Konfigurations-Parameter von hosts-deny
ACHTUNG: Es ist zwingend erforderlich, daß Sie nicht nur die Parameter in der hdeny.setting.php anpassen, sondern unbedingt die Installations-Anleitung durchgehen!
| Parameter | Default | Infos zu diesem Parameter |
| _alertlog | /var/log/snort/alert | Pfad zur Alert-Datei (evtl. auch html) Diese Datei enthält die snort-alerts, die von hosts-deny ausgelesen werden. Diese Datei muß für hosts-deny lesbar sein! |
| _denyhost | /etc/hosts.deny | In dieser Datei werden die IP-Sperren eingetragen, um Angriffe von Angreifern für einen definierten Zeitraum abzuwehren! Diese Datei muß für hosts-deny lese- und schreibbar sein! |
| _proftpdhost | /etc/proftpd.deny | Nur bei älteren Linux - Derivaten, wie z.B. Debian Sarge, die FTP-Kommunikationvia proftpd ermöglichen, ist hier eine gesonderte Datei anzulegen! In dieem Fall muß auch weiter unten der Parameter _proftpd auf 1 gesetzt werden! Bei neueren Linux - Derivaten mit neueren Versionen von proftpd, ist der Parameter _proftpd auf 0 zu setzen und die Variable _proftpdhost wird nicht ausgewertet! Sofern Sie nicht als FTP-Server proftpd einsetzen ist ebenfalls eine 0 in _proftpd zu setzen! Ab Debian 4 (Etch) ist proftpd auf dem neuesten Stand und der Parameter muß _proftpd verbleibt auf 0, auch muß hier nichts eingetragen werden. |
| _dbname | hostsdeny | Name der Datenbank, in der hosts-deny vollen Zugriff erhält und die für einen ordentlichen Betrieb von hosts-deny benötigt wird. |
| _dblogin | hostsdeny | Login - Name zur hostsdeny-Datenbank |
| _dbpassw | irgendein Paßwort | Passwort zum Login - Namen der hostsdeny-Datenbank |
| _dbhost | localhost | Sofern die Datenbank sich auf dem gleichen Server befindet, ist der Hostname localhost. Auch ist es möglich, daß hosts-deny auf einem entfernten Datenbank-Server betrieben wird. Momentan kann noch nicht eine gemeinsame Datenbank für mehrere Server verwendet werden, siehe geplante Features |
| _proftpd | 0 | siehe _proftpdhost, paar Zeilen höher! |
| _email | Ihre eMail | über diese Mail - Adressen erhalten Sie Warnungen von hosts-deny |
| _homeips | Array: localhost, IPs Ihres Servers | Der erste Wert in diesem Array muß immer localhost lauten. Es darf anstatt localhost keine IP eingegeben werden! Des weiteren sind hier alle IPs des Servers oder des vServers einzutragen, die Sie mit dem Befehl ifconfig abrufen können! 127.0.0.1 bitte nicht mit angeben! Normalerweise wird pro Server nur eine externe IP verwendet, es sind jedoch theoretisch weitere IPs auf den Server aufschaltbar. Die IPs in dieser Liste werden nicht in die hosts.deny eingetragen, aber andererseits werden manche Log-Einträge der alert.log umgedreht gespeichert und damit diese Angriffe ebenfalls korrekt ausgewertet werden können, ist die korrekte Eintragung der IPs des Servers hier notwendig. |
| _maxalerts | 100 | wird momentan nicht mehr ausgewertet |
| _prio1max | 2 | ein Blocking erfolgt, wenn zwei Angriffe innerhalb einer Zeit in Prio 1 erfolgt sind. Ferner wird ein Mix-Counter pro Angriff *4 erhöht. Der Default-Wert ist absolut optimal! |
| _prio2max | 4 | ein Blocking erfolgt, wenn vier Angriffe innterhalb einer Zeit in Prio 2 erfolgt sind. Ferner wird ein Mix-Counter pro Angriff *2 erhöht.Der Default-Wert ist absolut optimal! |
| _prio3max | 7 | ein Blocking erfolgt, wenn sieben Angriffe innerhalb einer Zeit in Prio 3 erfolgt sind. Ferner wird ein Mix-Counter pro Angriff *1 erhöht.Der Default-Wert ist absolut optimal! |
| _priomixmax | 15 | ein Blocking erfolgt, wenn in Mix die Summe von 15 erzielt worden ist, so z.B. ein Angriff in Prio 1, ein Angriff in Prio 2, und 9 Angriffe in Prio 3 - oder 1 Angriff in Prio 1 und 3 Angriffe in Prio 2 und 5 Angriffe in Prio 3.Der Default-Wert ist absolut optimal! Der Default-Wert ist absolut optimal! |
| _maxblock | 3 | eine IP wird maximal 3 mal geblockt und wieder entblockt, bevor Sie generell in einen Superblock geht, der z.B. erst nach 30 Tage aufgehoben wird! Der Default-Wert ist absolut optimal! |
| _blocktime | 3600 | 3600 Sekunden = 60 Minuten = 1 Stunde Ein Blocking einer IP erfolgt nach der ersten Angriffswelle 1 Stunde. Danach wird das Blocking wieder aufgehoben. Der Default-Wert ist absolut optimal! |
| _blocktime2 | 36000 | 36000 Sekunden = 600 Minuten = 10 Stunden Wurde nach der 1. Angriffswelle und einem Blocking von 1 Stunde, die IP wieder entblockt und über diese IP erfolgt erneut eine Angriffswelle, wird die IP für 10 Stunden geblockt! Danach wird die IP wieder entblockt. Diese Zeit gilt auch für jede weitere Angriffswelle, es sei denn wird erreicht, dann gilt bis zum entblocken! (Superblock). Der Default-Wert ist absolut optimal! |
| _segment1max | 10 | Sofern ein Angreifer seine IP wechselt, um den Angriff fortzusetzen, so reichen 10 IPs innerhalb des gleichen Segmentes, die zum gleichen Zeitpunkt geblockt sind, um das gesamte Segment in 3. Ebene zu blocken, bis die IPs dieses Segementes wieder entblockt sind. Also z.B. alle IPs von 123.123.123.xxx. Der Default-Wert ist absolut optimal! |
| _segment2max | 20 | Sofern ein Angreifer seine IP über einen größeren Segment-Bereich ständig ändern, um die Angriffe fortzusetzen, so reichen 20 IPs innerhalb des gleichen Segmentes, die zum Zeitpunkt geblockt sind, um das gesamte Segment in 2. Ebene zu blocken, bis die IPs dieses Segmentes wieder entblockt sind. Also z.B. alle IPs von 123.123.xxx.xxx. Der Default-Wert ist absolut optimal! |
| _segment3max | 100 | Sofern ein Angreifer seine IP über einen größeren Segement-Bereich ständig ändert, um die Angriffe fortzusetzen, so reichen 100 IPs des Hauptsegmentes aus, die zum Zeitpunkt geblockt sind, um das gesamte Hauptsegment in 1. Ebene zu blocken, bis die IPs dieses Segementes wieder entblockt sind. Also z.B. alle IPs von 123.xxx.xxx.xxx. Der Default-Wert ist absolut optimal! |
| _segdeltime | 24 | Segmente werden nach 24 Stunden automatisch gelöscht! |
| _deltimenorm | 7 | Löschen von IPs aus dem ipcounter, wenn innerhalb von 7 Tagen kein Angriff mehr erfolgt ist und die IP nicht bereits 3 mal geblockt worden ist! |
| _deltimemax | 30 | Löchen von IPs aus dem ipcounter nach spätestens 30 Tagen, auch wenn bereits 3 mal geblockt war! |
Die default-Werte, insbesondere bezgl. der Blockings sind optimal! Es ist sehr unwahrscheinlich, daß überhaupt Segmente geblockt werden müssen, aber dann sind diese wirklich notwendig! Sie sollten gelegentlich mal einen Blick in Ihre hosts.deny werfen, insbesondere, wenn Sie starten. Ferner führen ggf. manche snort-alerts zu einem übersensibilisiertem Blocking, ggf. müssen Sie manche snort-Rules abschalten. In der nächsten Version erhalten Sie hier zu weitere Empfehlungen.
Lesen Sie unbedingt die Installations-Anleitung
Snort®, Sourcefire™, the Snort logo and the Sourcefire logo are trademarks of Sourcefire. All other product names, company names, marks, logos, and symbols may be the trademarks of their respective owners.
