Apa itu PSAD ?

PSAD = Port Scan Attacks Detector
Nah dari namanya sudah sangat jelas ya, jadi tidak ada yang perlu dijelaskan lagi.

Ok Langsung saja install :

apt update 
apt install psad

Edit dan tambahkan PSAD info

vi /etc/rsyslog.conf

tambahkan :

kern.info |/var/lib/psad/psadfifo

Restart PSAD

/etc/init.d/rsyslog restart

edit configuration :

vi /etc/psad/psad.conf

Sesuaikan kebutuhan , contoh : untuk blok otomatis

ENABLE_AUTO_IDS Y;
IPTABLES_BLOCK_METHOD Y;

Restart lagi

/etc/init.d/psad restart


Update Firewall Rules for ipv4 and ipv6

iptables -A INPUT -j LOG
iptables -A FORWARD -j LOG
ip6tables -A INPUT -j LOG
ip6tables -A FORWARD -j LOG


Update signature dan reload PSAD

psad -R
psad --sig-update
psad -H

Melihat reporting nya

psad -S

atau :

cat /var/log/psad/status.out

Membuka blokir PSAD

# Buka semua
psad -F
# Buka untuk IP tertentu
psad --fw-rm-block-ip <IP-Address>

 

source : www.unixmen.com

 

1000 Characters left