PSAD（端口扫描攻击检测）用于阻止服务器上的后期扫描。 PSAD工具继续监视防火墙（iptables的）日志来确定端口扫描或任何其他的攻击发生。如果对服务器的某些成功攻击发生，psad 也会采取措施来检测威胁。这是在 Linux 系统上运行的轻量级系统守护进程的集合。

特征：

1. 这支持 iptables 生成的 ipv4 和 ipv6 日志
2. 在 GNU 通用公共许可证下免费和分发
3. 具有 TCP、UDP、ICMP 扫描特性、反向 DNS 的电子邮件通知
4. 根据扫描级别通过 iptables 和 TCP 包装器自动阻止可疑 IP 地址

在安装、更新和升级系统之前。

更新命令：

sudo apt update 

升级命令：

sudo apt upgrade 

安装PSAD：

sudo apt install psad

Psad 需要许多从 Ubuntu 存储库自动安装的依赖项。所以在安装过程中，我们会得到一个如下图所示的弹出窗口，它是邮件服务器配置的 psad 提示。

配置：

PSAD 使用防火墙（iptables）日志来检测机器中的任何恶意活动。因此，要在 iptables 的输入和转发链上启用数据包的日志记录。命令如下

sudo iptables -A INPUT -j LOG
sudo iptables -A FORWARD -j LOG 

此后执行上述两个命令，您将不会得到任何输出。如下图所示

使用上述命令启用日志后，运行以下命令以列出 iptables 的当前配置：

sudo iptables -L

执行上述命令后，您将获得如下屏幕截图所示的输出：

配置PSAD：

默认情况下，Psad 将其配置文件、snort 规则和签名存储在 /etc/psad 目录下。让我们从编辑主要的 psad 配置 /etc/psad/psad.conf 开始，这在部署到生产服务器时有很多参数需要更改。因此，让我们不要深入研究这个概念，我们将在 PSAD 中更改一些内容，以便它检测 iptables 日志并采取必要的措施来检测攻击。

nano /etc/psad/psad.conf

执行上述命令后，您将获得如下屏幕截图所示的输出：

所以更改文件如下：

EMAIL_ADDRESSES   root@localhost; ##change it your email id to get psad alerts 

HOSTNAME          test-machine; # your host machine name 

HOME_NET          192.168.154.0/24; # Set LAN network 

EXTERNAL_NET      any; # Set Wan network 

ENABLE_SYSLOG_FILE      Y; #by default set yes

PSAD 的主要配置之一是设置 IPT_SYSLOG_FILE 参数。默认情况下，它在 /var/log/messages 中搜索日志，但在 ubuntu 中，它在 /var/log/syslog 中，因此我们必须更改路径，以便 PSAD 检测到恶意活动。

IPT_SYSLOG_FILE             /var/log/syslog; #change it from /message to /syslog

这里我们将使用 PSAD 作为 IDS/IPS，所以启用它。这将自动更改 iptables 规则以阻止来自攻击者的扫描。

ENABLE_AUTO_IDS Y;         # disable by default

因此，在对上面几行中的 psad.conf 进行更改后（例如更改：电子邮件地址、主机名、home_net、External_net、IPT_SYSLOG_FILE、ENABLE_AUTO_IDS），只需保存文件并退出即可。

至此基本配置psad文件就完成了。现在我们可以更新签名，以便它可以正确识别已知的攻击类型。

sudo psad --sig-update

执行命令后，您将得到如下图所示的结果：

所以现在要启动 PSAD 使用以下命令：

Command: /etc/init.d/psad start

正如你在下面的截图中看到这将启动PSAD工具

我们可以通过只是在上面的命令停止替换开始停止PSAD工具。