使用portsentry保护你的电脑(2)

可以通过更改/etc/portsentry/portsentry.conf来改变portsentry的运行的方式.可以选择监视

哪个端口,用哪个模式监视,以及检测到扫描后的响应方式,这些响应包括:
@阻塞远程主机的访问
@将从远程主机发来的信息重新路由到没响应的主机
@添加防火墙规则来拒绝远程主机发来的包
/etc/protsentry/portsentry.modes这个文件只包括能运行的模式
更改这些文件,必须作为根用户编辑
1) 选择端口
文件protsentry.conf定义了在basic和stealth模式下哪些端口被监视.默认条件下,只有基本的TCP和 UDP模式是被激活遏,所以,只有这些端口被监视,TCP_PORTS和UDP_PORTS选项定义了一些被监视的端口:
grep -E '^TCP_PORTS|^UDP_PORTS' portsentry.conf
用grep来察看
linux中的网络服务从/etc/services中得到分配的端口号.因此,通常我们可以检查/etc/services来找到 指定给被扫描端口的大多数服务
选择要监视的端口基于两个不同的标准,选择低端口号来捕获在端口1开始的以及对几百个端口扫描的扫描器, 如果扫描器在访问完端口1后被阻塞,那么它就不可能得到本地主机上可能开着的其它端口信息.
另外一个标准是包括被入侵者特殊的检查端口,因为那些服务最容易被攻击,它们包括ststat和netstat服务 如果担心被攻击,想要覆盖更多的端口,会希望增加端口到portsentry.conf的列表中.如果从basic到stealth扫描 ,被监视的端口是被ADVANCED_PORTS_TCP和ADVANCED_PORTS_UDP选项定义的那些.见默认状态设置:
ADVANCED_PORTS_TCP="1023"
ADVANCED_PORTS_UDP="1023"
这表明,1~1023的所有端口将被监视.
监视高端口号会引起更多的误报,可以通过
ADVANCED_EXCLUDE_TCP="111,113,139"
ADVABCED_EXCLUDE_UDP="520,138,137,67"
排除出错的端口
默认情况,使用TCP(111,113,139)的ident和NetBIOS服务以及UDP(520,138,137,67)的route,NetBIOS和Bootp服务将 被排除在高级扫描之外