Web Digest

PSAD自身带了足够的包, 可以用它自带的安装脚本进行Install。这样可以得到最新的版本，不同从源里找略显陈旧的老版。（虽然最新版也要近一年前发布的）

不过官方网站上没有提到它其实还依赖于收发邮件的服务器和客户端。因此需要通过apt-get来安装postfix和GNU mailutil，这样可以得到mail 和sendmail两个可执行文件。postfix比传统的sendmail更可靠，速度和安全性又和qmail差不多，安装时，可以选择localhost, 这样就不会向外界发送了。参考这里 可以在设置好后检查一下。

mail则不用设置，安装好后就OK。

PSAD的初步设置也很简单，这里有个简单的介绍：http://blogama.org/node/137

此外还可以把iptables配置成支持ulog的日志输出,然后再用PSAD分析,
-A INPUT -p TCP –dport 22 -j ULOG –ulog-prefix “SSH connection attempt: ”
-A INPUT -p TCP -j ULOG –ulog-prefix “TCP connect”
-A INPUT -p icmp -j ULOG –ulog-prefix “ICMP”
ulog输出日志在：/var/log/ulog/syslogemu.log
psad分析如下：
psad –CSV –CSV-fields “SRC SPT DST DPT” –CSV-max 1000 -m /var/log/ulog/syslogemu.log

作者还有两个开源的软件, fwsnort和fwknop，都是很好的工具。

fwsnort可以用来自动将通过snort规则检测到的入侵转换成iptable相应的封锁规则。因为暂时没有那么多攻击，先不予考虑了

fwknop则可以通过单数据包校验来屏蔽掉众多非法数据包, 很像之前OpenVPN用ta.key进行快速校验的方法。因为似乎要给内核打补丁，不妨再等一段时间，看看这个程序能否更成熟。

作者还提到，可以利用AfterGlow and Gnuplot 将处理后的数据进行可视化处理，不过对实际的入侵防卫没有实际意义，就不继续研究了。