minor comment wording update w.r.t. SYSLOG_DAEMON usage
[psad.git] / psad.conf
1 #
2 ##############################################################################
3 #
4 #  This is the configuration file for psad (the Port Scan Attack Detector).
5 #  Normally this file gets installed at /etc/psad/psad.conf, but can be put
6 #  anywhere in the filesystem and then the path can be specified on the
7 #  command line argument "-c <file>" to psad.  All three psad daemons (psad,
8 #  kmsgsd, and psadwatchd) reference this config file.
9 #
10 #  Each line has the form  "<variable name>    <value>;".  Note the semi-
11 #  colon after the <value>.  All characters after the semicolon will be
12 #  ignored to provide space for comments.
13 #
14 ##############################################################################
15 #
16
17 ### Supports multiple email addresses (as a comma separated
18 ### list).
19 EMAIL_ADDRESSES             root@localhost;
20
21 ### Machine hostname
22 HOSTNAME                    _CHANGEME_;
23
24 ### Specify the home and external networks.  Note that by default the
25 ### ENABLE_INTF_LOCAL_NETS is enabled, so psad automatically detects
26 ### all of the directly connected subnets and uses this information as
27 ### the HOME_NET variable.
28 HOME_NET                    any;
29 EXTERNAL_NET                any;
30
31 ### The FW_SEARCH_ALL variable controls how psad will parse iptables
32 ### messages.  If it is set to "Y" then psad will parse all iptables
33 ### messages for evidence of scan activity.  If it is set to "N" then
34 ### psad will only parse those iptables messages that contain logging
35 ### prefixes specified by the FW_MSG_SEARCH variable below.  Logging
36 ### prefixes are set with the --log-prefix command line option to iptables.
37 ### Setting FW_SEARCH_ALL to "N" is useful for having psad only analyze
38 ### iptables messages that are logged out of a specific iptables chain
39 ### (multiple strings can be searched for, see the comment above the
40 ### FW_MSG_SEARCH variable below) or a specific logging rule for example.
41 ### FW_SEARCH_ALL is set to "Y" by default since usually people want psad
42 ### to parse all iptables messages.
43 FW_SEARCH_ALL               Y;
44
45 ### The FW_MSG_SEARCH variable can be modified to look for logging messages
46 ### that are specific to your firewall configuration (specified by the
47 ### "--log-prefix" option.  For example, if your firewall uses the
48 ### string "Audit" for packets that have been blocked, then you could
49 ### set FW_MSG_SEARCH to "Audit";  The default string to search for is
50 ### "DROP".  Both psad and kmsgsd reference this file.  NOTE: You can
51 ### specify this variable multiple times to have psad search for multiple
52 ### strings.  For example to have psad search for the strings "Audit" and
53 ### "Reject", you would use the following two lines:
54 #FW_MSG_SEARCH               Audit;
55 #FW_MSG_SEARCH               REJECT;
56 FW_MSG_SEARCH               DROP;
57
58 ### Set the type of syslog daemon that is used.  The SYSLOG_DAEMON
59 ### variable accepts four possible values: syslogd, syslog-ng, ulogd,
60 ### or metalog.  Note: this variable is only used if ENABLE_SYSLOG_FILE is
61 ### disabled, and this in turn will mean that the legacy kmsgsd daemon will
62 ### collect firewall logs from syslog via the old named pipe mechanism.
63 SYSLOG_DAEMON               syslogd;
64
65 ### What type of interface configuration do you use?  Set this variable to
66 ### "iproute2" if you want to use the iproute2 type configuration.
67 ### iproute2 does not use aliases for multi-homed interfaces and
68 ### ifconfig does not show secondary addresses for multi-homed interfaces.
69 #IFCFGTYPE  iproute2;
70 IFCFGTYPE                   ifconfig;
71
72 ### Danger levels.  These represent the total number of
73 ### packets required for a scan to reach each danger level.
74 ### A scan may also reach a danger level if the scan trips
75 ### a signature or if the scanning ip is listed in
76 ### auto_ips so a danger level is automatically
77 ### assigned.
78 DANGER_LEVEL1               5;    ### Number of packets.
79 DANGER_LEVEL2               15;
80 DANGER_LEVEL3               150;
81 DANGER_LEVEL4               1500;
82 DANGER_LEVEL5               10000;
83
84 ### Set the interval (in seconds) psad will use to sleep before
85 ### checking for new iptables log messages
86 CHECK_INTERVAL              5;
87
88 ### Search for snort "sid" values generated by fwsnort
89 ### or snort2iptables
90 SNORT_SID_STR               SID;
91
92 ### Set the minimum range of ports that must be scanned before
93 ### psad will send an alert.  The default is 1 so that at
94 ### least two port must be scanned (p2-p1 >= 1).  This can be set
95 ### to 0 if you want psad to be extra paranoid, or 30000 if not.
96 PORT_RANGE_SCAN_THRESHOLD   1;
97
98 ### If "Y", means that scans will never timeout.  This is useful
99 ### for catching scans that take place over long periods of time
100 ### where the attacker is trying to slip beneath the IDS thresholds.
101 ENABLE_PERSISTENCE          Y;
102
103 ### This is used only if ENABLE_PERSISTENCE = "N";
104 SCAN_TIMEOUT                3600;  ### seconds
105
106 ### Specify how often to timeout old scan data relative to CHECK_INTERVAL
107 ### iterations.  This feature is only used if ENABLE_PERSISTENCE is disabled.
108 ### Note that for psad processes that have tracked a lot of scans, it is
109 ### advisable to leave this threshold at the default value of 5 or greater
110 ### because the scan tracking hash may be quite large.
111 PERSISTENCE_CTR_THRESHOLD   5;
112
113 ### Limit the number of src->dst IP pairs that psad will track.  The default
114 ### is zero (i.e. unlimited), but if psad is running on a system with limited
115 ### memory, this can be handy to restrict psad's memory usage.  It is best to
116 ### combine this option with disabling ENABLE_PERSISTENCE so that older scans
117 ### are deleted and therefore newer scans will on average continue to be
118 ### tracked.  A good non-zero value is, say, 50000, but this will vary
119 ### depending on available system memory.
120 MAX_SCAN_IP_PAIRS           0;
121
122 ### If "Y", means all signatures will be shown since
123 ### the scan started instead of just the current ones.
124 SHOW_ALL_SIGNATURES         N;
125
126 ### Allow reporting methods to be enabled/restricted.  This keyword can
127 ### accept values of "nosyslog" (don't write any messages to syslog),
128 ### "noemail" (don't send any email messages), or "ALL" (to generate both
129 ### syslog and email messages).  "ALL" is the default.  Both "nosyslog"
130 ### and "noemail" can be combined with a comma to disable all logging
131 ### and alerting.
132 ALERTING_METHODS            ALL;
133
134 ### By default, psad acquires iptables log data from the /var/log/messages
135 ### file which the local syslog daemon (usually) writes iptables log messages
136 ### to.  If the ENABLE_SYSLOG_FILE variable below is set to "N", then psad
137 ### reconfigures syslog to write iptables log data to the
138 ### /var/lib/psad/psadfifo fifo file where the messages are picked up by kmsgsd
139 ### written to the file /var/log/psad/fwdata for analysis by psad.  On some
140 ### systems, having syslog communicate log data to kmsgsd can be problematic
141 ### (syslog configs and external factors such as Apparmor and SELinux can play
142 ### a role here), so leaving the ENABLE_SYSLOG_FILE variable set to "Y" is
143 ### usually recommended.
144 ENABLE_SYSLOG_FILE          Y;
145 IPT_WRITE_FWDATA            Y;
146 IPT_SYSLOG_FILE             /var/log/messages;
147
148 ### When enabled, this instructs psad to write the "msg" field
149 ### associated with Snort rule matches to syslog.
150 ENABLE_SIG_MSG_SYSLOG       Y;
151 SIG_MSG_SYSLOG_THRESHOLD    10;
152 SIG_SID_SYSLOG_THRESHOLD    10;
153
154 ### TTL values are decremented depending on the number of hops
155 ### the packet has taken before it hits the firewall.  We will
156 ### assume packets will not jump through more than 20 hops on
157 ### average.
158 MAX_HOPS                    20;
159
160 ### Do not include any timestamp included within kernel logging
161 ### messages (Ubuntu systems commonly have this)
162 IGNORE_KERNEL_TIMESTAMP     Y;
163
164 ### FIXME: try to mitigate the affects of the iptables connection
165 ### tracking bug by ignoring tcp packets that have the ack bit set.
166 ### Read the "BUGS" section of the psad man page.  Note that
167 ### if a packet matches a snort SID generated by fwsnort (see
168 ### http://www.cipherdyne.org/fwsnort/)
169 ### then psad will see it even if the ack bit is set.  See the
170 ### SNORT_SID_STR variable.
171 IGNORE_CONNTRACK_BUG_PKTS   Y;
172
173 ### define a set of ports to ignore (this is useful particularly
174 ### for port knocking applications since the knock sequence will
175 ### look to psad like a scan).  This variable may be defined as
176 ### a comma-separated list of port numbers or port ranges and
177 ### corresponding protocol,  For example, to have psad ignore all
178 ### tcp in the range 61000-61356 and udp ports 53 and 5000, use:
179 ### IGNORE_PORTS        tcp/61000-61356, udp/53, udp/5000;
180 IGNORE_PORTS                NONE;
181
182 ### allow entire protocols to be ignored.  This keyword can accept
183 ### a comma separated list of protocols.  Each protocol must match
184 ### the protocol that is specified in an iptables log message (case
185 ### insensitively, so both "TCP" or "tcp" is ok).
186 ### IGNORE_PROTOCOL             tcp,udp;
187 IGNORE_PROTOCOLS            NONE;
188
189 ### allow packets to be ignored based on interface (this is the
190 ### "IN" interface in iptables logging messages).
191 IGNORE_INTERFACES           NONE;
192
193 ### Ignore these specific logging prefixes
194 IGNORE_LOG_PREFIXES         NONE;
195
196 ### Minimum danger level a scan must reach before any logging or
197 ### alerting is done.  The EMAIL_ALERT_DANGER_LEVEL variable below
198 ### only refers to email alerts; the MIN_DANGER_LEVEL variable
199 ### applies to everything from email alerts to whether or not the
200 ### IP directory is created within /var/log/psad/.  Hence
201 ### MIN_DANGER_LEVEL should be set less than or equal to the value
202 ### assigned to the EMAIL_ALERT_DANGER_LEVEL variable.
203 MIN_DANGER_LEVEL            1;
204
205 ### Only send email alert if danger level >= to this value.
206 EMAIL_ALERT_DANGER_LEVEL    1;
207
208 ### Enable detection of malicious activity that is delivered via IPv6.  If
209 ### ip6tables is not logging any traffic, then psad won't know anything
210 ### about IPv6, or this variable can be set to "N" (this would be slightly
211 ### faster if ip6tables isn't logging anything).
212 ENABLE_IPV6_DETECTION       Y;
213
214 ### Treat all subnets on local interfaces as part of HOME_NET (this
215 ### means that these networks do not have to be manually defined)
216 ENABLE_INTF_LOCAL_NETS      Y;
217
218 ### Include MAC addresses in email alert
219 ENABLE_MAC_ADDR_REPORTING   N;
220
221 ### Look for the iptables logging rule (fwcheck_psad is executed)
222 ENABLE_FW_LOGGING_CHECK     Y;
223
224 ### Send no more than this number of emails for a single
225 ### scanning source IP.  Note that enabling this feature may cause
226 ### alerts for real attacks to not be generated if an attack is sent
227 ### after the email threshold has been reached for an IP address.
228 ### This is why the default is set to "0".
229 EMAIL_LIMIT                 0;
230
231 ### By default, psad maintains a counter for each scanning source address,
232 ### but by enabling this variable psad will maintain email counters for
233 ### each victim address that is scanned as well.
234 ENABLE_EMAIL_LIMIT_PER_DST  N;
235
236 ### If "Y", send a status email message when an IP has reached the
237 ### EMAIL_LIMIT threshold.
238 EMAIL_LIMIT_STATUS_MSG      Y;
239
240 ### If "Y", send email for all newly logged packets from the same
241 ### source ip instead of just when a danger level increases.
242 ALERT_ALL                   Y;
243
244 ### If "Y", then psad will import old scan source ip directories
245 ### as current scans instead of moving the directories into the
246 ### archive directory.
247 IMPORT_OLD_SCANS            N;
248
249 ### syslog facility and priority (the defaults are usually ok)
250 ### The SYSLOG_FACILITY variable can be set to one of LOG_LOCAL{0-7}, and
251 ### SYSLOG_PRIORITY can be set to one of LOG_INFO, LOG_DEBUG, LOG_NOTICE,
252 ### LOG_WARNING, LOG_ERR, LOG_CRIT, LOG_ALERT, or LOG_EMERG
253 SYSLOG_IDENTITY             psad;
254 SYSLOG_FACILITY             LOG_LOCAL7;
255 SYSLOG_PRIORITY             LOG_INFO;
256
257 ### Port thresholds for logging and -S and -A output.
258 TOP_PORTS_LOG_THRESHOLD     500;
259 STATUS_PORTS_THRESHOLD      20;
260
261 ### Signature thresholds for logging and -S and -A output.
262 TOP_SIGS_LOG_THRESHOLD      500;
263 STATUS_SIGS_THRESHOLD       50;
264
265 ### Attackers thresholds for logging and -S and -A output.
266 TOP_IP_LOG_THRESHOLD        500;
267 STATUS_IP_THRESHOLD         25;
268
269 ### Specify how often to log the TOP_* information (i.e. how many
270 ### CHECK_INTERVAL iterations before the data is logged again).
271 TOP_SCANS_CTR_THRESHOLD     1;
272
273 ### Send scan logs to dshield.org.  This is disabled by default,
274 ### but is a good idea to enable it (subject to your site security
275 ### policy) since the DShield service helps to track the bad guys.
276 ### For more information visit http://www.dshield.org
277 ENABLE_DSHIELD_ALERTS       N;
278
279 ### dshield.org alert email address; this should not be changed
280 ### unless the guys at DShield have changed it.
281 DSHIELD_ALERT_EMAIL         reports@dshield.org;
282
283 ### Time interval (hours) to send email alerts to dshield.org.
284 ### The default is 6 hours, and cannot be less than 1 hour or
285 ### more than 24 hours.
286 DSHIELD_ALERT_INTERVAL      6;  ### hours
287
288 ### If you have a DShield user id you can set it here.  The
289 ### default is "0".
290 DSHIELD_USER_ID             0;
291
292 ### If you want the outbound DShield email to appear as though it
293 ### is coming from a particular user address then set it here.
294 DSHIELD_USER_EMAIL          NONE;
295
296 ### Threshold danger level for DShield data; a scan must reach this
297 ### danger level before associated packets will be included in an
298 ### alert to DShield.  Note that zero is the default since this
299 ### will allow DShield to apply its own logic to determine what
300 ### constitutes a scan (_all_ iptables log messages will be included
301 ### in DShield email alerts).
302 DSHIELD_DL_THRESHOLD        0;
303
304 ### List of servers.  Fwsnort supports the same variable resolution as
305 #### Snort.
306 HTTP_SERVERS                $HOME_NET;
307 SMTP_SERVERS                $HOME_NET;
308 DNS_SERVERS                 $HOME_NET;
309 SQL_SERVERS                 $HOME_NET;
310 TELNET_SERVERS              $HOME_NET;
311
312 #### AOL AIM server nets
313 AIM_SERVERS                 [64.12.24.0/24, 64.12.25.0/24, 64.12.26.14/24, 64.12.28.0/24, 64.12.29.0/24, 64.12.161.0/24, 64.12.163.0/24, 205.188.5.0/24, 205.188.9.0/24];
314
315 ### Configurable port numbers
316 HTTP_PORTS                  80;
317 SHELLCODE_PORTS             !80;
318 ORACLE_PORTS                1521;
319
320 ### If this is enabled, then psad will die if a rule in the
321 ### /etc/psad/signatures file contains an unsupported option (otherwise
322 ### a syslog warning will be generated).
323 ENABLE_SNORT_SIG_STRICT     Y;
324
325 ### If "Y", enable automated IDS response (auto manages
326 ### firewall rulesets).
327 ENABLE_AUTO_IDS             N;
328
329 ### Block all traffic from offending IP if danger
330 ### level >= to this value
331 AUTO_IDS_DANGER_LEVEL       5;
332
333 ### Set the auto-blocked timeout in seconds (the default
334 ### is one hour).
335 AUTO_BLOCK_TIMEOUT          3600;
336
337 ### Enable regex checking on log prefixes for active response
338 ENABLE_AUTO_IDS_REGEX       N;
339
340 ### Only block if the iptables log message matches the following regex
341 AUTO_BLOCK_REGEX            ESTAB;  ### from fwsnort logging prefixes
342
343 ### Control whether "renew" auto-block emails get sent.  This is disabled
344 ### by default because lots of IPs could have been blocked, and psad
345 ### should not generate a renew email for each of them.
346 ENABLE_RENEW_BLOCK_EMAILS   N;
347
348 ### By setting this variable to N, all auto-blocking emails can be
349 ### suppressed.
350 ENABLE_AUTO_IDS_EMAILS      Y;
351
352 ### Enable iptables blocking (only gets enabled if
353 ### ENABLE_AUTO_IDS is also set)
354 IPTABLES_BLOCK_METHOD       Y;
355
356 ### Specify chain names to which iptables blocking rules will be
357 ### added with the IPT_AUTO_CHAIN{n} keyword.  There is no limit on the
358 ### number of IPT_AUTO_CHAIN{n} keywords; just increment the {n} number
359 ### to add an additional IPT_AUTO_CHAIN requirement. The format for this
360 ### variable is: <Target>,<Direction>,<Table>,<From_chain>,<Jump_rule_position>, \
361 ###              <To_chain>,<Rule_position>.
362 ### "Target": Can be any legitimate iptables target, but should usually
363 ###           just be "DROP".
364 ### "Direction": Can be "src", "dst", or "both", which correspond to the
365 ###              INPUT, OUTPUT, and FORWARD chains.
366 ### "Table": Can be any iptables table, but the default is "filter".
367 ### "From_chain": Is the chain from which packets will be jumped.
368 ### "Jump_rule_position": Defines the position within the From_chain where
369 ###                       the jump rule is added.
370 ### "To_chain": Is the chain to which packets will be jumped. This is the
371 ###             main chain where psad rules are added.
372 ### "Rule_position": Defines the position where rule are added within the
373 ###                  To_chain.
374 ###
375 ### The following defaults make sense for most installations, but note
376 ### it is possible to include blocking rules in, say, the "nat" table
377 ### using this functionality as well.  The following three lines provide
378 ### usage examples:
379 #IPT_AUTO_CHAIN1              DROP, src, filter, INPUT, 1, PSAD_BLOCK_INPUT, 1;
380 #IPT_AUTO_CHAIN2              DROP, dst, filter, OUTPUT, 1, PSAD_BLOCK_OUTPUT, 1;
381 #IPT_AUTO_CHAIN3              DROP, both, filter, FORWARD, 1, PSAD_BLOCK_FORWARD, 1;
382 IPT_AUTO_CHAIN1             DROP, src, filter, INPUT, 1, PSAD_BLOCK_INPUT, 1;
383 IPT_AUTO_CHAIN2             DROP, dst, filter, OUTPUT, 1, PSAD_BLOCK_OUTPUT, 1;
384 IPT_AUTO_CHAIN3             DROP, both, filter, FORWARD, 1, PSAD_BLOCK_FORWARD, 1;
385
386 ### Flush all existing rules in the psad chains at psad start time.
387 FLUSH_IPT_AT_INIT           Y;
388
389 ### Prerequisite check for existence of psad chains and jump rules
390 IPTABLES_PREREQ_CHECK       1;
391
392 ### Enable tcp wrappers blocking (only gets enabled if
393 ### ENABLE_AUTO_IDS is also set)
394 TCPWRAPPERS_BLOCK_METHOD    N;
395
396 ### Set the whois timeout
397 WHOIS_TIMEOUT               60;  ### seconds
398
399 ### Set the number of times an ip can be seen before another whois
400 ### lookup is issued.
401 WHOIS_LOOKUP_THRESHOLD      20;
402
403 ### Use this option to force all whois information to contain ascii-only data.
404 ### Sometime whois information for IP addresses in China and other countries
405 ### can contain non-ascii data.  If this option is enabled, then any non-
406 ### ascii characters will be replaced with "NA".
407 ENABLE_WHOIS_FORCE_ASCII    N;
408
409 ### This variable forces all whois lookups to be done against the source IP
410 ### even when they are associated with a directly connected local network.  IT
411 ### is usually a good idea to leave this setting as the default of 'N'.
412 ENABLE_WHOIS_FORCE_SRC_IP   N;
413
414 ### Set the number of times an ip can be seen before another dns
415 ### lookup is issued.
416 DNS_LOOKUP_THRESHOLD        20;
417
418 ### Enable psad to run an external script or program (use at your
419 ### own risk!)
420 ENABLE_EXT_SCRIPT_EXEC      N;
421
422 ### Define an external program to run after a scan is caught.
423 ### Note that the scan source ip can be specified on the command
424 ### line to the external program through the use of the "SRCIP"
425 ### string (along with some appropriate switch for the program).
426 ### Of course this is only useful if the external program knows
427 ### what to do with this information.
428 ### Example:  EXTERNAL_SCRIPT       /path/to/script --ip SRCIP -v;
429 EXTERNAL_SCRIPT             /bin/true;
430
431 ### Control execution of EXTERNAL_SCRIPT (only once per IP, or
432 ### every time a scan is detected for an ip).
433 EXEC_EXT_SCRIPT_PER_ALERT   N;
434
435 ### Disk usage variables
436 DISK_CHECK_INTERVAL         300;  ### seconds
437
438 ### This can be set to 0 to disable disk checking altogether
439 DISK_MAX_PERCENTAGE         95;
440
441 ### This can be set to 0 to have psad not place any limit on the
442 ### number of times it will attempt to remove data from
443 ### /var/log/psad/.
444 DISK_MAX_RM_RETRIES         10;
445
446 ### Enable archiving of old scan directories at psad startup.
447 ENABLE_SCAN_ARCHIVE         N;
448
449 ### Truncate fwdata file at startup
450 TRUNCATE_FWDATA             Y;
451
452 ### Only archive scanning IP directories that have reached a danger
453 ### level greater than or equal to this value.  Archiving old
454 ### scanning ip directories only takes place at psad startup.
455 MIN_ARCHIVE_DANGER_LEVEL    1;
456
457 ### Email subject line config.  Change these prefixes if you want
458 ### psad to generate email alerts that say something other than
459 ### the following.
460 MAIL_ALERT_PREFIX           [psad-alert];
461 MAIL_STATUS_PREFIX          [psad-status];
462 MAIL_ERROR_PREFIX           [psad-error];
463 MAIL_FATAL_PREFIX           [psad-fatal];
464
465 ### URL for getting the latest psad signatures
466 SIG_UPDATE_URL              http://www.cipherdyne.org/psad/signatures;
467
468 ### These next two are psadwatchd vars
469 PSADWATCHD_CHECK_INTERVAL   5;  ### seconds
470 PSADWATCHD_MAX_RETRIES      10;
471
472 ### Directories
473 INSTALL_ROOT                /;
474 PSAD_DIR                    $INSTALL_ROOT/var/log/psad;
475 PSAD_RUN_DIR                $INSTALL_ROOT/var/run/psad;
476 PSAD_FIFO_DIR               $INSTALL_ROOT/var/lib/psad;
477 PSAD_LIBS_DIR               $INSTALL_ROOT/usr/lib/psad;
478 PSAD_CONF_DIR               $INSTALL_ROOT/etc/psad;
479 PSAD_ERR_DIR                $PSAD_DIR/errs;
480 CONF_ARCHIVE_DIR            $PSAD_CONF_DIR/archive;
481 SCAN_DATA_ARCHIVE_DIR       $PSAD_DIR/scan_archive;
482 ANALYSIS_MODE_DIR           $PSAD_DIR/ipt_analysis;
483 SNORT_RULES_DIR             $PSAD_CONF_DIR/snort_rules;
484
485 ### Files
486 FW_DATA_FILE                $PSAD_DIR/fwdata;
487 ULOG_DATA_FILE              $PSAD_DIR/ulogd.log;
488 FW_CHECK_FILE               $PSAD_DIR/fw_check;
489 DSHIELD_EMAIL_FILE          $PSAD_DIR/dshield.email;
490 SIGS_FILE                   $PSAD_CONF_DIR/signatures;
491 ICMP_TYPES_FILE             $PSAD_CONF_DIR/icmp_types;
492 ICMP6_TYPES_FILE            $PSAD_CONF_DIR/icmp6_types;
493 AUTO_DL_FILE                $PSAD_CONF_DIR/auto_dl;
494 SNORT_RULE_DL_FILE          $PSAD_CONF_DIR/snort_rule_dl;
495 POSF_FILE                   $PSAD_CONF_DIR/posf;
496 P0F_FILE                    $PSAD_CONF_DIR/pf.os;
497 IP_OPTS_FILE                $PSAD_CONF_DIR/ip_options;
498 PSAD_FIFO_FILE              $PSAD_FIFO_DIR/psadfifo;
499 ETC_HOSTS_DENY_FILE         /etc/hosts.deny;
500 ETC_SYSLOG_CONF             /etc/syslog.conf;
501 ETC_RSYSLOG_CONF            /etc/rsyslog.conf;
502 ETC_SYSLOGNG_CONF           /etc/syslog-ng/syslog-ng.conf;
503 ETC_METALOG_CONF            /etc/metalog/metalog.conf;
504 STATUS_OUTPUT_FILE          $PSAD_DIR/status.out;
505 ANALYSIS_OUTPUT_FILE        $PSAD_DIR/analysis.out;
506 INSTALL_LOG_FILE            $PSAD_DIR/install.log;
507
508 ### PID files
509 PSAD_PID_FILE               $PSAD_RUN_DIR/psad.pid;
510 PSAD_CMDLINE_FILE           $PSAD_RUN_DIR/psad.cmd;
511 KMSGSD_PID_FILE             $PSAD_RUN_DIR/kmsgsd.pid;
512 PSADWATCHD_PID_FILE         $PSAD_RUN_DIR/psadwatchd.pid;
513
514 ### List of ips that have been auto blocked by iptables
515 ### or tcpwrappers (the auto blocking feature is disabled by
516 ### default, see the psad man page and the ENABLE_AUTO_IDS
517 ### variable).
518 AUTO_BLOCK_IPT_FILE         $PSAD_DIR/auto_blocked_iptables;
519 AUTO_BLOCK_TCPWR_FILE       $PSAD_DIR/auto_blocked_tcpwr;
520
521 ### File used internally by psad to add iptables blocking
522 ### rules to a running psad process
523 AUTO_IPT_SOCK               $PSAD_RUN_DIR/auto_ipt.sock;
524
525 FW_ERROR_LOG                $PSAD_ERR_DIR/fwerrorlog;
526 PRINT_SCAN_HASH             $PSAD_DIR/scan_hash;
527
528 ### /proc interface for controlling ip forwarding
529 PROC_FORWARD_FILE           /proc/sys/net/ipv4/ip_forward;
530
531 ### Packet counters for tcp, udp, and icmp protocols
532 PACKET_COUNTER_FILE         $PSAD_DIR/packet_ctr;
533
534 ### Top scanned ports
535 TOP_SCANNED_PORTS_FILE      $PSAD_DIR/top_ports;
536
537 ### Top signature matches
538 TOP_SIGS_FILE               $PSAD_DIR/top_sigs;
539
540 ### Top attackers
541 TOP_ATTACKERS_FILE          $PSAD_DIR/top_attackers;
542
543 ### Counter file for Dshield alerts
544 DSHIELD_COUNTER_FILE        $PSAD_DIR/dshield_ctr;
545
546 ### Counter file for iptables prefixes
547 IPT_PREFIX_COUNTER_FILE     $PSAD_DIR/ipt_prefix_ctr;
548
549 ### iptables command output and error collection files; these are
550 ### used by IPTables::ChainMgr
551 IPT_OUTPUT_FILE             $PSAD_DIR/psad.iptout;
552 IPT_ERROR_FILE              $PSAD_DIR/psad.ipterr;
553
554 ### system binaries
555 iptablesCmd      /sbin/iptables;
556 ip6tablesCmd     /sbin/ip6tables;
557 shCmd            /bin/sh;
558 wgetCmd          /usr/bin/wget;
559 gzipCmd          /bin/gzip;
560 mknodCmd         /bin/mknod;
561 psCmd            /bin/ps;
562 mailCmd          /bin/mail;
563 sendmailCmd      /usr/sbin/sendmail;
564 ifconfigCmd      /sbin/ifconfig;
565 ipCmd            /sbin/ip;
566 killallCmd       /usr/bin/killall;
567 netstatCmd       /bin/netstat;
568 unameCmd         /bin/uname;
569 whoisCmd         $INSTALL_ROOT/usr/bin/whois_psad;
570 dfCmd            /bin/df;
571 fwcheck_psadCmd  $INSTALL_ROOT/usr/sbin/fwcheck_psad;
572 psadwatchdCmd    $INSTALL_ROOT/usr/sbin/psadwatchd;
573 kmsgsdCmd        $INSTALL_ROOT/usr/sbin/kmsgsd;
574 psadCmd          $INSTALL_ROOT/usr/sbin/psad;