저는 Linux 홈 서버를 설정하고 있는데 일부 가이드에서는 psad를 사용하여 침입 시도를 감지할 것을 권장합니다. 이 가이드에서는 psad를 설정하는 방법과 포트 스캔이 감지될 때 경고 이메일을 받는 방법을 자세히 설명합니다. 그러나 이러한 경고 이메일에 어떻게 대응해야 하는지는 설명하지 않았습니다.
스캔이 발생하면 어떻게 해야 합니까? 수동으로 해야 할 일이 있으면 자동화해야 하는 것 아닌가요? 결국, 내 서버의 보안은 서버에 즉시 주의를 기울이는 능력에 달려 있어서는 안 됩니다. 그렇다면 경고 이메일의 요점은 무엇입니까?
답변1
내 질문에 대한 답을 찾았습니다.psad FAQ:
3.1 psad가 내 시스템의 스캔을 캡처하면 어떻게 해야 합니까?
Nmap은 인터넷에서 무료로 사용할 수 있으므로 컴퓨터의 포트 스캔을 원하는 사람은 누구나 할 수 있으며 매우 효과적으로 수행할 수 있습니다. 그러나 이러한 검사의 대부분은 상대적으로 무해합니다. 특히 1) 해당 동작을 중지하면 이를 탐지할 수 있고(psad가 사용하는 방법) 2) 검사를 실행하는 사람이 k1dd13 중 하나인 경우에는 더욱 그렇습니다. 특정 IP에서 반복적으로 스캔을 수신하는 경우 psad 경고의 whois 정보를 사용하여 해당 IP를 소유한 사람이 누구인지 확인하고 직접 연락할 수 있습니다(물론 스캔이 스푸핑될 수 있다는 점을 명심하십시오).
그러니 당연히 책임 있는 사람에게 선의로 중지를 요청하는 것 외에는 할 수 있는 일이 없습니다.