PortSentry

Debian系システムでのPortSentryのインストールと設定

ロール変数

/etc/portsentry/portsentry.conf ファイルについて

• portsentry_tcp_ports: [デフォルト: 1,11,15,79,111,119,143,540,635,1080,1524,2000,5742,6667,12345,12346,20034,27665,31337,32771,32772,32773,32774,40421,49724,54320]: クラシックおよび基本的なStealthモードのためのTCPポート設定
• portsentry_udp_ports: [デフォルト: 1,7,9,69,161,162,513,635,640,641,700,37444,34555,31335,32770,32771,32772,32773,32774,31337,54321]: クラシックおよび基本的なStealthモードのためのUDPポート設定
• portsentry_advanced_exclude_tcp: [デフォルト: 113,139]: 無視するTCPポート、PortSentryは受信したリクエストに応答しません。実際のバウンドデーモンのように扱います。
• portsentry_advanced_exclude_udp: [デフォルト: 520,138,137,67]: 無視するUDPポート、PortSentryは受信したリクエストに応答しません。実際のバウンドデーモンのように扱います。
• portsentry_ignore_file: [デフォルト: /etc/portsentry/portsentry.ignore]: 無視するホスト
• portsentry_history_file: [デフォルト: /var/lib/portsentry/portsentry.history]: 拒否されたホスト（履歴）
• portsentry_blocked_file: [デフォルト: /var/lib/portsentry/portsentry.blocked]: このセッションで拒否されたホスト（次回再起動までの一時的なブロック）
• portsentry_RESOLVE_HOST: [デフォルト: 0]: DNS名解決、1はDNSルックアップを有効にし、0（またはその他の値）は無効にします。
• portsentry_block_udp: [デフォルト: 0]: UDP/TCPに対する自動応答オプションの有効化（UDPはブロックしたいが、TCPはブロックしない場合）0はUDP/TCPスキャンをブロックしない、1はUDP/TCPスキャンをブロックする、2は外部コマンドのみ実行
• portsentry_block_tcp: [デフォルト: 0]: UDP/TCPに対する自動応答オプションの有効化（TCPはブロックしたいが、UDPはブロックしない場合）0はUDP/TCPスキャンをブロックしない、1はUDP/TCPスキャンをブロックする、2は外部コマンドのみ実行
• portsentry_kill_route: [デフォルト: /sbin/iptables -I INPUT -s $TARGET$ -j DROP]: ルートをドロップするか、ホストをローカルフィルターテーブルに追加するためのコマンド
• portsentry_scan_trigger: [デフォルト: 0]: アラームが鳴る前に許可するポート接続の数を入力します。デフォルトは0で、すぐに反応します。

/etc/portsentry/portsentry.ignore.static ファイルについて

• portsentry_ignore_static: [デフォルト: []]: 永久にブロックしたくないホストをここに追加します（形式：ip/netmask）。ネットマスクを指定しない場合、32ビットと見なされます。

依存関係

なし

サンプルプレイブック

- hosts: servers
  roles:
    - portsentry

ライセンス

MIT