创建日期:2005年3月31日
更新日期:2005年4月3日
本文用到的软件
Snort 2.3.2 网站:http://www.snort.org 下载
guardian 1.6 网站:http://www.snort.org 下载
snortsnarf 050314 网站:http://www.silicondefense.... 下载
可能用到的软件
LIBPCAP 0.8.3 网站:http://www.tcpdump.org 下载
PCRE 5.0 网站:http://www.pcre.org 下载
1.安装
由于我的redhat9.0中没有libcap、pcre,编译snort的时候会出错,先装libpcap和pcre
# wget http://www.tcpdump.org/rel...
# tar zxvf libpcap-0.8.3.tar.gz
# cd libpcap-0.8.3
# ./configure
# make
# make install
# wget http://nchc.dl.sourceforge...
# tar jxvf pcre-5.0.tar.bz2
# cd pcre-5.0
# ./configure
# make
# make check
# make install
安装snort
# wget http://www.snort.org/dl/cu...
# tar zxvf snort-2.3.2.tar.gz
# cd snort-2.3.2
# ./configure
# make
# make install
# mkdir -p /etc/snort/rules
# cp etc/*.conf /etc/snort
# cp etc/unicode.map /etc/snort
# cp -R rules/* /etc/snort/rules 修改/etc/snort/snort.conf
# vi /etc/snort/snort.conf
var HOME_NET 192.168.1.0/24
var RULE_PATH /etc/snort/rules
preprocessor http_inspect: global
iis_unicode_map /etc/snort/unicode.map 1252
include /etc/snort/classification.config
include /etc/snort/reference.config
更新日期:2005年4月3日
本文用到的软件
Snort 2.3.2 网站:http://www.snort.org 下载
guardian 1.6 网站:http://www.snort.org 下载
snortsnarf 050314 网站:http://www.silicondefense.... 下载
可能用到的软件
LIBPCAP 0.8.3 网站:http://www.tcpdump.org 下载
PCRE 5.0 网站:http://www.pcre.org 下载
1.安装
由于我的redhat9.0中没有libcap、pcre,编译snort的时候会出错,先装libpcap和pcre
# wget http://www.tcpdump.org/rel...
# tar zxvf libpcap-0.8.3.tar.gz
# cd libpcap-0.8.3
# ./configure
# make
# make install
# wget http://nchc.dl.sourceforge...
# tar jxvf pcre-5.0.tar.bz2
# cd pcre-5.0
# ./configure
# make
# make check
# make install
安装snort
# wget http://www.snort.org/dl/cu...
# tar zxvf snort-2.3.2.tar.gz
# cd snort-2.3.2
# ./configure
# make
# make install
# mkdir -p /etc/snort/rules
# cp etc/*.conf /etc/snort
# cp etc/unicode.map /etc/snort
# cp -R rules/* /etc/snort/rules 修改/etc/snort/snort.conf
# vi /etc/snort/snort.conf
var HOME_NET 192.168.1.0/24
var RULE_PATH /etc/snort/rules
preprocessor http_inspect: global
iis_unicode_map /etc/snort/unicode.map 1252
include /etc/snort/classification.config
include /etc/snort/reference.config
创建日期:2005年4月4日
更新日期:2005年4月30日
1.安装
2.日志分析
2.1.sarg
3.mrtg
4.squid配置文件详解
本文用到的软件
Squid 2.5 网站:http://www.squid-cache.org 下载
sarg 2.0.6 网站:http://sarg.sourceforge.ne... 下载
MRTG 2.11.1 网站:http://people.ee.ethz.ch/~... 下载
1.安装
添加suqid用户和用户组
# groupadd squid
# useradd -g squid -s /bin/false -c "For Squid Only" squid
可以根据你的CPU选择相应的参数,GCC-3.1以上可針對CPU最佳化:
# export CFLAGES='-O2 -mcpu=pentium4 -march=pentium4 -mmmx -msse -msse2'
如果是其它cpu请按参考下面的
Pentium2: -O2 -mcpu=i686 -march=i686 -mmmx
Pentium3: -O2 -mcpu=pentium3 -march=pentium3 -mmmx -msse
# wget http://www.squid-cache.org...
# tar jxvf squid-2.5.STABLE9.tar.bz2
# cd squid-2.5.STABLE9
# ./configure --prefix=/usr/local/squid --sysconfdir=/usr/local/etc --enable-gnuregex --enable-async-io=80 --enable-icmp --enable-kill-parent-hack --enable-snmp --disable-ident-lookups --enable-cahce-digests --enable-arp-acl --enable-err-language="Simplify_Chinese" --enable-default-err-languages="Simplify_Chinese" --enable-poll --enable-linux-netfilter --enable-underscore
更新日期:2005年4月30日
1.安装
2.日志分析
2.1.sarg
3.mrtg
4.squid配置文件详解
本文用到的软件
Squid 2.5 网站:http://www.squid-cache.org 下载
sarg 2.0.6 网站:http://sarg.sourceforge.ne... 下载
MRTG 2.11.1 网站:http://people.ee.ethz.ch/~... 下载
1.安装
添加suqid用户和用户组
# groupadd squid
# useradd -g squid -s /bin/false -c "For Squid Only" squid
可以根据你的CPU选择相应的参数,GCC-3.1以上可針對CPU最佳化:
# export CFLAGES='-O2 -mcpu=pentium4 -march=pentium4 -mmmx -msse -msse2'
如果是其它cpu请按参考下面的
Pentium2: -O2 -mcpu=i686 -march=i686 -mmmx
Pentium3: -O2 -mcpu=pentium3 -march=pentium3 -mmmx -msse
# wget http://www.squid-cache.org...
# tar jxvf squid-2.5.STABLE9.tar.bz2
# cd squid-2.5.STABLE9
# ./configure --prefix=/usr/local/squid --sysconfdir=/usr/local/etc --enable-gnuregex --enable-async-io=80 --enable-icmp --enable-kill-parent-hack --enable-snmp --disable-ident-lookups --enable-cahce-digests --enable-arp-acl --enable-err-language="Simplify_Chinese" --enable-default-err-languages="Simplify_Chinese" --enable-poll --enable-linux-netfilter --enable-underscore
粉久之前寫了一支 Log 分析的程式,可以統計、分析前一天系統的 Log,在這一份報表裡面,總是會看到有一些人使用「暴力法」,嘗試以各種帳號、密碼,藉由 SSH 或 FTP 入侵伺服器! 而我只能看著「前一天」的報表,分析他們用過哪些帳號、統計他們嘗試了幾次...實在有點不是滋味。
我一直在找這樣的程式,這個程式的功能,就是可以及時把使用「暴力法」入侵伺服器的人給封鎖掉。我找這樣的程式已經很久了,我也認為應該會有這樣的程式才對,可是就是找不著! (如果你用過這樣的程式,請不要笑我)
整天坐在電腦前面監控系統不應該是現代 MIS 的工作,現代的 MIS,就算坐在電腦前面,也應該去逛逛別人的 Weblog。
於是我就自己用 Perl 寫了一支程式,程式的原理,並不是每隔五分鐘就去分析系統 Log,因為我覺得這樣對系統太操了,我希望可以在用戶準備登入時,才去分析該用戶最近的登入狀況。
這整個流程,首先藉由 TCP_Wrappers 的機制 (hosts.deny 及 hosts.allow) 在用戶登入時觸發我寫程式,然後程式會分析該用戶最近這一小時登入的狀況,對於不懷好意的用戶 (登入失敗 10 次),直接以防火牆封鎖其 IP,然後程式會寄出一封電子郵件通知管理者。
建議修改 /etc/ssh/sshd_config,做以下設定:
我一直在找這樣的程式,這個程式的功能,就是可以及時把使用「暴力法」入侵伺服器的人給封鎖掉。我找這樣的程式已經很久了,我也認為應該會有這樣的程式才對,可是就是找不著! (如果你用過這樣的程式,請不要笑我)
程式原理
整天坐在電腦前面監控系統不應該是現代 MIS 的工作,現代的 MIS,就算坐在電腦前面,也應該去逛逛別人的 Weblog。
於是我就自己用 Perl 寫了一支程式,程式的原理,並不是每隔五分鐘就去分析系統 Log,因為我覺得這樣對系統太操了,我希望可以在用戶準備登入時,才去分析該用戶最近的登入狀況。
這整個流程,首先藉由 TCP_Wrappers 的機制 (hosts.deny 及 hosts.allow) 在用戶登入時觸發我寫程式,然後程式會分析該用戶最近這一小時登入的狀況,對於不懷好意的用戶 (登入失敗 10 次),直接以防火牆封鎖其 IP,然後程式會寄出一封電子郵件通知管理者。
安裝步驟
- 下載 block_ssh.pl∞,將檔案存放在 [/usr/bin],並將權限設為 755。
- cd /usr/bin
- wget ftp://www.vixual.net/source/block_ip/block_ssh.pl
- chmod 755 block_ssh.pl
- 編輯 /etc/hosts.allow,加入
sshd : ALL : spawn (/usr/bin/block_ssh.pl %c %d)
- 這樣就完成了,如有必要,請自行修改 block_ssh.pl 裡相關的參數。
程式缺點
- 目前只有針對 ssh 做分析。
- 遇到不斷變換 IP 的駭客就沒輒了。
SSH 的安全設定
建議修改 /etc/ssh/sshd_config,做以下設定:
#只允許用戶使用 SSH2 協定登入
Protocol 2
#禁止 root 使用 SSH 登入
PermitRootLogin no
#最多可以同時開啟 10 個連線要求
MaxStartups 10
原贴:http://www.freebsdchina.or...
以下是安装笔记,此方法利用 cyrus-sasl-2.1.20 调用 courier-authlib 的authdaemon 来认证,所以并不需要为cyrus-sasl-2.1.20 打patch 就可以支持加密密码的认证。
软件组合: postfix-2.2.2 + cyrus-sasl-2.1.20 + courier-authlib-0.55 + courier-imap 4.02 + postfixadmin(邮箱/邮局管理)
cyrus-sasl-2.1.20 安装
$ tar -zxvf cyrus-sasl-2.1.20.tar.gz
$ cd cyrus-sasl-1.2.20
$ ./configure -enable-plain --enable-login --enable-cram --enable-digest --enable-sql --disable-otp
--disable-srp --disable-srp-setpass --disable-krb4 --disable-gssapi --disable-anon --disable-ntlm -
-with-authdaemond=/usr/local/courier-authlib/var/spool/authdaemon/socket --with-
mysql=/usr/local/mysql --with-mysql-includes=/usr/local/mysql/include/mysql --with-mysql-
libs=/usr/local/mysql/lib/mysql
$ make
# make install
--with-authdaemond=/usr/local/courier-authlib/var/spool/authdaemon/socket
这行是指定courier-authlib 的 authdaemon 的位置。
以下是安装笔记,此方法利用 cyrus-sasl-2.1.20 调用 courier-authlib 的authdaemon 来认证,所以并不需要为cyrus-sasl-2.1.20 打patch 就可以支持加密密码的认证。
软件组合: postfix-2.2.2 + cyrus-sasl-2.1.20 + courier-authlib-0.55 + courier-imap 4.02 + postfixadmin(邮箱/邮局管理)
cyrus-sasl-2.1.20 安装
$ tar -zxvf cyrus-sasl-2.1.20.tar.gz
$ cd cyrus-sasl-1.2.20
$ ./configure -enable-plain --enable-login --enable-cram --enable-digest --enable-sql --disable-otp
--disable-srp --disable-srp-setpass --disable-krb4 --disable-gssapi --disable-anon --disable-ntlm -
-with-authdaemond=/usr/local/courier-authlib/var/spool/authdaemon/socket --with-
mysql=/usr/local/mysql --with-mysql-includes=/usr/local/mysql/include/mysql --with-mysql-
libs=/usr/local/mysql/lib/mysql
$ make
# make install
--with-authdaemond=/usr/local/courier-authlib/var/spool/authdaemon/socket
这行是指定courier-authlib 的 authdaemon 的位置。
作者:wp1998@e21.edu.cn
声明:本文档可以自由转载与公开,但请保留作者信息。更多文档交流请到http://kds.1vs1.cn。
一、Cacti介绍与工作原理
在使用cacti之前先谈谈mrtg,呵呵。一般情况下,我们目前大多是采用mrtg对网络设备的端口流量进行监控,其基本原理是利用cron定时采集snmp数据,并定时生成流量示意图,当然也可以定时采集其他程式成生的非snmp数据来生成特定的曲线图,例如在线人数等。
但是mrtg也存在一些问题:
1。配置比较繁琐。我们一般都是通过修改cfg文件来设定流量图的监控项目、标题、颜色、长宽等信息,当设备数量比较多,或者监控项目需要修改设定的时候,修改cfg文件的工作是比较繁琐,不小心就会出错。
2。系统资源消耗较大。mrtg将每一个监控项目的历史数据通过log文本文件保存,时间越长log文本将会越大,在每次定时生成流量示意图的时候都会处理这个文本并重新生成日、周、月、年四张图片,在监控项目很多的时候对系统的负载要求是很大的。
3。流量图过于简单。mrtg的流量图只能处理2条曲线,而且只能显示固定的日周月年四个时间区段的图片,对于很多监控项目可能就并不适合了。
这个时候就有了一种新的替代方案RRDtool,它能够弥补以上mrtg的一些弱点,但是需要指出的是RRDtool已经不是一个单纯的监控软体,它更是一种时间戳格式数据的存储方式,以及相关的数据更新、输出和曲线图生成功能的软体平台。关于RRDtool的详细介绍可以查询官方网站和搜索引擎,我也将另文详细介绍。
Cacti是一种利用RRDtool、snmp、PHP、mysql、apache多种工具而成的一种监控软件,其源代码基于PHP脚本编写并公开,它的基本工作流程就是:
1。利用cron定期执行php脚本代码,通过snmp读取指定监控项目的snmp信息,然后将结果保存到rrdtool数据文件中。
2。在web监控界面中通过php读取rrdtool并生成指定监控项目和指定时间段的监控曲线图
声明:本文档可以自由转载与公开,但请保留作者信息。更多文档交流请到http://kds.1vs1.cn。
一、Cacti介绍与工作原理
在使用cacti之前先谈谈mrtg,呵呵。一般情况下,我们目前大多是采用mrtg对网络设备的端口流量进行监控,其基本原理是利用cron定时采集snmp数据,并定时生成流量示意图,当然也可以定时采集其他程式成生的非snmp数据来生成特定的曲线图,例如在线人数等。
但是mrtg也存在一些问题:
1。配置比较繁琐。我们一般都是通过修改cfg文件来设定流量图的监控项目、标题、颜色、长宽等信息,当设备数量比较多,或者监控项目需要修改设定的时候,修改cfg文件的工作是比较繁琐,不小心就会出错。
2。系统资源消耗较大。mrtg将每一个监控项目的历史数据通过log文本文件保存,时间越长log文本将会越大,在每次定时生成流量示意图的时候都会处理这个文本并重新生成日、周、月、年四张图片,在监控项目很多的时候对系统的负载要求是很大的。
3。流量图过于简单。mrtg的流量图只能处理2条曲线,而且只能显示固定的日周月年四个时间区段的图片,对于很多监控项目可能就并不适合了。
这个时候就有了一种新的替代方案RRDtool,它能够弥补以上mrtg的一些弱点,但是需要指出的是RRDtool已经不是一个单纯的监控软体,它更是一种时间戳格式数据的存储方式,以及相关的数据更新、输出和曲线图生成功能的软体平台。关于RRDtool的详细介绍可以查询官方网站和搜索引擎,我也将另文详细介绍。
Cacti是一种利用RRDtool、snmp、PHP、mysql、apache多种工具而成的一种监控软件,其源代码基于PHP脚本编写并公开,它的基本工作流程就是:
1。利用cron定期执行php脚本代码,通过snmp读取指定监控项目的snmp信息,然后将结果保存到rrdtool数据文件中。
2。在web监控界面中通过php读取rrdtool并生成指定监控项目和指定时间段的监控曲线图
