Articoli Taggati ‘distro’

AntiVir Ubuntu Linux

16 marzo 2010 di admin | Categorie: Distribuzioni Linux, Sicurezza, Software, Ubuntu, Utility | Commenta!

Introduzione

Avira Antivir Personal Edition Classic è un software antivirus concesso sotto licenza freeware dalla casa produttrice Avira GmbH.

  • Offre il supporto in tempo reale per programmi e file. In caso di infezione è possibile effettuare quarantena, disinfezione o rimozione.
  • Offre il supporto continuo a nuovi aggiornamenti che vengono identificati e installati automaticamente.
  • Consente di programmare le scansioni del computer a date o intervalli prestabiliti.
  • La versione gratuita del software è utilizzabile solamente su un sistema ad uso personale.
  • Il programma è scritto in Java quindi è possibile utilizzarlo indifferentemente su qualsiasi distribuzione (caratteristica che va a discapito delle prestazioni del sistema).
In questa guida si è scelto di non attivare il supporto di scansione in tempo reale.

Installazione

Installare Java come illustrato nella giuda contenuta nella documentazione della comunià. Andare sul sito di Antivir e scaricare il pacchetto antivir-workstation-pers.tar.gz all’interno del quale è presente anche un’esaustiva documentazione.

  1. Acquisire i diritti di amministratore e digitare la password di root: 
    sudo -s
  2. Spostare il pacchetto dalla directory /home alla directory opzionale /opt e spostarsi nella stessa: 
    mv antivir-workstation-pers.tar.gz /opt
cd /opt
  3. Scompattare l’archivio e spostarsi nella directory creata: 
    tar zxvf antivir*
cd antivir-workstation-pers-2.1.10-15
  4. Lanciare l’installazione (ovviamente a nome_utente sostituire il nome utente in questione): 
    chmod a+rwx install
chown nome_utente install
./install

A questo punto ha inizio l’installazione del programma. Viene chiesto di prendere visione della licenza. Se si vuole saltare questo passaggio è suffciente premeteil tasto «q».
Di seguito vengono riportate le domande poste e le risposte che permettono un’installazione standard (ovviamente è possibile modificarle in base alle proprie esigenze):

Do you agree to the license terms? [n] y
Enter the path to your key file: [hbedv.key] premere INVIO
Would you like to install the internet update daemon? [n] y
Would you like to create a link in /usr/sbin for avupdater ? [y] premere INVIO
Would you like the internet update daemon to start automatically? [y] premere INVIO

Un discorso a parte merita il suguente punto:

How should AvGuard be installed? [n] premere INVIO
Avguard è una funzionalità che permette di scansionare un file nel momento stesso in cui si effettua un accesso a tale file, la funzione è anche conosciuta col nome di real-time. Su un sistema Microsoft Windows si tratta senza alcun dubbio di un’opzione da abilitare mentre su un sistema Linux è ragionevole affermare che causerebbe un inutile spreco di risorse. Se si vuole abilitare questa opzione si deve installare manualmente il modulo Dazuko, come descritto nella documentazione presente nel pacchetto.

In questo caso non attivare l’opzione Avguard e continuare nel processo:

How should AvGuard be installed? [n] premere INVIO
Would you like to install the GUI (+ SMC support)? [y] premere INVIO
Would you like to configure the AntiVir updater now? [y] premere INVIO
Would you like email notification about updates? [n] premere INVIO
Would you like the updater to log to a custom file? [y] premere INVIO
What will be the log file name with absolute path (it must begin with ‘/’) ? [/var/log/avupdater.log] premere INVIO
How often should AntiVir check for updates? [2] premere INVIO
Does this machine use an HTTP proxy server? [n] premere INVIO
Save configuration settings? [y] premere INVIO
Would you like to apply the new configuration? [y] premere INVIO

Abilitare l’aggiornamiento automatico all’avvio del sistema

Andare in Sistema -> Preferenze -> Sessioni , selezionare «Nuovo», in «Nome» inserire un nome a piacere e infine in «Comando:» digitare «/usr/lib/AntiVir/avupdater start»

A questo punto bisogna inserire l’utente nel gruppo «Antivir» andando su Sistema -> Amministrazione -> Utenti e gruppi , fare clic sul pulsante «Gestione gruppi». Dalla finestra che si apre selezionare «Antivir», cliccare su «Proprietà» e spuntare le caselle «Root» e «Nome utente».

Integrazione con GNOME

Per comodità si può anche aggiungere la voce nel menù. Quindi si deve andare su Sistema -> Preferenze -> Menù Principale , spostarsi nella sezione «Accessori», fare clic su «Nuova voce», in «Tipo» selezionare dal menù a tendina «Applicazione», in «Nome» inserire un nome a piacere e infine in «Comando» digitare «/usr/lib/antivir-gui».

Si potrà così aprire l’antivirus dal menù Applicazioni -> Accessori -> Antivir.

Una volta rieffettuato il login tutto dovrebbe funzionare correttamente.

Rimozione

Per la rimozione bisogna procedere manualmente:

  1. Acquisire i diritti di amministratore e digitare la password di root: 
    sudo -s
  2. Rimuovere la directory di installazione: 
    rm -r /usr/lib/AntiVir
  3. Rimuovere i file di configurazione: 
    rm /etc/avupdater.conf
rm /etc/avguard.conf
  4. Rimuovere i link in /usr/bin: 
    rm /usr/bin/antivir
rm /usr/bin/antivir-gui
  5. Trovare i link in /usr/sbin e /etc/init.d per Avguard e rimuoverli: 
    find /etc/init.d /usr/sbin -name "*avguard"
rm /etc/init.d/avguard
rm /usr/sbin/avguard
    L’operazione al punto 5 non è necessaria in quanto in questa guida non è stato installato Avguard.
  6. Trovare i link in /usr/sbin e /etc/init.d per il demone di aggiornamento e rimuoverlo: 
    find /etc/init.d /usr/sbin -name "*avupdater"
rm /etc/init.d/avupdater
rm /usr/sbin/avupdater

Malware Ubuntu

16 marzo 2010 di admin | Categorie: Computer, Distribuzioni Linux, Sicurezza, Ubuntu | Commenta!

Introduzione

La presente guida intende offrire una panoramica delle questioni legate al malware su GNU/Linux ed orientare l’utente sulla utilità o meno di installare un antivirus sul proprio sistema.

Tipi di malware

  • Virus: è un programma malevolo che usa un altro programma come veicolo di diffusione e replicazione, esattamente come fanno i virus biologici che usano le cellule per riprodursi. Un virus ha quindi bisogno di un altro programma da infettare.
  • Trojan: (cavallo di Troia) è un programma che fa credere all’utente di essere utile, mascherandosi da qualcos’altro. Ad esempio alcuni trojan appaiono inizialmente come dei codec per la riproduzione di contenuti multimediali.
  • Worm: (verme) è un programma malevolo che può riprodursi senza bisogno di farsi veicolare da un altro programma.
  • Toolkit/Rootkit: può essere malevolo o no. Con lo stesso termine infatti si indicano sia programmi utili (come le librerie GTK) sia programmi malevoli. In questo secondo caso ci si riferisce a librerie che vanno a sostituirsi o affiancarsi a quelle di sistema o di programmi per procurare danni, nascondendosi in modo da sfuggire all’attenzione dell’utente. Quando un toolkit coinvolge il kernel del sistema operativo (ad esempio come finto driver), si parla di rootkit. Di norma l’uso di questo malware è quello di installare un backdoor attraverso cui l’attaccante può entrare nel sistema colpito e prelevarne i dati o addirittura prenderne il controllo.
  • Wabbit: è un programma malevolo che non usa i servizi di rete o altri file o programmi per riprodursi. Un esempio sono le fork bomb.

  • Altri tipi di malware: altri tipi di malware si distinguono più per lo scopo che per le modalità di azione e diffusione, di solito riconducibili alle categoria precedenti. Tra questi ci sono spyware (codice spia), gli adware (pubblicità indesiderate che compaiono sulla Scrivania) e i keylogger, programmi che registrano l’attività dell’utente soprattutto al fine di scoprire le password e i numeri di carta di credito digitati. Inoltre la diffusione di formati di file che possono contenere codice anche se non sono programmi veri e propri (ad esempio i formati documenti che possono contenere macro o le pagine web che possono contenere javascript) ha portato alla nascita di macrovirus.

Come avvengono le infezioni

Non è sufficiente che il malware entri a contatto con il sistema per avviarsi, ma è necessario che entri in esecuzione. In base a questa banale considerazione molti antivirus mettono i file infetti in quarantena, ossia in una cartella controllata dove non possono più agire.
Quando il malware entra in contatto con il sistema deve presentarsi uno dei seguenti casi affinché esso possa entrare in esecuzione:

  • un’azione volontaria dell’utente mette in esecuzione il malware, questo è il caso dei trojan e di molti worm;
  • il malware entra in esecuzione anche in mancanza di una azione volontaria, in tal caso è stata sfruttata una vulnerabilità.

Una vulnerabilità è una falla di un programma che produce un comportamento non previsto dal programmatore o considerato (a torto) non pericoloso.

I permessi

I sistemi operativi di tipo Unix hanno una rigida e complessa gestione dei permessi. Ogni utente, e quindi ogni programmi eseguito da tale utente, può fare con un file solo ciò che è consentito in base ai permessi che egli possiede. Si consulti la guida del comando sudo per approfondire la logica dei permessi. Questo implica alcune conseguenze:

  • i programmi utente sono separati da quelli di amministrazione;
  • i programmi utente possono agire solo sulla Home di quell’utente, non sui file di amministratore né su quelli di altri utenti;
  • i programmi per essere eseguiti devono avere lo speciale attributo di eseguibili.

In base a ciò, un malware che agisce a livello utente non può creare danni al sistema, ma può al limite cancellare o infettare solo i file appartenenti a quel determinato utente.
Di norma nessun sistema di tipo Unix installa i programmi (neppure i programmi utente) nella directory Home dell’utente. Ciò, unito alla suddetta gestione dei permessi, mette al riparo il sistema dall’infezione da parte dei tradizionali virus che non trovano eseguibili a cui “attaccarsi”. I worm non possono agire perché per farlo devono avere i permessi di esecuzione. I rootkit non possono installarsi autonomamente in quanto caricare un modulo/driver nel kernel richiede i permessi di amministrazione, a meno di vulnerabilità del sistema. Infatti una vulnerabilità grave può permettere al malware di superare tali restrizioni e acquisire i permessi di amministratore.

Vantaggi del software libero/open source

Un software libero/open source, e quindi GNU/Linux, ha la caratteristica di avere il codice sorgente liberamente consultabile e modificabile. Questo apparentemente potrebbe rendere meno sicuro il sistema. In teoria, se tutti conoscono il codice sorgente, chiunque può scoprirne le vulnerabilità e quindi sfruttarle con fini fraudolenti.
Nella pratica, però, si realizza l’esatto opposto: proprio perché tutti possono scoprire facilmente le vulnerabilità, esse possono venire tempestivamente corrette. Molte vulnerabilità vengono infatti corrette ancora prima che possano essere sfruttate a danno del sistema.

Per i motivi esposti navigare sul Web con un browser open source è più sicuro che navigare con uno proprietario e usare una suite per l’ufficio open source è più sicuro che usarne una proprietaria.

Prevenzione

Sono stati adottati vari meccanismi preventivi per rafforzare la sicurezza del sistema come:

  • L’uso di chiavi di autenticazione per il software e i repository che assicurano la provenienza originale e sicura degli stessi;
  • La necessità, quando si esegue un programma nella directory corrente, di anteporre il suo percorso ./ in modo tale che un programma che abbia lo stesso nome di un comando comunemente usato, non possa essere per sbaglio eseguito al posto di tale comando (questa semplice precauzione ha stroncato la diffusione di worm come ls);
  • Ulteriori rafforzamenti del meccanismo dei permessi come SELinux (sviluppato dalle forze armate statunitensi) e AppArmor (sviluppato da Novell e presente in Ubuntu): tali sistemi creano i cosiddetti “contesti”: ad esempio una pagina in formato .html creata nella Home dell’utente, anche se trasferita nella directory di Apache /var/www non funzionerà in quanto nata in un contesto differente; un programma presente nella directory utente non verrà eseguito se trasferito in una directory di sistema come /usr/bin/.

Malware nei sistemi Unix

Per comprendere quanto i sistemi Unix siano sicuri è utile consultare alcune fonti:

  • uno dei programmi più noti, apprezzati e premiati nella lotta al malware è RootkitHunter. Nel sito ufficiale del progetto, vengono elencati solo una decina di malware (sia rootkit che worm) in oltre 10 anni di sviluppo del programma. Alcuni di questi sono worm ormai desueti come il citato ls, altri sono rootkit solo per alcuni sistemi Unix che quindi non coinvolgono gli altri sistemi della stessa famiglia (ad esempio un malware per Solaris non può agire su GNU/Linux o *BSD), altri ancora si riferiscono a determinate versioni del kernel di tali sistemi (infatti una volta corretta la vulnerabilità il malware è diventato innocuo). Sfogliando il changelog del programma si nota che i malware aggiunti annualmente per i sistemi Unix supportati dal programma sono dell’ordine di qualche unità;
  • la pagina sui virus per Linux nella documentazione internazionale di Ubuntu, nella quale si illustrano i pochi malware conosciuti per Linux, la maggior parte dei quali nei fatti risulta innocua (perché, per esempio, necessità dei permessi di amministratore).

Nella realtà il concetto di virus è praticamente sconosciuto nei sistemi di tipo Unix essendo i pochi finora scoperti non in grado di diffondersi efficacemente, perché necessiterebbero di entrare fraudolentemente in possesso dei permessi di amministratore.

  • E’ interessante sapere che OpenBSD, un sistema di tipo Unix, ha avuto solo due falle di sicurezza remote in 10 anni di sviluppo.

Virus di Windows

I virus di Windows sono programmi scritti per un altro sistema operativo. Normalmente non possono agire su GNU/Linux (si consulti la sezione seguente per conoscere le eccezioni a tale regola). Pertanto non ci si deve preoccupare se un file infetto viene a contatto con il sistema. Anche aprire i file .doc non è pericoloso perché OpenOffice non soffre delle stesse vulnerabilità dei concorrenti programmi proprietari.

Antivirus su GNU/Linux

Per quanto detto finora, di norma non vi è alcun bisogno di antivirus su un sistema GNU/Linux. Infatti gli antivirus per GNU/Linux sono in realtà antivirus contro il malware di Windows. Tuttavia in alcune situazioni un antivirus è consigliato:

  • il proprio sistema è un server di posta a cui si collegano client Windows; in tal caso per proteggere questi ultimi si consiglia l’installazione sul server di ClamAv;
  • si condividono e scambiano file con utenti Windows e si vuole essere cortesi e non procurare infezioni a tali utenti; l’alternativa è utilizzare formati di scambio dati che non possano trasportare malware o che abbiano un rischio ridotto;
  • si condividono con utenti Windows dei file tramite Samba, ftp o altro sistema: valgono le stesse considerazioni del punto precedente;
  • si ha il dual-boot sul sistema ma non un antivirus su Windows, l’antivirus è scaduto o troppo datato oppure si deve usare un antivirus per ripulire la partizione dove risiede Windows senza avviarlo; in ogni caso è preferibile aggiornare l’antivirus di Windows;
  • si usa spesso Wine e programmi per Windows. Wine può infatti eseguire alcuni virus che possono potenzialmente danneggiare lo stesso Wine e la propria cartella Home.

Precauzioni da parte dell’utente

La sicurezza di un sistema dipende non solo dalla robustezza dello stesso, ma dai comportamenti dell’utente. Nessun sistema è sicuro se l’utente compie azioni che lo mettono a rischio. Ecco alcuni utili consigli:

  • non installare programmi né dare permessi di esecuzione ad un file o eseguirlo tramite il comando: sh se non si è certi della sua provenienza e affidabilità;
  • preferire i repository che possiedano una chiave di autenticazione GPG;
  • se disponibile, controllare che l’md5sum corrisponda a quello dichiarato sul sito del programma o file che si è scaricato;
  • navigare preferibilmente con un browser open source aggiornato all’ultima versione disponibile, usare preferibilmente programmi open source e nativi per il sistema, anch’essi aggiornati;
  • evitare di usare Internet Explorer con Wine tramite Ies4Linux a meno che non sia assolutamente necessario per verificare il funzionamento di proprie pagine web; in tal caso comunque preferire la visualizzazione di pagine locali, oppure usare il servizio IE NetRender;
  • non eseguire mai Wine come utente root: in tal caso si lascerebbe all’eventuale malware accesso alle directory di sistema;
  • eseguire sempre gli aggiornamenti di sicurezza del sistema operativo: in Ubuntu è possibile accettarli in maniera predefinita tramite il gestore aggiornamenti; questa è la principale precauzione che mette al riparo dai malware: Ubuntu e Debian hanno infatti una gestione molto efficiente dei problemi di sicurezza;
  • non usare distribuzioni per le quali sia scaduto il supporto di sicurezza;
  • usare cautela quando si è in possesso dei permessi di amministratore (tramite sudo, su, gksudo o kdesu), evitando di eseguire programmi di cui non si conosce l’affidabilità;
  • non entrare nel sistema come root e possibilmente non attivare affatto l’utente root; nel caso sia necessario, evitare comunque di navigare sul web, di scaricare posta e di usare programmi che interagiscono con la rete. Anche se è comunque difficile essere colpiti da malware in queste circostanze, se tutti non applicassero tale precauzione si renderebbe più facile il compito ai cracker aprendo loro le difese del sistema;
I consigli riportati sopra vanno presi come tali. Ad esempio, non è necessario affrettarsi a installare l’ultima versione disponibile di Firefox dal sito di Mozilla: se contiene correzioni di sicurezza significative, verrà segnalata tra gli aggiornamenti della distribuzione in breve tempo.

Sicurezza e GNU/Linux

Nonostante i sistemi GNU/Linux e in generale i sistemi di tipo Unix siano in genere abbastanza sicuri con le impostazioni di default, in rete sono presenti numerose guide per aumentare la sicurezza dei sistemi GNU/Linux.
Ecco alcuni dei principali motivi:

  • GNU/Linux è usato in modo massiccio sui server: questo richiede forti misure di sicurezza per evitare di infettare client Windows o anche solo per evitare che un qualsiasi problema di sicurezza (non necessariamente un malware) possa rendere il sistema non disponibile anche per pochi minuti o compromettere le informazioni in esso contenute; si pensi a proposito ai server di una banca e ai danni economici conseguenti;
  • molti programmatori su GNU/Linux sono specializzati nello scovare ogni vulnerabilità e correggerla; scoprire una falla e correggerla porta immediatamente alla notorietà, spesso più che scrivere un buon programma;
  • c’è una generale tendenza a voler mantenere la buona fama di GNU/Linux e dei sistemi di tipo Unix in materia di sicurezza e le aziende che producono o supportano tali sistemi hanno quindi una attenzione particolare a questo tema;
  • su un sistema girano molti programmi: spesso i problemi di sicurezza sono più legati a questi programmi che al sistema in sé, anche se GNU/Linux offre una solida base per evitare gran parte dei problemi.

Falsi miti

Molti produttori di antivirus sostengono che la crescente diffusione sui sistemi desktop di GNU/Linux accrescerà l’insicurezza del sistema, portando alla nascita di malware e in particolare di virus. Se si è compreso quanto detto in precedenza, si è già in grado di rispondere negativamente a tale affermazione: difatti le banali regole già richiamate sono più che sufficienti a mettersi al riparo dai problemi di sicurezza legati al malware.
Inoltre ci sono considerazioni legate all’esperienza che vanno ugualmente tenute in considerazione:

  • non è vero che GNU/Linux non è diffuso: questo sistema è contenuto praticamente in tutti i router e altri dispositivi di rete e pilota circa la metà dei server Internet: un virus per GNU/Linux che fosse davvero efficace potrebbe potenzialmente bloccare l’intero mondo industrializzato;
  • tale sistema è largamente usato anche al di là del settore server: telefonini , mediacenter, automobili, impianti industriali ed è molto più diffuso sui desktop di quanto comunemente si pensi: il rilascio di driver per GNU/Linux da parte dei principali produttori di hardware (si pensi ad Intel, Nvidia, Ati, Hp, Samsung, Dell, etc.) ne è la conferma;
  • un altro sistema di tipo Unix ha già una diffusione larghissima sui desktop: Mac Os X; nonostante ciò il malware su tale sistema in sostanza è quasi inesistente e alcuni annunci clamorosi del passato si sono rivelati eccessivi se non falsi;
  • GNU/Linux è già uno dei bersagli preferiti da cracker per i suddetti motivi; non c’è quindi bisogno di aspettare per verificare la sicurezza di tale sistema;
  • molti programmi open source sono multipiattaforma e sono diffusissimi su sistemi chiusi, ma hanno già dimostrato i vantaggi in termini di sicurezza rispetto alle controparti proprietarie, pur non essendo immuni da vulnerabilità.

IptablesPatch

15 marzo 2010 di admin | Categorie: Computer, Distribuzioni Linux, Sicurezza, Ubuntu | Commenta!

Introduzione

È possibile applicare numerose patch a netfileter, utili ad ampliare in modo considerevole le funzionalità di base offerte con il kernel.

Molte di queste modifiche sono attualmente in fase di sviluppo, è sconsigliato applicarle sul proprio kernel predefinito.

Preparativi

Per applicare le patch al proprio kernel sono necessari:

  • i sorgenti del kernel, normalmente presenti nella cartella /usr/src/linux;
  • i sorgenti di iptables, scaricabili dal sito ufficiale, che vanno ricompilati con le patch;
  • i sorgenti di patch’o'matic, di non facilissima reperibilità sul sito ufficiale a causa della documentazione non più aggiornata, ma fortunatamente si possono recuperare da un mirror italiano (ftp://ftp.lt.netfilter.org/pub/netfilter/patch-o-matic-ng/).

Installazione

Scaricare patch’o'matic nella propria Home con i seguenti comandi:

cd
wget ftp://ftp.lt.netfilter.org/pub/netfilter/patch-o-matic-ng/patch-o-matic-ng-20040621.tar.bz2
tar -jxvf patch-o-matic-ng-20040621.tar.bz2
cd patch-o-matic-ng-20040621

A questo punto si può procedere con la procedura standard di P-O-M:

export KERNEL_DIR=/usr/src/kerneldir (Indicare la directory dove si trovano i sorgenti del kernel da patchare)
export IPTABLES_DIR=/usr/src/iptablesdir (dove sono stati scompattati i sorgenti di iptables)
./runme pending

Con queste opzioni applichiamo le patch base, mentre usando

./runme base

o

./runme extra

applicheremo le patch degli altri due gruppi principali. Per ognuna della patch viene fornita una breve spiegazione e chiesto se si vuole aggiungerla nel kernel. Le opzioni disponibili più importanti, una volta che siamo nella procedura di configurazione di P-O-M, sono T e F; T serve per fare un test per verificare che la patch sia applicabile, F serve per forzarne l’applicazione anche se il test fallisce. Una volta completata questa operazione è possibile procedere alla compilazione del kernel secondo le solite procedure. Nel menu di configurazione del kernel tutte le patch aggiuntive sono include nella voce “NetFilter Configuration” del menu Networking options.

Patch più interessanti

match: connlimit

Patch sperimentale che serve per impostare un numero massimo di connessioni tcp da un singolo host IP o da una intera rete. Introduce il match connlimit con le opzioni:

  • –connlimit-above (determina il numero massimo di connessioni ammissibili)
  • –connlimit-mask (imposta il limite allargandolo ad una intera rete, che viene definita tramite i subnet bit, ad esempio 24. Di default si limita al singolo host: 32)

Esempi:

Per limitare l’accesso SSH a due sole connessioni per IP sorgente:

-I INPUT -p tcp --dport 22 --syn -m connlimit --connlimit-above 2 -j DROP

Per impostare massimo 16 connessioni per rete di 256 indirizzi ad un server web dietro il firewall Linux:

-A FORWARD -d 213.215.144.242 -p tcp -m tcp --dport 80 --syn -m connlimit --connlimit-above 16 --connlimit-mask 32 -j DROP

Per impostare a 250 il numero massimo di connessioni contemporanee che possono essere fatte ad un server SMTP:

-A FORWARD -d 213.215.144.242 -p tcp -m tcp --dport 25 --syn -m connlimit --connlimit-above 250 --connlimit-mask 0 -j DROP

Voce nel kernel .config: CONFIG_IP_NF_MATCH_CONNLIMIT Nome modulo: ipt_connlimit

match: psd

E’ possibile identificare dei Port Scan tramite il match psd con le seguenti opzioni:

  • –psd-weight-threshold Peso degli ultimi pacchetti TCP/UDP a porte di destinazione diverse proveniente dallo stesso host.
  • –psd-delay-threshold Ritardo, in centesimi di secondi, per considerare pacchetti a porte diverse come dovuti ad un port scan
  • –psd-lo-ports-weight Peso dei pacchetti destinate a porte privilegiate (<=1024)
  • –psd-hi-ports-weight Peso dei pacchetti destinati a porte non privilegiate.

Un esempio essenziale per aggiungere un log, che può essere verboso, di tutti gli scan (Consigliabile aggiungerlo alla fine della catena di INPUT, con un default DROP finale):

iptables -A INPUT -m psd -j LOG --log-prefix "PORTSCAN: "

Voce nel kernel .config: CONFIG_IP_NF_MATCH_PSD Nome modulo: ipt_psd