{{indexmenu_n>30}}
====== Portsentry ======

Portsentry est un outil de détection de scan de ports. Il surveille les ports du système et effectue une action, en général un bannissement, s'il détecte une tentative de connexion à un ou des ports non autorisés de façon successive ou simultanée.

Pour installer Portsentry, on exécute la commande suivante :

<code>sudo apt-get install portsentry</code>

Pour notre configuration on active le mode avancé de portsentry pour surveiller les ports inférieurs à 1024 afin d'éviter les faux-positifs et utiliser iptables à la place de route.

===== Configuration =====

On va éditer le fichier de configuration de Portsentry :

<code>sudo vi /etc/portsentry/portsentry.conf</code>

On va d'abord activer le blocage automatique en modifiant les lignes suivantes :

<code apache>
BLOCK_UDP="1"
BLOCK_TCP="1"
</code>

Puis pour utiliser iptables on va commenter l'attribut KILL_ROUTE par défaut et le remplacer par :

<code apache>
#KILL_ROUTE="/sbin/route add -host $TARGET$ reject"
KILL_ROUTE="/sbin/iptables -I INPUT -s $TARGET$ -j DROP"
</code>

Enregistrer et éditer le fichier suivant :

<code>sudo vi /etc/default/portsentry</code>

Et modifier les valeurs de TCP_MODE et UDP_MODE par :

<code apache>
TCP_MODE="atcp"
UDP_MODE="audp"
</code>

Pour finir on relance le service pour prendre en compte les nouveaux paramètres :

<code>sudo /etc/init.d/portsentry restart</code>