Hallo,

ich habe jetzt versucht portsentry zu installieren, und wenn ich das mit /usr/local/psionic/portsentry/portsentry -atcp
mache, gibt es keine Fehler!
Wenn ich allerdings das -atcp weglasse, kommt
ERROR: Configuration files are missing and corrupted
ERROR: For more details look in your syslog
ERROR: Shutting down portsentry

So ungefähr sieht die Fehlermeldung aus!
Kennt sich da jemand vielleicht aus oder kann einen Vorschlag machen?

greetings

verve

hi

vielleicht hilft dir die seite weiter => http://www.linuxfocus.org/Deutsch/September2001/article214.shtml


Gruß HL

Das hilft mir leider bei meinem Problem auch nicht weiter :-(
Hat jemand vielleicht noch einen Vorschlag? Dies ist sehr sehr wichtig, also bitte ich euch selbst wage Vermutungen oder Vorschläge zu posten!

Danke

greetings

verve

hi verve

ich hab das ganze nur überflogen. es gibt anscheinend 6 optionen mit denen man portsentry starten kann. eine hast du davon gewählt mit -atcp


Die Fünfte und Sechste sind "-atcp" und "-audp". Dies sind die effektivsten Optionen ("a" steht für erweitert (advanced)). Bei Nutzung dieser Optionen erstellt Portsentry eine Liste der lauschenden Ports, TCP und UDP, wenn beides gewählt wurde, und blockt kontaktierende Hosts auf den Ports, es sei denn, der Host soll von Portsentry ignoriert werden.

wenn du portsentry nun startest ohne ihm zu sagen, in welchem modus er starten soll, quittiert er das mit einer fehlermeldung. is nur ne vermutung, habs nicht ausprobiert. er sagt dir auch wo du mehr info's findest.


ERROR: Configuration files are missing and corrupted
ERROR: For more details look in your syslog
ERROR: Shutting down portsentry


viel wichtiger als solche tools sind aber erstmal ne vernünftige firewall und sauber konfigurierte dienste


Gruß HangLoose

hi to all

@verve

welche version von portsentry benutzt du, es gibt wie meistens mehrere?
diese haben unterschiedliche startoptionen.
version 2.0b1 wird nur mit dem wort portsentry ohne optionen gestartet.

greetz rabenkind :))

hallo rabenkind,

ich hab die neuseste 2.0b1, allerdings kann ich diese nicht nur mit portsentry starten, sondern ich muss Option mit angeben (--> -atcp bei mir)!
Dann läuft er auch einwandfrei!

greetings

verve

ERROR: For more details look in your syslog
Und hast du das getan? Was steht dort?

hallo, schuldige für die dumme Frage, aber was ist noch mal die syslog (bzw. wo finde ich diese?)?

greetings

verve

syslog: /var/log/messages
/var/log/warn enthält manchmal auch nützliches

hi to all

@verve

das mit -atcp glaube ich nicht weil auf der webseite von portsentry steht zu version 2.0B1

http://www.psionic.com/products/portsentrychanges.html

folgendes:
- Advanced mode TCP/UPD mode is not in operation yet and will be added back
later.
die mitteilung ist vom 05.03.2002 und in den nachfolgenden steht nichts davon das er das wieder mit rein genommen hat. auch im configure oder change des tar's steht nichts von optionen. :(

die fähigkeit aktiv auf ereignisse zu reagieren hat portsentry aber trotzdem, bei mir lief es, aber es genügt meinen ansprüchen nicht.

ausserdem wenn du nichtmal weißt wo dein syslog hinschreibt woher willst du dann wissen das portsentry läuft, er meldet sich nämlich nur dort, mit einer initialize-meldung.

greetz rabenkind :))

hallo rabenkind,

ps aux | grep portsentry

zeigt mir an, dass er läuft! Außerdem wusst ich wo portsentry das hinloggt, ich wusste nur nicht dass das auch syslog genannt wird!
Wenn portsentry deinen ansprüchen nicht genügt, welche Anwendung tut es dann?
Ich möchte meinen PC so möglich wie sicher bekommen, also bin ich auch für weitere Vorschläge dankbar!

greetings

verve

hi verve

anstatt portsentry würde ich dir snort vorschlagen, geht entweder als rpm (bei suse, redhat, debian(deb)) oder aus den quellen, dazu kannst du das howto von HangLoose verwenden.
Ich glaube zumindest das er eines geschrieben hat.

portsentry genügt mir nicht weil die möglichkeiten des aktiven reagierens auf scans oder webaccess durch nimda und co. nicht fein genug einstellbar sind. man kann halt nur auf "scans" und an "max 64 ports" reagieren. aber nicht auf die art des zugriffs. zb wer mehr als viermal auf port 1214 anfragt wird gedropt, rejected oder auf einen deadhost umgeleitet. es ist halt nicht flexibel genug.

snort loggt hervorragend und mit dem mysql und acid bekommst du auf deinem apache eine schöne webseite die ausführlich informiert und sehr umfangreich ist. einfach klasse die etwas umfangreiche installation lohnt auf jeden fall.

ich werte im moment mit metalog (ein syslog ersatz) die snortlogs aus und reagiere dann entsprechend. bzw metalog lässt sich sehr flexibel konfigurieren (perl-syntax), so kann ich zb Zugriffe auf einen port auswerten und bei definierten kriterien gezielt aktionen auslösen lassen. siehe obiges beispiel und folgendes:
so kann ich halt auch die lästigen webzugriffe durch nimda nach drei logzeilen droppen damit sie mir nicht die logs so vollhauen. :)

greetz rabenkind :))

hi rabenkind,

ich benutze ja schon snort!
Das läuft bei mir hervorragend, nur wollt ich halt noch ein aktives tool, dass die hacker auch abwehrt!
Was ist denn dieses metalog? Ich würde mir das ja gerne draufinstallieren, nur ist die Installation bestimmt mal wieder kompliziert, oder? Im Moment laufen bei mir portsentry und snort miteinander!
Doch wie gesagt, ich möchte meinen pc so sicher wie möglich bekommen!
Könntest du mir vielleicht helfen, z.B. metalog zu installieren/konfigurieren und richtig anzuwenden?

greetings

verve

hi verve

teste metalog im moment noch, und solange ich nicht weiß ob es zuverlässig ist mit den aktionen die es ausführen soll, werde ich niemanden raten es zu installieren.
ich muss auch noch mit der perlsyntax klarkommen, bin ich nicht gewöhnt. habe aber jetzt auch noch snort mit aktiv response compiliert und teste auch das gerade.

wenn ich das zuverlässig am laufen habe stelle ich aber auch ein install howto mit tips auf meine webseite.

aber allgemein wenn du einen router hast kann ich dir nur raten sowenig dienste wie nötig, die aber dann auch gut durchkonfigurieren und nicht unbedingt immer den neuesten kernel, besser so 2.4.16 ~.
ansonsten natürlich regelmäßig sicherheitsupdates.

vielleicht Lids oder rsbac verwenden, sind aber recht umfangreich bei der konfiguration, im moment aber wohl das beste an opensourcesecurity was es gibt.

schönes wochenende an alle

greetz rabenkind :))

#15 als Spam gemeldet.