENABLE_AUTO_IDS variable in psad.conf).

Удалить все автоматически полученные правила firewall о блокировке для автоматической отправки о сканиовании (см. значение переменной ENABLE_AUTO_IDS).

Открыть содержимое (спойлер)

geberated - полученные

[свернуть]

[свернуть]

       -S, --Status

Открыть содержимое (спойлер)

Display the status of any psad processes that may or not be running.   The  status  output  contains a listing of the number of packets that have been processed by  psad,  along  with  all  IP addresses  and corresponding danger levels that have scanned the network.

Показать состояние любых процессов psad, которые могли или не могли быть запущены. Состояние вывода содержит список из числа пакетов обработанных psad, вместе с ip-адресами и соответствующими им порогами опасностиу из сканнированных сетей.

Открыть содержимое (спойлер)

display - показать

[свернуть]

[свернуть]

       --status-ip <ip>

Открыть содержимое (спойлер)

Display status information associated with ip such as the protocol  packet  counters  as  well as the last 10 packets logged by iptables.

Показать информацию о состоянии соответствующего ip, такую как  счётчик пакетной передачи, а также последние 10 пакетов в журнале iptables.

Открыть содержимое (спойлер)

protocol  packet  counters - целое протокола пакета, т.е. счетчик пакетной передачи.

[свернуть]

[свернуть]

       --status-dl <dl>

Открыть содержимое (спойлер)

Display status information only for scans that  have  reached  a  danger level of at least dl

Показать информацию только о состоянии сканировании, где достигнут порог опасности у dl.

[свернуть]

       --status-summary

Открыть содержимое (спойлер)

Instruct  psad to omit detailed IP information from --Status and --Analyze modes.

Попросить psad опустить подробности о IP для режимов --Status и --Analyze.

Открыть содержимое (спойлер)

omit - опустить/пропустить

[свернуть]

[свернуть]

       -m, --messages-file <file>

Открыть содержимое (спойлер)

This option is used to specify the file that will be  parsed  in analysis mode (see the --Analyze-msgs option).  The default path  is the psad data file /var/log/psad/fwdata.

Указать файл для разбора в режиме анализа (см. опцию --Analyze-msgs). По умолчанию, путь к файлу с данными для psad /var/log/psad/fwdata.

Открыть содержимое (спойлер)

path - путь

[свернуть]

[свернуть]

--CSV

Открыть содержимое (спойлер)

Instruct  psad  to  parse   iptables   log   messages   out   of /var/log/messages  (by defult, but this path can be changed with the -m option), and print the packet fields on STDOUT in  comma separate value format.  This is useful for graphing iptables log data    with     AfterGlow     (see     http://afterglow.sourceforge.net/index.html).

Попросить psad разбирать сообщения журнала iptables из /var/log/messages (по умолчанию, но путь может быть изменён с опцией -m) и показывать поля сообщений пакетов в STDOUT в формате разделённия значений через запятую. Полезно для построения графов по данным журнала iptables с AfterGlow (см.  http://afterglow.sourceforge.net/index.html).

Открыть содержимое (спойлер)

print - показать. т.к. нет привязок к приграммированию

[свернуть]

[свернуть]

       --stdin

Открыть содержимое (спойлер)

Acquire  iptables  log  data  from  STDIN instead of the default /var/log/messages file.

Произвести журналирование данных iptables в STDIN взамен файла /var/log/messages

Открыть содержимое (спойлер)

acquire - произвести, как acquire knowledge

[свернуть]

[свернуть]

       --CSV-fields <tokens>

Открыть содержимое (спойлер)

Instruct psad to only include a specific  set  of  iptables  log message  fields  within the CSV output.  AfterGlow accepts up to three fields for its graph data, so the  most  common  usage  of this  option is "src dst dp" to print the source and destination  IP addresses, and the destination port number.

Попросить psad использовать только определённый набор полей из сообщений журнала iptables при выводе в CSV. AfterGlow допускает до трёх полей в своих графических данных, так наиболее частое использование "src dst dp" для печати ip-адреса происхождение и назначение IP-адреса и назначение номера порта.

Открыть содержимое (спойлер)

source - источник
destination - назначение

[свернуть]

[свернуть]

       -K, --Kill

Открыть содержимое (спойлер)

Kill the current psad process along with psadwatchd and  kmsgsd. This  provides  a  quick and easy way to kill all psad processes without having to look in the process table  or  appeal  to  the psad-init script.

Убить текущий процесс psad вместе с psadwatchd и kmsgsd. Обеспечивает быстрый и лёгкий способ остановки всех процессов без просмотра таблицы процессов или обращения к psad-init скрипту.

Открыть содержимое (спойлер)

provide - снабжение, обеспечение

[свернуть]

[свернуть]

       -R, --Restart

Открыть содержимое (спойлер)

Restart  the currently running psad processes.  This option will preserve the command line options  that  were  supplied  to  the  original psad process.

Перезапустить уже запущенные процессы psad. Эта опция будет сохранять использованные параметры командной строки, которые указаны в таком запущенном процессе psad.

[свернуть]

       -U, --USR1

Открыть содержимое (спойлер)

Send a running psad process a USR1 signal.  This will cause psad to  dump  the  contents  of  the  %Scan   hash   to   the   file "/var/log/psad/scan_hash.$$"  where  "$$"  represents the pid of the psad process.  This is mostly useful for debugging purposes, but  it  also  allows  the  administrator to peer into the %Scan hash, which is the primary data structure  used  to  store  scan data within system memory.

Послать запущенному процессу psad сигнал USR1. Это вынудит psad опустошить содержимое хеша %Scan в файле "/var/log/psad/scan_hash.$$", где "$$" есть id процесса psad. Наиболее полезно для отладки, но так же позволяет администратору взглянуть на хеш %Scan, как основную структуру данных используемых для хранения данных о сканировании в памяти системы.

[свернуть]

       -H, --HUP

Открыть содержимое (спойлер)

Send  all running psad daemons a HUP signal.  This will instruct the daemons to  re-read  their  respective  configuration  files without causing scan data to be lost in the process.

Отправить всем запущенным демонам psad сигнал HUP.  Попросить psad демонов перечитать свои файлы с настройками не допуская потери данных, как текущее сделать последним, при процессе работы с сканированием.

[свернуть]

       -B, --Benchmark

Открыть содержимое (спойлер)

Run psad in benchmark mode.  By default benchmark mode will simulate a scan of 10,000 packets (see the  --packets  option)  and then  report  the  elapsed time.  This is useful to see how fast psad can process packets on a specific machine.

Запустить psad в эталлоном режиме. По умолчанию, режим эталона будет симулировать сканирование в 10000 пакетов (см. опцию --packets) и после сообщать затраченное время. Полезно, когда нужно увидеть насколько быстро psad обрабатывает пакеты на конкретной машине.

Открыть содержимое (спойлер)

benchmark - для сравнения с эталоном при одних условиях.

[свернуть]

[свернуть]

       -p, --packets <packets>

Открыть содержимое (спойлер)

Specify the number of packets to analyze in  --Analyze  mode  or use  in  --Benchmark  mode.   The  default  is 10,000 packets in --Benchmark mode, and unlimited in --Analyze mode.

Указать число пакетов для анализа в режиме --Analyze или --Bencmark. По умолчанию, 10000 пакетов в режиме --Bencmark и неограниченное в режиме --Analyze.

[свернуть]

       -d, --debug

Открыть содержимое (спойлер)

Run psad in debugging mode.   This  will  automatically  prevent psad  from  running  as a daemon, and will print the contents of the %Scan hash and a few  other  things  on  STDOUT  at  crucial points as psad executes.

Запустить  psad в режиме отладки. Автоматически предотвращает запуск psad как демона и будет выводить содержимое хеша %Scan и некоторых вещей в STDOUT в важные моменты при выполнении psad.

[свернуть]

       -c, --config <configuration-file>

Открыть содержимое (спойлер)

By  default  all of the psad makes use of the configuration file /etc/psad/psad.conf for  almost  all  configuration  parameters. psad can be made to override this path by specifying a different file on the command line with the --config option.

По умолчанию, большинство параметров  со всеми действиями находится в файле /etc/psad/psad.conf . Для psad можно переопределить такой путь, укажите иной, в командной строке с опцией --config.

[свернуть]

       --signatures <signatures-file>

Открыть содержимое (спойлер)

The iptables firewalling code included within  the  linux  2.4.x kernel  series has the ability to distinguish and log any of the TCP flags present within TCP packets that traverse the  firewall interfaces.  psad makes use of this logging capability to detect several  types  of   TCP   scan   signatures   included   within /etc/psad/signatures.   The  signatures were originally included within the snort intrusion detection system.  New signatures can be included and modifications to existing signatures can be made to the signature file and psad  will  import  the  changes  upon receiving a HUP signal (see the --HUP command line option) without having to restart the psad process.  psad also detects  many UDP  and  ICMP  signatures  that were originally included within snort.

Код firewall iptables был включен в ядро linux 2.4.x, которое умеет журналировать и различать флаги TCP в самих пакетах. Psad применяет такую возможность для обнаружения типа TCP сканирования через интерфейсы структур /etc/psad/signatures. Интерфейсы структур изначально предоставлены в IDS Snort. Новые интерфейсы структур возможно добавить и изменить существующие в таком файле, psad применит изменения с помощью HUP сигнала (см. – HUP) без перезапуска процесса psad. Кроме того psad обнаруживает интерфесы структур многих UDP и ICMP ранее включенных в snort.

[свернуть]

       -e, --email-analysis

Открыть содержимое (спойлер)

Send alert emails when run in --Analyze-msgs mode.  Depending on the  size  of  the  iptables logfile, using the --email-analysis option could extend the runtime of psad by  quite  a  bit  since normally  both DNS and whois lookups will be issued against each scanning IP address.  As usual these  lookups  can  be  disabled with the --no-rdns and --no-whois options respectively.

Отправлять e-mail с оповещением когда запущен в режиме --Analyze-msgs. В зависимости от размера журнала iptables, использование опции --email-analsis может продлить работоспособность psad не на много, так как обычно запросы DNS и whois могут быть расценены как сканирование. Обычно такие запросы отключены с опциями —no-rdns и —no-whois.

[свернуть]

       -w, --whois-analysis

Открыть содержимое (спойлер)

By  default  psad  does  not issue whois lookups when running in --Analyze-msgs mode.  The --whois-analysis option will  override this  behavior  (when run in analysis mode) and instruct psad to issue whois lookups against IP addresses  from  which  scans  or other suspect traffic has originated.

По умолчанию, psad не работает с запросами whois, когда запущен в режиме --Analyze-msgs. Опция whois-analysis может переопределить такое поведение (когда запущен analysis режим) и попросить psad обрабатывать запросы whois с ip-адресов сканирования или с подозрительным трафиком.

Открыть содержимое (спойлер)

lookup - запросы

[свернуть]

[свернуть]

       --analysis-auto-block

Открыть содержимое (спойлер)

Enable  auto-blocking  responses  when running in --Analyze-msgs mode.  This is mostly useful only for the psad test  suite  when auto-blocking responses are tested and verified.

Включить автоматическую блокировку ответов в режиме --Analyze-msgs. Полезно только при проверке psad, когда автоблокировка проверена и допустима.

Открыть содержимое (спойлер)

response - ответ

[свернуть]

[свернуть]

       --snort-type <type>

Открыть содержимое (спойлер)

Restrict  the  type  of snort sids to type.  Allowed types match the file names given to snort rules files such as "ddos", "back‐door", and "web-attacks".

Выделить type работы snort. Допустимые типы соответствуют правилам snort как "ddos", "backdoor" и "web-attack".

[свернуть]

       --snort-rdir <snort-rules-directory>

Открыть содержимое (спойлер)

Manually  specify  the directory where the snort rules files are located.  The default is /etc/psad/snort_rules.

В ручную указать каталог с правилами snort. По умолчанию /etc/psad/snort_rules.

[свернуть]

       --passive-os-sigs <passive-os-sigs-file>

Открыть содержимое (спойлер)

Manually specify the path to the passive operating  system  fingerprinting signatures file.  The default is /etc/psad/posf.

В ручную указать путь к пассивному интерфейсу структуры fingerprint. По умолчанию /etc/psad/posf.

[свернуть]

       --auto-dl <auto-dl-file>

Открыть содержимое (спойлер)

Occasionally  certain  IP  addresses  are  repeat  offenders and should automatically be given a higher danger level  than  would normally  be  assigned.   Additionally,  some  IP  addresses can always be ignored depending on your network  configuration  (the loopback interface 127.0.0.1 might be a good candidate for example).  /etc/psad/auto_dl provides an interface for psad to automatically  increase/decrease/ignore  scanning  IP danger levels. Modifications can be made to auto_dl (installed  by  default  in /etc/psad)  and  psad  will  import  them  with  'psad -H' or by restarting the psad process.

Иногда ip-адресам рецидивистов стоит автоматически присваивать высокой порог опасности. Более того, такие ip-адресами можно проигнорировать в зависимости от настроек сети (хороший пример loopback 127.0.0.1) . Использование /etc/psad/auto_dl автоматически допускает повышение/уменьшение/игнорирование порога опасности сканирования. Допускается вносить изменения в auto_dl (по умолчанию /etc/psad/), а psad будет подгружать его с psad -H или перезапуском процесса psad.

[свернуть]

       --fw-search <fw_search-file>

Открыть содержимое (спойлер)

By default all of the psad makes use of the firewall search configuration  file  /etc/psad/fw_search.conf  for  firewall search mode and search strings.  psad can be made to override this path by  specifying  a  different  file  on the command line with the --fw-search option.

По умолчанию psad применяет поиск такого файла для настройки firewall как /etc/psad/fw_search.conf для поиска режима и строк у firewall. Psad допускает переопределение такого пути с опцией --fw-search.

[свернуть]

       --fw-list-auto

Открыть содержимое (спойлер)

List all rules in iptables chains that are used by psad in autoblocking mode.

Показать весь список используемых цепочек iptables, которые используются psad в режиме autoblocking.

[свернуть]

       --fw-analyze

Открыть содержимое (спойлер)

Analyze  the  local  iptables ruleset, send any alerts if errors are discovered, and then exit.

Локальный набор правил iptables, отправка любых оповещенияй о ошибоках при исследовании для анализа и выход.

[свернуть]

       --fw-del-chains

Открыть содержимое (спойлер)

By default, if ENABLE_AUTO_IDS is  set  to  "Y"  psad  will  not delete    the    auto-generated   iptables   chains   (see   the IPT_AUTO_CHAIN keywords in psad.conf) if the --Flush  option  is given.   The  --fw-del-chains option overrides this behavior and deletes the autoblocking chains from a running  iptables  firewall.

По умолчанию, когда ENABLE_AUTO_IDS назначено "Y" psad не будет удалять автоматически полученные цепочки iptables (см. IPT_AUTO_CHAIN в psad.conf) с использованием опции --Flush. Опция --fw-del-chain переопределяет такое поведение и удаляет такие цепочки запущенного firewall iptables.

[свернуть]

       --fw-dump

Открыть содержимое (спойлер)

Instruct  psad  to dump the contents of the iptables policy that is running on the local system.  All IP  addresses  are  removed from  the  resulting  output,  so it is safe to post to the psad list, or communicate to others.  This option is most often  used with --Dump-conf.

Попросить psad вывести содержимое политик iptables применённых для локальной системы. Все IP-адреса удаляются для безопасной отправки полученного списка psad при обмене информацией в общении с другими. Эта опция часто используется с --dump-conf.

[свернуть]

       --fw-block-ip <ip>

Открыть содержимое (спойлер)

Specify an IP address or network to add to the iptables controls that are auto-generated by psad.  This allows psad to manage the rule timeouts.

Указать IP-адрес или сеть для добавления iptables под автоматический контроль управления psad. Это позволяет psad управлять правилами интервалов времени.

[свернуть]

       --fw-rm-block-ip <ip>

Открыть содержимое (спойлер)

Specify  an  IP  address  or network to remove from the iptables controls that are auto-generated by psad.

Указать IP-адрес или сеть для удаления iptables из под автоматического контроля  управления psad.

[свернуть]

       --fw-file <policy-file>

Открыть содержимое (спойлер)

Analyze  the  iptables  ruleset  contained  within   policy-file instead of the ruleset currently loaded on the local system.

Пронализировать набор привил iptables содержащихся в файле policy-file содержащем текущий загруженный набор правил для локальной системы.

[свернуть]

       --CSV-regex <regex>

Открыть содержимое (спойлер)

Instruct  psad  to only print CSV data that matches the supplied regex.  This regex is used to match against each of  the  entire iptables log messages.

Попросить psad только показать данные CSV соответствующие регулярному выражению. Такое регулярное выражение используется в соответствии с входящими сообщениям сообщениями журнала iptables.

[свернуть]

       --CSV-neg-regex <regex>

Открыть содержимое (спойлер)

Instruct  psad  to  only  print CSV data that does not match the supplied regex.  This regex is used to negatively match  against each of the entire iptables log messages.

Попросить psad вывести данные CSV НЕ соответствующие регулярному выражению. Такое регулярное выражение используется в соответствии с входящими сообщениям сообщениями журнала iptables.

[свернуть]

       --CSV-uniq-lines

Открыть содержимое (спойлер)

Instruct psad to only print unique CSV data.  That is, each line printed in --CSV mode will be unique.

Попросить psad вывести уникальные данные CSV. Т.е. каждую уникальную строку в режиме --CSV.

[свернуть]

       --CSV-max-lines <num>

Открыть содержимое (спойлер)

Limit the number of CSV-formatted lines that psad  generates  on STDOUT.   This is useful to allow AfterGlow graphs to be created that are not too cluttered.

Ограничить получение количества строк CSV-формата для psad в STDOUT. Полезно для оздания простых AfterGlow графов.

[свернуть]

       --CSV-start-line <num>

Открыть содержимое (спойлер)

Specify the beginning line number to start parsing  out  of  the iptables log file in --CSV output mode.  This is useful for when the log file is extremely large, and you want to begin parsing a specific place within the file.  The default is begin parsing at the beginning of the file.

Указать номер первой строки для начала разбора журнала iptables в режиме --CSV. Полезно, когда такой журнал большой и вы ищите в определённой части файла. По умолчанию такой разбор в самом начале файла.

[свернуть]

       --CSV-end-line <num>

Открыть содержимое (спойлер)

Specify the ending line number to stop parsing the iptables  log file in --CSV output mode.  This is useful for when the log file is extremely large, and you do not  want  psad  to  process  the entire thing.

Указать номер последней строки для конца разбора журнала iptables в режиме --CSV. Полезно, когда такой журнал большой и вы ищите в определённой части файла и вы не хотите все от psad, а только обработать конкретный кусок.

[свернуть]

       --gnuplot

Открыть содержимое (спойлер)

Enter  into Gnuplot mode whereby psad parses an iptables logfile and creates .gnu and .dat files that are suitable  for  graphing with Gnuplot.  The various --CSV command line arguments apply to plotting iptables log with Gnuplot.

Использовать Gnuplot режим psad для разбора журнала iptables и создать .gnu и .dat файлы для построения графиков с Gnuplot. Допустимые аргументы --CSV точечно выберут значения из журнала iptables для Gnuplot.

[свернуть]

       --gnuplot-template <file>

Открыть содержимое (спойлер)

Use a template file for all Gnuplot graphing directives (this is usually a .gnu file by convention).  Normally psad builds all of the graphing directives based on various --gnuplot command  line arguments, but the --gnuplot-template switch allows you to override this behavior.

Использовать шаблон-файл для всех директив графов Gnuplot (обычно, по соглашению .gnu). Psad строит директивы графов с значениями аргумента --gnuplot, но --gnuplot-template позволяет переопределить файл с таковыми. 

[свернуть]

       --gnuplot-file-prefix <file>

Открыть содержимое (спойлер)

Specify a prefix for the .gnu, .dat, and  .png  files  that  aregenerated  in --gnuplot mode.  So, when visualizing attacks captured in an iptables logfile (let's say you  are  interested  in port  scans),  you could use this option to have psad create the two files portscan.dat, portscan.gnu, and Gnuplot will create an additional  file  portscan.png  when  the  portscan.gnu  file is loaded.

Указать префикс для .gnu, .dat и .png файлов, которые будут созданы в режиме --gnuplot. Как наглядное изображение обнаруженных атак из журнала iptables (доупустим вас интересует сканирование портов), используйте опцию psad для  создания файлов portscan.dat и portscan.gnu, а Gnuplot создаст третий файл portscan.png при загрузке portscan.gnu.

[свернуть]

       --gnuplot-x-label <label>

Открыть содержимое (спойлер)

Set the label associated with the x-axis.

Указать отображаемую метку для оси X.

[свернуть]

       --gnuplot-x-range <range>

Открыть содержимое (спойлер)

Set the x-axis range.

Указать шаг для оси X.

[свернуть]

       --gnuplot-y-label <label>

Открыть содержимое (спойлер)

Set the label associated with the y-axis.

Указать отображаемую метку для оси Y.

[свернуть]

       --gnuplot-y-range <range>

Открыть содержимое (спойлер)

Set the y-axis range.

Указать шаг для оси Y.

[свернуть]

       --gnuplot-z-label <label>

Открыть содержимое (спойлер)

Set the label associated with the z-axis (only  if  --gnuplot-3D is used).

Указать отображаемую метку для оси Z (только при использовании --gnuplot-3D)

[свернуть]

       --gnuplot-z-range <range>

Открыть содержимое (спойлер)

Set the z-axis range. (only if --gnuplot-3D is used).

Указать шаг для оси Z (только при использовании --gnuplot-3D)

[свернуть]

       --gnuplot-3D

Открыть содержимое (спойлер)

Generate  a  Gnuplot  splot graph.  This produces a three-dimensional graph.

Создать граф splot с Gnuplot. Что бы сделать трёхмерный граф.

[свернуть]

       --gnuplot-view

Открыть содержимое (спойлер)

Set the viewing angle when graphing data in --gnuplot-3D mode.

Показать данные под углом в режиме --gnuplot-3D

[свернуть]

       --gnuplot-title <title>

Открыть содержимое (спойлер)

Set the graph title for the Gnuplot graph.

Указать заголовок графа Gnuplot

[свернуть]

       -I, --Interval <seconds>

Открыть содержимое (спойлер)

Specify the interval (in seconds) that psad should use to  check whether  or  not packets have been logged by the firewall.  psad will use the default of 15 seconds unless a different  value  is specified.

Указать интервал времени (в секундах) для проверок с psad или не журналировать пакеты firewall. Psad по умолчанию использует 15 секунд, если не указано иное.

[свернуть]

       -l, --log-server

Открыть содержимое (спойлер)

This option should be used if psad is being executed on a syslog logging server.  Running psad on a logging server requires  that check_firewall_rules()  and auto_psad_response() not be executed since the firewall is probably not being run locally.

Использовать если psad запущен на сервере для системного журналирования. Такой запуск требует check_firewall_rules() и auto_psad_response() которые не будут запущены, так как firewall, по всей видимости запущен не на локальной системе.

[свернуть]

       -V, --Version

Открыть содержимое (спойлер)

Print the psad version and exit.

Вывести версию psad и выйти.

[свернуть]

       --no-daemon

Открыть содержимое (спойлер)

Do not run psad as a daemon.   This  option  will  display  scan alerts on STDOUT instead of emailing them out.

Не запускать psad как демон. Опция будет отображать оповещения отправляемые по e-mail в STDOUT .

[свернуть]

       --no-ipt-errors

Открыть содержимое (спойлер)

Occasionally    iptables   messages   written   by   syslog   to /var/log/messages seem to not conform  to  the  normal  firewall logging  format  if the kernel ring buffer used by klogd becomes full.  psad will write these message to /var/log/psad/errs/fwerrorlog by default.  Passing the --no-ipt-errors option will make psad ignore all such erroneous firewall messages.

Иногда сообщения iptables записанные в системный журнал /var/log/messages не соответствуют обычному формату журналирования firewall, Если kernel ring buffer для klogd, то используется полностью. Psad запишет такие сообщения /var/log/psad/errs/fwerrorlog по умолчанию. Опция —no-ipt-errors отбрасывает psad сообщения такие ошибки firewall.

[свернуть]

       --no-whois

Открыть содержимое (спойлер)

By default psad will issue a whois query  against  any  IP  from which  a  scan has originated, but this can be disabled with the --no-whois command line argument.

По умолчанию psad ответит на запрос whois любому IP-адресу даже с которого идёт сканирование, но можно вообще отключить --no-whois.

[свернуть]

       --no-fwcheck

Открыть содержимое (спойлер)

psad performs a rudimentary check of the firewall  ruleset  that exists  on  the  machine  on which psad is deployed to determine whether or not the firewall has a compatible configuration (i.e. iptables has been configured to log packets).  Passing the --no-fwcheck or --log-server options will disable this check.

psad выполнит элtментарную проверку набора правил firewall на машине с psad для определения есть или нет подходящая настройка firewall ( настроен k ли на журналирование пакетов iptables). Опции --no-fwcheck или --log-server отбрасывают такую проверку.

[свернуть]

       --no-auto-dl

Открыть содержимое (спойлер)

Disable auto danger level assignments.  This  will  instruct  to not   import   any  IP  addresses  or  networks  from  the  file /etc/psad/auto_dl.

Отключить автоматический порог опасности. Попросить не добавлять ip-адреса или сети в файл /etc/psad/auto_dl

[свернуть]

       --no-snort-sids

Открыть содержимое (спойлер)

Disable snort sid processing mode.  This will instruct  psad  to not  import snort rules (for snort SID matching in a policy generated by fwsnort ).

Отключить у snort режим sid. Попросить не использовать правила snort (для устаревших SID политик созданных fwsnort)

[свернуть]

       --no-signatures

Открыть содержимое (спойлер)

Disable psad signature processing.  Note that this  is  independent  of  snort  SID  matching in iptables messages generated by fwsnort and also from the ICMP type/code validation routines.

Отключить обработку интерфейсов структур с psad. Обратите внимание, это не устаревшие SID snort от сообщений iptables созданных fwsnort или такие как процедуры проверки типы/коды ICMP.

[свернуть]

       --no-icmp-types

Открыть содержимое (спойлер)

Disable ICMP type and code field validation.

Отключить проверку полей тип и код ICMP.

[свернуть]

       --no-passive-os

Открыть содержимое (спойлер)

By default psad will attempt to passively (i.e. without  sending any  packets) fingerprint the remote operating system from which a scan originates.  Passing the --no-passive-os option will disable this feature.

По умолчанию psad пытается пассивно (т. е. Без проверки отправленных пакетов) fingerprint о удалённой операционной ситеме с которая как источник сканирования. Опция --no-passive-os отключит такую возможность.

[свернуть]

       --no-rdns

Открыть содержимое (спойлер)

psad  normally attempts to find the name associated with a scan‐ning IP address, but this feature can be disabled with the --no-rdns command line argument.

Обычно psad ищет имя сканируещего ip-адресата, но можно отключить --no-rdns.

[свернуть]

       --no-kmsgsd

Открыть содержимое (спойлер)

Disable  startup  of  kmsgsd.   This  option  is most useful for debugging with individual iptables messages so that new messages are not appended to the /var/log/psad/fwdata file.

Отключить запуск kmsgsd. Опция полезна для отладки по отдельным сообщениям iptables, как новые не добавленные в /etc/log/psad/fwdata.

[свернуть]

       --no-netstat

Открыть содержимое (спойлер)

By default for iptables firewalls psad will determine whether or not your machine is listening on a port for which a  TCP  signature  has  been  matched.  Specifying --no-netstat disables this feature.

По умолчанию psad для iptables firewall определяет насколько или вообще не производится прослушивание портов интерфеса структур TCP. Укажите --no-netstat для отключения такой возможности.

[свернуть]

       -h, --help

Открыть содержимое (спойлер)

Print a page of usage information for psad and exit.

Показать страницу с информацией для использования psad

[свернуть]

[Utility]

FILES
       /etc/psad/psad.conf

Открыть содержимое (спойлер)

The main psad configuration file  which  contains  configuration  variables mentioned in the section below.

Основной файл настойки psad, который содержит переменные настроек, указанные в разделе ниже.

[свернуть]

       /etc/psad/fw_search.conf

Открыть содержимое (спойлер)

Used  to  configure  the strategy both psad and kmsgsd employ toparse iptables messages.  Using configuration  directive  within this file, psad can be configured to parse all iptables messages or only those that match specific log prefix  strings  (see  the --log-prefix option to iptables).

Используется для настройки порядка разбора сообщений psad и kmsgsd от iptables. Используемые директивы настроек psad могут разобрать все сообщения Iptables или только те, которые соответствуют конкретным строкам с префиксом в журнале (см опцию --log-prefix у iptables).

[свернуть]

       /etc/psad/signatures

Открыть содержимое (спойлер)

Contains  the  signatures  psad uses to recognize nasty traffic.The signatures are written in a manner similar to the *lib  signature files used in the snort IDS.

Содержит интерфейсы структур psad для нахождения непригодных в трафике. Они аписаны в манере, подобной структуре интерфейсы *lib, используемых в snort IDS.

[свернуть]

       /etc/psad/icmp_types

Открыть содержимое (спойлер)

Contains all valid ICMP types and corresponding codes as defined by RFC 792.  By default,  ICMP  packets  are  validated  against these  values  and  an alert will be generated if a non-matching ICMP packet is logged by iptables.

Содержит все допустимые типы ICMP и передаваемые коды, как определено в RFC 792. По умолчанию, ICMP пакеты должны соответствовать таким значениям или будут оповещение о ICMP пакете попавшем в журнал iptables без соотвествия значениям.

[свернуть]

       /etc/psad/snort_rules/*.rules

Открыть содержимое (спойлер)

Snort rules files that are consulted by default unless the --no-snort-sids commmand line argument is given.

Файл с правилами Snort для ознакомления по умолчанию, если не указано обратное с --no-snort-sids.

[свернуть]

       /etc/psad/auto_dl

Открыть содержимое (спойлер)

Contains a listing of any IP addresses that should be assigned a danger level based on any traffic that is logged  by  the  firewall.  The syntax is "<IP address> <danger level>" where <danger level> is an integer from 0 to 5, with 0 meaning to  ignore  all traffic from <IP address>, and 5 is to assign the highest danger level to <IP address>.

Содержит список любых IP-адресов, которым должен быть назначен порог опасности на основе трафика журналируемого firewall.  Синтаксис "<IP address> <danger level>", где целое от 0 до 5, а 0 игнорировать весь трафик с <IP address>, 5 как самый высокий порог опасности <IP address>.

[свернуть]

       /etc/psad/posf

Открыть содержимое (спойлер)

Contains a listing of all passive operating system  fingerprinting  signatures.   These signatures include packet lengths, ttl, tos, IP ID, and TCP window size values that are specific to various operating systems.

Список всех интерфейсов структур fingerprint. Эти интерфейсы структур включают lenghs, ttl, tos, IP ID и tcp window size как  определяющие для различных ОС.

[свернуть]

PSAD CONFIGURATION VARIABLES
Обратите внимание, что url http://www.cipherdyne.org/psad/config.html выдаст 403 ошибку, прошу считать верным http://www.cipherdyne.org/psad/docs/config.html. НО В СТРАНИЦАХ ОФИЦИАЛЬНОГО РУКОВОДСТВА ЕСТЬ url http://www.cipherdyne.org/psad/config.html

Открыть содержимое (спойлер)

This  section describes what each of the more important psad configuration variables do and how they can be tuned to meet your  needs.   Most of   the   variables   are  located  in  the  psad  configuration  file /etc/psad/psad.conf but the FW_SEARCH_ALL and  FW_MSG_SEARCH  variables are  located  in  the  file /etc/psad/fw_search.conf.  Each variable is assigned sensible defaults for most network  architectures  during  the install process.  More information on psad config keywords may be found at: http://www.cipherdyne.org/psad/config.html

В этом разделе описываются наиболее важные переменные настройки psad. Большинство настроек psad находится /etc/psad/psad.conf, а настройки FW_SEARCH_ALL и FW_MSG_SEARCH находятся /etc/psad/fw_search.conf. Каждая переменная в разумных пределах и подходит для большинства сетевых архитектур из коробки. Подробности http://www.cipherdyne.org/psad/config.html

[свернуть]

+       EMAIL_ADDRESSES

Открыть содержимое (спойлер)

Contains a comma-separated list  of  email  addresses  to  which email alerts will be sent.  The default is "root@localhost".

Содержит список e-mail, как список разделённый через запятую, для отправки на них оповещений . По умолчанию - "root@localhost".

[свернуть]

+      HOSTNAME
Обратите внимание, что на официальной странице нет такой настройки, как HOSTNAME. НО В СТРАНИЦАХ ОФИЦИАЛЬНОГО РУКОВОДСТВА ЕСТЬ

Открыть содержимое (спойлер)

Defines  the  hostname  of the machine on which psad is running. This will be used in the email alerts generated by psad.

Указать hostname, для машины на которой запущен psad. Эта информация используется для формирования оповещений psad и их отправки по e-mail.

[свернуть]

+       HOME_NET
Обратите внимание, что в официальной документации сказано о том, что:
Во-первых для идентификации трафика;
Во-вторых такой трафик журналирутся в цепочке FORWARD iptables по правилам snort;
В-третьих по умолчанию такой трафик журналируется и в цепочках IN и OUT;
В -четвёртых, если ничего не написано psad сохраняет "боевой взвод по полной программе";
В-пятых сказано, HOME_NET не используется, если используется только один сетевой интерфейс в системе (т. е. трафик не будет зарегистрирован с помощью цепочки FORWARD в iptables). Если только один сетевой интерфейс, то просто укажите значение NOT_USED.

Открыть содержимое (спойлер)

Define the internal network(s) that are connected to  the  local system.   This  will  be  used in the signature matching code to determine whether traffic matches snort rules, which  invariably contain a source and destination network.  Multiple networks are supported as a comma separated list, and each network should  be specified  in  CIDR notation.  Normally the network(s) contained in the HOME_NET variable should be  directly  connected  to  the machine that is running psad.

Указать внутреннюю сеть(-и), подключенную локально к системе. Эта информация будет использоваться в соответствующем коде интерфейса структуры, для определения, сответсвию правилам snort содержащим источник и назначенную сеть. Допускается несколько сетей, как список разделенный через запятую и каждя такая сеть написана по правилам CIDR. Обычно сеть(-и), содержащиеся в HOME_NET непосредственно подключен(-а, -ы) к машине с запущенным на ней psad.

[свернуть]

+       IMPORT_OLD_SCANS
В официальной документации сказано, что нужно в случае когда нужно прекратить процесс и передать его данные о сканировании следующему процессу, - т.е. при перезапуске процесса psad.

Открыть содержимое (спойлер)

Preserve  scan  data  across  restarts  of  psad  or even across reboots of the machine.  This is accomplished by  importing  the data  contained  in  the  filesystem cache psad writes to during normal operation back into  memory  as  psad  is  started.   The filesystem   cache   data  in  contained  within  the  directory /var/log/psad.

Сохранение данных сканирования при перезапуске psad или перезагрузки самой машины. Происходит путём перемещение данных содержащихся записанными в кэше файловой системы, для нормальной операции возврата их в память при запуске psad. Данные в кеше файловой системы содержаться в директории /var/log/psad.

[свернуть]

++       FW_SEARCH_ALL Начало ...
Обратите внимание, что:
Во-первых, в официальной документации этой настройки нет;
Во-вторых, настройка FW_SEARCH_ALL ПО ОФИЦИАЛЬНОЙ ДОКУМЕНТАЦИИ ДОЛЖНА распологаться в файле /etc/psad/fw_search.conf. См. man psad, т.е. в Debian jessie просто copy-paste этот момент:
    Section
        PSAD CONFIGURATION VARIABLES
            "...Most of   the   variables   are  located  in  the  psad  configuration  file /etc/psad/psad.conf but the FW_SEARCH_ALL and  FW_MSG_SEARCH  variables are  located  in  the  file /etc/psad/fw_search.conf."
В-третьих, в Debian Jessie
$ psad -V

• psad v2.2.3 by Michael Rash <mbr@cipherdyne.org>
  
  Открыть содержимое (спойлер)

  man psad:
  

  Открыть содержимое (спойлер)

  "...However,  if  FW_SEARCH_ALL is set to "N", psad will only parse those iptables log  messages  that  match  certain  search strings  that  appear  in  iptables  logs  with the --log-prefix option..."
  
  "...Однако, если для FW_SEARCH_ALL указано "N", psad будет разбирать только сообщения в журнале iptables, которые соответствуют строкам поиска, которые появляются в журнале, для iptables с опцией --log-prefix..."
  

  [свернуть]

  http://www.cipherdyne.org/psad/docs/fwconfig.html:
  

  Открыть содержимое (спойлер)

  
  "Psad can be configured to only analyze those iptables messages that contain specific log prefixes (which are added via the --log-prefix option), but the default as of version 1.3.2 is for psad to analyze all iptables log messages for port scans, probes for backdoor programs, and other suspect traffic. See the list of features offered by psad for more information."

  [свернуть]

  
  "... Psad может быть настроен, только для анализировать тех сообщений, которые содержат конкретные префиксы в журнале iptables (которые добавляются с использованием опции --log-prefix), но по умолчанию, начиная с версии psad 1.3.2 анализирует все сообщения журнала iptables на предмет сканирования портов, попыток программ backdoor и прочего подозреваете трафика. Посмотреть возможности http://www.cipherdyne.org/psad/docs/features.html, предлагаемых psad для получения дополнительной информации....
  

  Открыть содержимое (спойлер)

  
  prefix - приставка
  

  [свернуть]

  [свернуть]
  ++       FW_SEARCH_ALL продолжение...
  
  Открыть содержимое (спойлер)

  
  Defines the search mode psad uses to  parse  iptables  messages. By  default FW_SEARCH_ALL is set to "Y" since normally most people want all iptables log messages to be parsed for scan  activity.   However,  if  FW_SEARCH_ALL is set to "N", psad will only parse those iptables log  messages  that  match  certain  search strings  that  appear  in  iptables  logs  with the --log-prefix option.  This is useful for restricting psad to only operate  on specific  iptables  chains  or  rules.  The strings that will be searched for are defined with the  FW_MSG_SEARCH  variable  (see below).   The  FW_SEARCH_ALL  variable  is  defined  in the file /etc/psad/fw_search.conf since it is referenced by both psad and kmsgsd.
  
  Указать используемый режим поиска psad для разбора журнала сообщений iptables. FW_SEARCH_ALL по умолчанию "Y", в большинстве случаев люди хотят разбирать все сообщения в журнале iptables на предмет сканироания. Однако, если для FW_SEARCH_ALL указано "N", psad будет разбирать только сообщения в журнале iptables, которые соответствуют строкам поиска, которые появляются в журнале, для iptables с опцией --log-prefix. Это полезно для выборочной работы psad над конкретными цепочками и правилами iptables ограничения psad. Строки, для поиска определяются как переменная FW_MSG_SEARCH (см. ниже). Переменные для FW_SEARCH_ALL в файле /etc/psad/fw_search.conf поскольку описывает её и для psad и для kmsgsd.
  

  [свернуть]
  +       FW_MSG_SEARCH
  Во-первых, в официальной документации этой настройки нет;
  Во-вторых, настройка FW_MSG_ALL ПО ОФИЦИАЛЬНОЙ ДОКУМЕНТАЦИИ ДОЛЖНА распологаться в файле /etc/psad/fw_search.conf. См. man psad, т.е. в Debian jessie просто copy-paste этот момент:
      Section
          PSAD CONFIGURATION VARIABLES
              "...Most of   the   variables   are  located  in  the  psad  configuration  file /etc/psad/psad.conf but the FW_SEARCH_ALL and  FW_MSG_SEARCH  variables are  located  in  the  file /etc/psad/fw_search.conf."
  
  Открыть содержимое (спойлер)

  
  Defines a set of search strings that psad uses to identify iptables messages that should be parsed for  scan  activity.   The sesearch  strings should match the log prefix strings specified in the iptables ruleset  with  the  --log-prefix  option,  and  the default  value for FW_MSG_SEARCH is "DROP".  Note that psad normally parses all iptables messages,  and  so  the  FW_MSG_SEARCH variable  is  only needed if FW_SEARCH_ALL (see above) is set to "N".  The FW_MSG_SEARCH variable is referenced by both psad  and kmsgsd so it lives in the file /etc/psad/fw_search.conf.
  
  Указать строки для поиска, используемые psad для обнаруженения сообщений от iptables, которые необходимо разобрать на предмет сканирования. Строки для поиска должны соответствовать правилам iptables с опцией --log-prefix, по умолчаниючению у FW_MSG_SEARCH переменная "DROP". Обратите внимание, что обычно psad разбирает все сообщения iptables, поэтому FW_MSG_SEARCH используется только в случае, если FW_SEARCH_ALL указано "N" (см. выше).Переменная для FW_MSG_SEARCH указывается в /etc/psad/fw_search.conf и для psad и для kmsgsd .
  

  [свернуть]
  +       SYSLOG_DAEMON
  Обратите внимание, что в официальной документации сказано работать только с одним демоном.
  
  Открыть содержимое (спойлер)

  
  Define  the  specific  syslog  daemon that psad should interface with.  Psad supports three syslog daemons:  syslogd,  syslog-ng, and metalog.  The default value of SYSLOG_DAEMON is syslogd.
  
  Указать тип используемого демона psad для системного журнала. Psad поддерживает три различных демона системного журнала: syslogd, syslog-ng и metalog.По умолчанию: SYSLOG_DAEMON syslogd;
  

  [свернуть]
  +       IGNORE_PORTS
  Обратите внимание, что в официальной документации сказано для гибкости и компенсации политик iptables, которые не получается идеально настроить (получаются избыточное и ненужное журналирование и сам трафик, либо есть приложения вроде fwknop)
  
  Открыть содержимое (спойлер)

  
  Specify a list of port ranges and/or individual ports and corresponding protocols that psad should complete  ignore.   This  is particularly  useful for ignore ports that are used as a part of a  port  knocking  scheme  (such  as  fwknop  http://www.cipherdyne.org/fwknop/) for network authentication since such log messages generated by the knock sequence may  otherwise  be  interpreted  as  a  scan.   Multiple  ports and/or port ranges may be specified   as   a   comma-separated   list,   e.g.     "tcp/22, tcp/61000-61356, udp/53".
  
  Назначить список из диапазонов и/или отдельных портов и используемых протоколов, которые psad должен игнорировать. На практике полезно для игнора портов, которые используются как часть port knocking scheme (таких как fwknop http://www.cipherdyne.org/fwknop/) для проверки подлинности сети после получения сообщения, создаваемаемого отдельными и последовательными knocking схожими с сканированием. Несколько портов и/или диапазонов портов можно указать списком разделённым через запятую, например, " tcp/22, tcp/61000-61356, udp/53".
  

  Открыть содержимое (спойлер)

  
  range - диапазон
  port knocking scheme - т.е. схема "простукивания" портов и если она верна, то например, в системе откроется 22 порт. Да такое поведение похоже на сканирование.
  

  [свернуть]

  [свернуть]
  +       ENABLE_PERSISTENCE
  
  Открыть содержимое (спойлер)

  
  If  "Y",  psad  will  keep  all scans in memory and not let them timeout.   This  can  help  discover  stealthy  scans  where  an attacker tries to slip beneath IDS thresholds by only scanning a few ports over a long period of time.  ENABLE_PERSISTENCE is set to "Y" by default.
  
  Если "Y", psad будет хранить все сканирования в памяти все время и не делать интервлы во времени между ними. Это может помочь обнаружить скрытое сканирование, где злоумышленник пытается обойти IDS не достигая порога обнаружения, сканируя только несколько портов на протяжении длительного периода времени. По умолчанию, ENABLE_PERSISTENCE указано "Y".
  

  [свернуть]
  +       SCAN_TIMEOUT
  Обратите внимание, что в официальной документации указано, что переменная в секундах
  
  Открыть содержимое (спойлер)

  
  If ENABLE_PERSISTENCE is "N" then psad will use the value set by SCAN_TIMEOUT to remove packets from the scan threshold  calculation.  The default is 3600 seconds (1 hour).
  
  Если ENABLE_PERSISTENCE указано "N", тогда psad будет использовать переменную для SCAN_TIMEOUT что бы удалять пакеты из счётчика порогов опасности. По умолчанию 3600 секунд (1 час).
  

  [свернуть]
  +       DANGER_LEVEL{1,2,3,4,5}
  Коротко, порог опасности может быть присвоен по конкретному совпадению с интерфейсом структуры (см. /etc/psad/signatures) или по ip-адресу, от которого исходит опасность, автоматически (см. /etc/psad/auto_dl).
  
  Открыть содержимое (спойлер)

  
  psad uses a scoring system to keep track of the severity a scans reaches (represented as a "danger level") over time.   The  DANGER_LEVEL{n} variables define the number of packets that must be dropped by the firewall before psad will assign  the  respective danger  level to the scan.  A scan may also be assigned a danger level if the scan matches a particular  signature  contained  in the signatures file.  There are five possible danger levels with one being the lowest and five the highest.  Note there are  several  factors  that  can  influence how danger levels are calculated: whether or not a  scan  matches  a  signature  listed  in /etc/psad/signatures,  the  value  of  PORT_RANGE_SCAN_THRESHOLD (see below), whether or not a scan comes  from  an  IP  that  is listed in the /etc/psad/auto_dl file, and finally whether or not scans are allowed  to  timeout  as  determined  by  SCAN_TIMEOUT above.   If  a signature is matched or the scanning IP is listed in /etc/psad/auto_dl, then the  corresponding  danger  level  is automatically assigned to the scan.
  
  Psad использует систему нарастания для присвоения порога за интервал времени наблюдаемому сканированию (назовём как "порог опасности"). Переменные для DANGER_LEVEL{n} означает число пакетов, которое отброшено файрволом что бы psad смог назначить соответствующий порог опасности для сканирования. Сканированию можно присвоить порог опасности по интерфейсу структуры  схожему с содержимым файла интерефесов структур. Существует пять возможных порогов опасности 1 низший и 5 высокий. Примечание существует несколько факторов, которые могут влиять на то, как рассчитываются уровни опасности: совпадение сканирования интерфейсу структуры из файла /etc/psad/signatures, содержимое PORT_RANGE_SCAN_THRESHOLD (см. ниже), допустимо ли сканирование с IP, который указан в файле /etc/psad/auto_dl, и, наконец, делается ли интервал во времени между сканированиями по SCAN_TIMEOUT. Если интерфейс структур подтвержден или IP-адрес из списка в /etc/psad/auto_dl, то соответствующий порог опасности автоматически назначается сканированию.
  

  Открыть содержимое (спойлер)

  
  scoring - нарастания, потому как deposit накопление
  

  [свернуть]

  [свернуть]
  +       PORT_RANGE_SCAN_THRESHOLD
  Для отправки e-mail о сканировании должно быть просканировано N количество портов. Если 0 (т.е. минимум 1 (любой) порт) и кол-во пакетов на любой порт превысило порог опасности 1, то будет отправлено оповещение по e-mail.
  
  Открыть содержимое (спойлер)

  
  Defines  the  minimum difference between the lowest port and the highest port scanned before an alert is sent (the default  is  1 which  means that at least two ports must be scanned to generate an alert).  For example, suppose an ip repeatedly scans a single port  for  which  there  is  no special signature in signatures. Then if PORT_RANGE_SCAN_THRESHOLD=1, psad  will  never  send  an alert for this "scan" no matter how many packets are sent to the port (i.e.  no matter what the value of DANGER_LEVEL1 is).   The reason  for the default of 1 is that a "scan" usually means that at least two ports are probed, but if you want psad to be  extra  paranoid  you  can  set  PORT_RANGE_SCAN_THRESHOLD=0 to alert on scans to single ports (as long as the  number  of  packets  also exceeds DANGER_LEVEL1).
  
  Определяет минимальный диапазон портов подвегнувшихся сканированию что бы отправить оповещение (по умолчанию значение 1, т.е. минимум два порта должны быть отсканированы для создания предупреждений). Предположим, что IP многократно сканирует один порт, для которого нет специального интерфейса структуры в интерфейсе структуре (прим. имеется ввиду файл). Тогда при PORT_RANGE_SCAN_THRESHOLD=1, psad никогда не будет посылать оповещение для этого "сканирования" независимо от того, сколько пакетов было послано на порт (т. е. независимо от того, какое значение является DANGER_LEVEL1). По умолчанию 1 означает, что "сканирование" это минимум два сканированных порта, но если вы хотите что бы psad был параноидальным, то вы можете установить PORT_RANGE_SCAN_THRESHOLD=0, чтобы получать оповещения при сканировании минимум 1 порта (при условии, что число пакетов также превысит DANGER_LEVEL1).
  

  [свернуть]
  +       SHOW_ALL_SIGNATURES
  Используется для того, что бы использовать все интерфейсы структур для сканирования и оповещать о совпадении с ними. Может привести к большому потоку из писем с оповещениями. Иначе оповещение будет только новых совпадениях.
  
  Открыть содержимое (спойлер)

  
  If  "Y", psad will display all signatures detected from a single scanning IP since a scan was first detected instead of just displaying  newly-detected  signatures.  SHOW_ALL_SIGNATURES is set to "N" by default.   All  signatures  are  listed  in  the  file /etc/psad/signatures.
  
  Если "Y", psad будет просматривать все инетрфейсы структур, обнаруженные от IP как если бы сканирование было впервые обнаружено, а не просто показ недавно обнаруженного интерфейса структуры. По умолчанию SHOW_ALL_SIGNATURES указано "N" . Все интерфейсы структур перечислены в файле /etc/psad/signatures.
  

  [свернуть]
  +       SNORT_SID_STR
  В официальной документации сказано, что SNORT_SID_STR используется для обработки psad полученных значений sid, которые как префикс в журнале iptables от fwsnort или snort2iptables. По умолчанию, SID полученный от fwsnort в журнал iptables, как содержимое строк с SID940.
  
  Открыть содержимое (спойлер)

  
  Defines  the  string kmsgsd will search for in iptables log messages that are generated by iptables rules  designed  to  detect snort    rules.     The   default   is   "SID".    See   fwsnort (http://www.cipherdyne.org/fwsnort/).
  
  Указать строку kmsgsd для поиска в журнале сообщений iptables, порожденных правилами iptables сформированных правилами обнаржения snort. Значение по умолчанию "SID". Подробности о fwsnort (http://www.cipherdyne.org/fwsnort/).
  

  Открыть содержимое (спойлер)

  
  SID - system id, singnature id?
  

  [свернуть]

  [свернуть]
  +       ENABLE_DSHIELD_ALERTS
  В официальной документации сказано, что данные о безопасности обычно  системными администраторами считаются  конфиденциальными, поэтому по умолчанию ENABLE_DSHIELD_ALERTS  "N" , но dshield предоставляет полезный сервис для людей, которые беспокоятся о безопасности сети и включают эту функцию полезную для сообщества.
  
  Открыть содержимое (спойлер)

  
  Enable dshield alerting mode.  This will send a  parsed  version of  iptables  log messages to dshield.org which is a (free) distributed intrusion detection service.  For more information, see http://www.dshield.org/
  
  Включить режим оповещения Dshield. Это позволит отправить разобранный версии журнала сообщений iptables для dshield.org, который является (бесплатно) распострняемой IDS. Подробности см. http://www.dshield.org/
  

  Открыть содержимое (спойлер)

  
  distributed - распостранение
  intrusion detection service - сервис по использованию обнаружений
  

  [свернуть]

  [свернуть]
  +       IGNORE_CONNTRACK_BUG_PKTS
  В официальной документации сказано, что коды TCP-соединения отслеживается в ядре Linux и устанавливают не соразмерные короткие интрвалы времени для подтверждения пакетов связанных с TCP-сессией, которые пришли как CLOSE WAIT. Обратите внимание, что для TCP-пакетов отключение сингнатур на уровне контроля отслеживается fwsnort и будут по прежнему сообщать о опасности и генерировать префиксы в журнал iptables, как SID940, которые подлежат первоначальному анализу psad.
  
  Открыть содержимое (спойлер)

  
  If  "Y",  all TCP packets that have the ACK or RST flag bits set will be ignored by psad since usually we see such packets  being blocked  as  a  result  of the iptables connection tracking bug. Note there are no signatures that make use of the RST  flag  and very few that use ACK flag.
  
  Если "Y", все TCP пакеты с битом содержащим флагом ACK или RST игнорируется psad, т.к. обычно мы видим такие пакеты блокированными в результате отслеживания потока ошибок о подключениях в iptables. Обратите внимание, это не интерфейс структуры, флаги RST и ACK используются не так часто.
  

  [свернуть]
  +       ALERT_ALL
  Т.е. реагировать на любой подозрительный трафик и оповещать о нём по e-mail, независимо от порога опасности.
  
  Открыть содержимое (спойлер)

  
  If  "Y", send email for all new bad packets instead of just when a danger level increases.  ALERT_ALL is set to "Y" by default.
  
  Если "Y", отправлять e-mail для всех новых плохих пакетов, а не просто когда порог опасности повысился. По умолчанию ALERT_ALL  указано "Y" .
  

  [свернуть]
  +       PSAD_EMAIL_LIMIT
  В официальной документации сказано, что по умолчанию 0, назначает psad не устанавливать какое-либо ограничение на число оповещений по e-mail, о конкретном ip-адресе. Обычно если какой-либо ip-адресс генерирует psad тысячи писем оповещений о опасности, - это неправильная конфигурация политик в iptables или неправильное управление сетью с этим ip-адресом. Обратите внимание, что эта функция с значением большим 0 и может привести к отсутсвию сообщений о реальной опасноти, если атака производится выше достигнутого порога от ip-адреса.
  
  Открыть содержимое (спойлер)

  
  Defines the maximum number of emails that will  be  sent  for  a single  scanning  IP  (default  is 50).  This variable gives you some protection from psad sending  countless  alerts  if  an  IP scans  your  machine constantly.  psad will send a special alert if an IP has exceeded the email limit.  If  PSAD_EMAIL_LIMIT  is set  to  zero,  then  psad  will ignore the limit and send alert emails indefinitely for any scanning ip.
  
  Определяет максимальное количество сообщений, которые будут отправлены о сканирования с одного IP (по умолчанию 50). Полезно, когда нужно ограничить поток e-mail от psad, если IP сканирует ваш компьютер постоянно. psad отправит специальное предупреждения, если превышен лимит сообщений по e-mail для такого IP. Если PSAD_EMAIL_LIMIT указан 0, то psad будет игнорировать лимит и отправит e-mail с оповещением при любом сканировании с IP.
  

  [свернуть]
  +       EMAIL_ALERT_DANGER_LEVEL
  
  Открыть содержимое (спойлер)

  
  Defines the danger level a scan must reach before any  alert  is sent.  This variable is set to 1 by default.
  
  Указать порог опасности сканирования для отправки любого оповещения. По умолчанию указано 1.
  

  [свернуть]
  +       ENABLE_AUTO_IDS
  В официальной документации сказано, что по умолчанию N, в связи с тем, что могут быть проблемы связанные с подключеним к сети, если изначально не правильно настроенные политики iptables (например, если регистрирует траффик законного отклика dns) или если злоумышленник узнает, что включена автоблокировка к spoofing ваших любимых сайтов или маршрутизатора уровнем выше. Psad поддерживает белый список ip-адресов для исключения блокировки, они имеют уровень автоматической опасности 0.  Содержимое /etc/psad/auto_dl может быть использовано для автоматического повышения опасности, при сканировании т. к. траффик может исходить от конкретного адреса и/или ip-адреса в соответствующей сети.
  
  Открыть содержимое (спойлер)

  
  psad has the capability of dynamically blocking all traffic from an IP that has reached a  (configurable)  danger  level  through modification  of  iptables  or  tcpwrapper rulesets.  IMPORTANT: This feature is disabled by default since it is possible for  an attacker  to  spoof  packets  from  a well known (web)site in an effort to make it look as  though  the  site  is  scanning  your machine, and then psad will consequently block all access to it.  Also, psad works by parsing firewall messages  for  packets  the firewall  has  already  dropped, so the "scans" are unsuccessful anyway.  However, some administrators prefer to take  this  risk anyway  reasoning  that  they  can always review which sites are being blocked and manually remove the block  if  necessary  (see the --Flush option).  Your mileage will vary.
  
  psad имеет возможность динамически блокировать весь трафик от IP-адреса, который достиг (настроенного) порога опасности из-за модификации для iptables или набора правил tcpwrapper. Важно: Эта функция отключена по умолчанию, т. к. злоумышленник может подменить пакеты из хорошо известных (веб)сайтаов что будет выглядеть выглядеть, как будто сайт сканирует вашу машину, и соответственно psad заблокирует блокировать весь доступ к нему. Кроме того, psad может работать путем разбора cообщений firewall о отброшенных пакетах, что делает "сканирование" безуспешным в любом случае. Впрочем, некоторые администраторы предпочитают рискнуть, рассуждая, что они всегда готовы просмотреть какие сайты блокируются и вручную снять блокировку, если это необходимо (см. опцию --Flush). Ваш счётчик будет меняться.
  

  [свернуть]
  +       AUTO_IDS_DANGER_LEVEL
  В официальной документации сказано, что назначить минимальный порог опасности для сканирования, прежде чем psad заблокирует ip-адрес (Должен быть ENABLE_AUTO_IDS указано "Y"). По умолчанию 5, это высокий уровень опасности присваеваемый psad любому сканированию
  
  Открыть содержимое (спойлер)

  
  Defines  the  danger  level  a  scan must reach before psad will automatically block the IP (ENABLE_AUTO_IDS must be set to "Y").
  
  Определяет порог опасности сканирования для автоматической блокировки psad по IP (ENABLE_AUTO_IDS должен быть установлен в "Y").
  

  [свернуть]
  Настройки которые есть в официальной документации, но отстуствуют в man psad. Отдельным блоком в отдельном сообщении выложу переводы настроек по официальной документации
  
  Открыть содержимое (спойлер)

  
  PSAD_CHECK_INTERVAL
  EMAIL_LIMIT_STATUS_MSG
  DSHIELD_ALERT_EMAIL
  DSHIELD_ALERT_INTERVAL
  DSHIELD_USER_ID
  DSHIELD_USER_EMAIL
  DSHIELD_DL_THRESHOLD
  AUTO_BLOCK_TIMEOUT
  IPTABLES_BLOCK_METHOD
  IPTABLES_AUTO_RULENUM
  TCPWRAPPERS_BLOCK_METHOD
  WHOIS_TIMEOUT
  WHOIS_LOOKUP_THRESHOLD
  DNS_LOOKUP_THRESHOLD
  ENABLE_EXT_SCRIPT_EXEC
  EXTERNAL_SCRIPT
  

  [свернуть]

[Utility]

Этот блок "добью" информацией позже
EXAMPLES

Открыть содержимое (спойлер)

The following examples illustrate the command line arguments that could be supplied to psad in a few situations:

Следующие примеры иллюстрируют аргументы командной строки, которые могут быть выбраны psad в нескольких ситуациях:

[свернуть]

Открыть содержимое (спойлер)

Signature  checking, passive OS fingerprinting, and automatic IP danger level assignments are enabled by default without having to specify any command line arguments (best for most situations):

Проверка интерфейса структуры, пассивный fingerprint ОС и автоматический порог опасности IP  включены по умолчанию без указания аргументов командной строки (оптимально для большинства ситуаций):

[свернуть]

Код Выделить Развернуть


# psad


Открыть содержимое (спойлер)

Same as above, but this time we use the init script to start psad:

То же, что и выше, но на этот раз мы используем init-скрипт для запуска psad:

[свернуть]

Код Выделить Развернуть


# /etc/init.d/psad start


Открыть содержимое (спойлер)

Use  psad  as a forensics tool to analyze an old iptables logfile (psaddefaults to analyzing the /var/log/messages file if the  -m  option  is not specified):

Использование psad как медицинский инструмент по припарированию для анализа старого журнала iptables (если опция -m не указана, psad проверяет по умолчанию /var/log/messages):

[свернуть]

Код Выделить Развернуть


# psad -A -m <iptables logfile>


Открыть содержимое (спойлер)

Run  psad  in forensics mode, but limit its operations to a specific IP address "10.1.1.1":

Запустить psad в экспертном режиме, но ограничивать свою деятельность к определенному IP-адресу "10.1.1.1":

[свернуть]

Код Выделить Развернуть


# psad -A -m <iptables logfile> --analysis-fields src:10.1.1.1


Открыть содержимое (спойлер)

Generate graphs of scan data using AfterGlow:

Получить графы после сканированя для работы с AfterGlow:

[свернуть]

Код Выделить Развернуть


# psad --CSV --CSV-fields src dst dp --CSV-max 1000 -m  <iptables  log‐file>  |  perl  afterglow.pl -c color.properties | neato -Tgif -o iptables_graph.gif


Открыть содержимое (спойлер)

The psad.conf, signatures,  and  auto_dl  files  are  normally  located within  the  /etc/psad/ directory, but the paths to each of these files can be changed:

psad.conf, интерфейсы структур и auto_dl обычно располагаются в директории /etc/psad, но пути некоторых из них могут быть изменены:

[свернуть]

Код Выделить Развернуть


# psad -c <config file> -s <signatures file> -a <auto ips file>


Открыть содержимое (спойлер)

Disable the firewall check and the local port lookup subroutines;  most useful if psad is deployed on a syslog logging server:

Отключить проверку firewall и локальные программы подстановки портов; наиболее полезно, если psad развернут на сервере журналирования syslog.

[свернуть]

Код Выделить Развернуть


# psad --log-server --no-netstat


Открыть содержимое (спойлер)

Disable  reverse  dns  and whois lookups of scanning IP addresses; most useful if speed of psad is the main concern:

Отключите обратный поиск в DNS и whois сканирования IP-адресов; наиболее полезно, если скорость psad является главной заботой:

[свернуть]

Код Выделить Развернуть


# psad --no-rdns --no-whois

DEPENDENCIES

Открыть содержимое (спойлер)

psad requires that iptables is configured with a "drop and log"  policy for  any  traffic that is not explicitly allowed through.  This is con‐ sistent with a secure network configuration since all traffic that  has not  been explicitly allowed should be blocked by the firewall ruleset. By default, psad attempts to determine whether or not the firewall  has been  configured  in  this  way.  This feature can be disabled with the --no-fwcheck or --log-server options.  The --log-server option is  useful if psad is running on a syslog logging server that is separate from the firewall.  For more information on  compatible  iptables  rulesets, see the FW_EXAMPLE_RULES file that is bundled with the psad source distribution.

[свернуть]

Открыть содержимое (спойлер)

psad by default parses the /var/log/messages file for all iptables  log data.

[свернуть]

DIAGNOSTICS

Открыть содержимое (спойлер)

The --debug option can be used to display crucial information about the psad data structures on STDOUT as a scan generates  firewall  log  messages.  --debug disables daemon mode execution.

[свернуть]

Открыть содержимое (спойлер)

Another  more  effective way to peer into the runtime execution of psad is to send (as root) a USR1 signal to the psad process which will cause psad    to    dump    the    contents    of    the    %Scan   hash   to /var/log/psad/scan_hash.$$ where $$ represents  the  pid  of  the  psad process.

[свернуть]

SEE ALSO
iptables(,  kmsgsd(,  psadwatchd(, fwsnort(, snort(, nmap(1), p0f(1), gnuplot(1)
AUTHOR
Michael Rash <mbr@cipherdyne.org>
CONTRIBUTORS

BUGS
DISTRIBUTION

Открыть содержимое (спойлер)

Many people who are active in the open source community  have  contributed  to  psad.   See  the  CREDITS  file in the psad sources, or visit http://www.cipherdyne.org/psad/docs/contributors.html  to   view   the online list of contributors.

[свернуть]

BUGS

Открыть содержимое (спойлер)

Send  bug  reports  to mbr@cipherdyne.org.  Suggestions and/or comments are always welcome as well.

[свернуть]

Открыть содержимое (спойлер)

For iptables firewalls as  of  Linux  kernel  version  2.4.26,  if  the ip_conntrack  module  is  loaded  (or compiled into the kernel) and the firewall has been configured to keep state of connections, occasionally packets  that are supposed to be part of normal TCP traffic will not be correctly identified due to a bug in the firewall  state  timeouts  and hence dropped.  Such packets will then be interpreted as a scan by psad even though they are not part of any malicious activity.   Fortunately, an  interim  fix  for  this  problem  is  to simply extend the TCP_CONNTRACK_CLOSE_WAIT  timeout  value  in  linux/net/ipv4/netfilter/ip_conntrack_proto_tcp.c  from  60  seconds to 2 minutes, and a set of kernel patches is included within the patches/ directory in the  psad  sources to  change  this.  (Requires a kernel recompile of course; see the Kernel-HOWTO.)  Also, by default the IGNORE_CONNTRACK_BUG_PKTS variable is set  to  "Y"  in  psad.conf which causes psad to ignore all TCP packets that have the ACK bit set unless the packets match  a  specific  signature.

[свернуть]

DISTRIBUTION

Открыть содержимое (спойлер)

psad is distributed under the GNU General Public License (GPL), and thelatest version may be downloaded from: http://www.cipherdyne.org/ Snort is a registered trademark of Sourcefire, Inc.

[свернуть]

http://cipherdyne.org/psad/docs/fwconfig.html
psad iptables Policy Configuration
или
+ Информация о настройке политик iptables для совместимости с psad

Открыть содержимое (спойлер)

The main requirement for an iptables policy to be compatible with psad is simply that iptables logs packets. This is commonly accomplished by adding rules to the INPUT and FORWARD chains like so:

Основное требование для политик iptables, прозрачная совместимсоть psad и журналированием пакетов iptables. Обычно достигается путем добавления правил в цепочки INPUT и FORWARD следующим образом:

[свернуть]

Код Выделить Развернуть


# iptables -A INPUT -j LOG
# iptables -A FORWARD -j LOG


Открыть содержимое (спойлер)

The rules above should be added at the end of the INPUT and FORWARD chains after all ACCEPT rules for legitimate traffic and just before a corresponding DROP rule for traffic that is not to be allowed through the policy. Note that iptables policies can be quite complex with protocol, network, port, and interface restrictions, user defined chains, connection tracking rules, and much more. There are many pieces of software such as Shorewall (прим. http://www.shorewall.net/) and Firewall Builder (прим. http://www.fwbuilder.org/), that build iptables policies and take advantage of the advanced filtering and logging capabilities offered by iptables. Generally the policies built by such pieces of software are compatible with psad since they specifically add rules that instruct iptables to log packets that are not part of legitimate traffic. Psad can be configured to only analyze those iptables messages that contain specific log prefixes (which are added via the --log-prefix option), but the default as of version 1.3.2 is for psad to analyze all iptables log messages for port scans, probes for backdoor programs, and other suspect traffic. See the list of features (прим. http://cipherdyne.org/psad/docs/features.html) offered by psad for more information.

Вышеуказанные правила должны быть добавлены в конце цепочек INPUT и FORWARD после всех ACCEPT правил для допустимого трафика и также перед соответствующими правилами DROP для отбрасываемого трафика в политике. Обратите внимание, что iptables политики могут быть достаточно сложными и описываться протоколом, сетью, портом, выбором сетевого интерфейса и ограничениями, определенными использованной цепочки, взаимосвязанными правилами подключений и многое другое. Существует множество дополнений программного обеспечения, таких как Shorewall (прим. http://www.shorewall.net/) и Firewall Builder (прим. http://www.fwbuilder.org/), помогающих формировать политики iptables и пользоваться расширенными фильтрами и возможностями журналирования, доступных в iptables. Как правило политика, построенная из таких кусочков программного обеспечения совместима с psad, так как они специально добавляют правила по просьбе журналировать пакеты iptables, которые не являются частью допустимого трафика. Psad может быть настроен, только для анализа только тех сообщений, которые содержат определённые prefix в журнале iptables (которые добавляются с помощью опции --log-prefix), но по умолчанию начиная с версии 1.3.2 для psad анализирует все сообщения в журнале iptables на предмет сканирования портов, попыток программ backdoor и прочего подозрительного трафика. Посмотрите список функций (прим. http://cipherdyne.org/psad/docs/features.html) предлагаемые psad для получения дополнительной информации.

[свернуть]

Обратите внимание, в man psad section DESCRIPTION: "...Kmsgsd (устарел)  читает все сообщения попавшие в именованный канал  /var/lob/psad/psadfifo и пишет любое сообщение, соответствующее конкретному регулярному выражению (или строке) в /var/log/log/psad/fwdata. Kmsgsd используется только с выключенной переменной ENABLE_SYSLOG_FILE в psad.conf. Psadwatchd это ПО сторожевой таймер для перезапуска  остальных двух остальных демонов, как убить демон в любом случае...". Т.е. ENABLE_SYSLOG_FILE может присутствовать в psad.conf, но считается устарвшей

Открыть содержимое (спойлер)

By default, psad just parses the /var/log/messages file where iptables writes log data via klogd. If your system send iptables log data to a different file, you can set this via the IPT_SYSLOG_FILE variable in the /etc/psad/psad.conf file. Some older versions of psad used a different strategy for acquiring iptables log data by reconfiguring syslog to write all kern.info messages to a named pipe that is setup by psad. Although psad still supports this, it should be considered deprecated. The default is to set ENABLE_SYSLOG_FILE to "Y" in the psad.conf file, which tells psad to just parse /var/log/messages directly.

По умолчанию, psad просто разбирает файл /var/log/messages где записи журнала данных iptables через klogd. Если ваша система отправляет данные журнала iptables в различные файлы, то можно указать через IPT_SYSLOG_FILE в файле  /etc/psad/psad.conf. Некоторые старые версии psad использовали различные стратегии для работы с журналом данных iptables путем перенастройки syslog, т.е. установка писать все kern.info сообщения по именованному каналу psad. Несмотря на то что psad поддерживает эту функцию, она должна считаться как устаревшая. По умолчанию ENABLE_SYSLOG_FILE указано "Y", в файле psad.conf, который попросит psad только разбирать файл /var/log/messages.

Открыть содержимое (спойлер)

acquiring - account quote учёт цитирования ?

[свернуть]

[свернуть]

Открыть содержимое (спойлер)

More information on psad configuration can be found within the syslog configuration guide (прим. http://cipherdyne.org/psad/docs/syslog.html).

Более подробно о настройке psad можно найти в руководстве настройки syslog  (прим. http://cipherdyne.org/psad/docs/syslog.html).

[свернуть]

http://cipherdyne.org/psad/docs/syslog.html
psad Syslog Configuration
+ Информация о настройке syslog для совместимости с psad

Открыть содержимое (спойлер)

The first thing to check if psad is not receiving any iptables log messages is to make sure that your iptables/ip6tables policy is configured to log packets that aren't associated with legitimate traffic. For example, if you are running a webserver, you probably don't want iptables to log web connections. There are some technicalities when it comes to state tracking and logging packets that aren't part of established connections, but this is a tangent. Basically you want a "default log and drop" policy for your iptables/ip6tables policy, and this will result in psad being able to see log messages for malicious traffic.

Первое, что нужно проверить, не получает ли psad любое сообщение журнала iptables указанное вашим настройками политик iptables/ip6tables для журналирования пакетов вообще не связаных с допустимым трафиком. Например, если вы запускаете веб-сервер, вы, вероятно, не хотите журналировать веб-подключения в iptables. Есть некоторые тонкости, когда дело доходит до отслеживания и журналирования пакетов как части не установленных соединений, но это по касательной. В общем, руководствуйтесь политиками "по умолчанию журналировать и отбрасывать" для iptables/ip6tables, и это приведет к результату, когда psad будет в состоянии увидеть сообщения журнала о вредоносном трафике.

[свернуть]

Открыть содержимое (спойлер)

Once you have psad installed, you can do the following (as root) to test whether psad is able to see iptables log messages:

После установки psad, вы можете сделать следующее (как root) проверить, способен ли psad  видеть сообщения журнала iptables:

[свернуть]

Код Выделить Развернуть


# iptables -I INPUT -i lo -p tcp --dport 3003 -j LOG --log-prefix "Inbound "
# telnet localhost 3003


Открыть содержимое (спойлер)

Assuming that psad is running, this should generate in /var/log/messages something similar to:

Предполагая, что psad запущен, то должно быть получено нечто похожее в /var/log/messages на:

[свернуть]

Код Выделить Развернуть


Jun 15 23:37:33 netfilter kernel: Inbound IN=lo OUT=
MAC=00:13:d3:38:b6:e4:00:01:5c:22:9b:c2:08:00 SRC=127.0.0.1 DST=127.0.0.1 LEN=60
TOS=0x10 PREC=0x00 TTL=64 ID=47312 DF PROTO=TCP SPT=40945 DPT=3003 WINDOW=32767
RES=0x00 SYN URGP=0


Открыть содержимое (спойлер)

Also, executing "psad --Status" should display (among other things) something like:

Кроме того, "psad --Status" должено показатб (помимо прочего) что-то вроде:

[свернуть]

Код Выделить Развернуть


Iptables prefix counters:

    "Inbound": 1

Cообщение объединено 30 июля 2015, 22:41:23
Так добиваю блок, который обещал и приступлю к переработке и пересмотру по источникам информации.
Похоже, что автор изначально ведёт актуальную информацию на самом сайте, во вложении не актуализирует. Сформирую и посмотрим
Cообщение объединено 31 июля 2015, 09:55:23
Дополнительно, ранее созданная тема wiki https://wiki.debian.org/iptables  с переводом wiki https://wiki.debian.org/iptables
Прим. Возможно стоит посотреть в сторону /etc/network/interfaces pre-up
Думаю продолжить, такими ресурсами как:
https://access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux/6/html/Security_Guide/sect-Security_Guide-IPTables.html
http://ipset.netfilter.org/iptables.man.html
man iptables
https://www.frozentux.net/documents/iptables-tutorial/ -> https://www.frozentux.net/documents/iptables-tutorial/translations/ -> https://www.frozentux.net/iptables-tutorial/iptables-tutorial.html
Если есть предложения, то пишите.