Сканирование портов от пользователей VM
После получения Уведомления Злоупотребления от моего поставщика сервера я задавался вопросом, как они делают, чтобы проверить весь мой трафик и отправить мне эти злоупотребления. Я был бы возможный любить знать, существует ли некоторое программное обеспечение, которое я могу загрузить так, чтобы я мог мешать своим клиентам делать злонамеренные операции.. или по крайней мере заметьте меня перед моим поставщиком treathens меня.
Я видел некоторые вещи как Фырканье, NodeWatch и VPSmon, но ни один из них 'Управление' машины VPS от сканирования портов.
Любая справка здесь была бы намного больше, чем ценивший
Редактирование: Я не пытаюсь остановить людей от внешней стороны до сканирования портов, но людей от внутренней части до сканирования портов Интернет, иначе мои клиенты от выполнения злонамеренных операций :)
Теперь с помощью так называемого PSAD блокируется сканирование портов. pSAD проверяет журналы, и вы можете установить уровни опасности, например: 15 сканирований = уровень1, 50 сканирований = уровень2 и т. д. и получать уведомления об определенном уровне опасности.
Если у вас возникли проблемы со сканированием портов, я настоятельно рекомендую глядя на pSAD http://cipherdyne.org/psad/
Он обнаруживает вторжение автоматически, и вам не нужно ничего менять в таблицах IP, поскольку он сам об этом позаботится.
Спасибо @ecelis за его комментарий, который привел меня к этому открытию.
Outbound ACL's
На нашем брандмауэре настройте исходящие ACL, чтобы ваши пользователи могли использовать только те сервисы в Интернете, которые вы разрешаете.
Я полагаю, что правила http и https для исходящего порта с любым> любым будет нормально. DNS будет использоваться внутренне (предположение с моей стороны), и это, вероятно, решит вашу проблему.
Так как вы провайдер VPS, и я полагаю, что ваши клиенты получают root на своих VPS, очень мало что вы можете сделать в сетевом стеке, так как фильтрация не будет блокировать или обнаруживать все, и очень вероятно, что вы получите много ложных пуативов. Вы можете настроить iptables на фильтрацию определенных tcp-флагов перезагрузки за короткие промежутки времени, записать их в журнал и использовать что-нибудь для отправки вам уведомлений
Единственное решение, о котором я могу подумать, это сканирование файловой системы ваших клиентов с помощью руткитового сканера, такого как https://rootkit.nl/projects/rootkit_hunter.html или аналогичного, ищущего знакомства с инструментооборотом. Но вы можете столкнуться с проблемами конфиденциальности со стороны ваших клиентов.