① 了解Honeynet(蜜網)或者linux的朋友請幫幫我
honeynet主機配置
Gen I是在三層用nat進行轉換控制,配置相對比較方便一些,但是路由轉發會消耗掉一個TTL。
Gen II是在二層用brige轉發控制,配置相對稍微復雜一點,不消耗TTL,相對更隱蔽一些。
不想編譯內核,使用Gen I。
1、主機系統配置
比較喜歡debian,由於user-mode-linux只在debian的testing和unstable里,所以就近選個快速的鏡象站點作系統更新、軟體安裝。geekbone的mirror非常完整,而且速度不錯,推薦。
# apt-get update
# apt-get upgrade
需要ssh來對主機進行管理:
# apt-get install ssh
去除一些不必要的服務:
# update-rc.d -f inetd remove
# update-rc.d -f ppp remove
# update-rc.d -f exim remove
2、安裝user-mode-linux
# apt-get install user-mode-linux
debian的UML內核沒有配mount DevFS,所以啟動的時候要加上devfs=mount的參數。
系統鏡象使用honeynet提供的redhat 7.2,可以從如下地址下載:
http://honeynet.xfocus.net/misc/files/root_fs.rh-7.2-server.pristine.20021012.gz
解壓後使用這個文件系統啟動UML:
# linux ubd0=root_fs.rh-7.2-server.pristine.20021012 eth0=tuntap,,00:90:0b:03:04:05,192.168.0.254 devfs=mount
如果文件系統映象文件名是root_fs,就不需加ubd0=,eth0=tuntap,,00:90:0b:03:04:05,192.168.0.254的意思是在eth0上用TUN/TAP綁定/dev/tap0,IP為192.168.0.254,前面的mac地址是指定UML網卡的mac地址,否則默認是FE:FD:00:00:00:00。
這個系統的用戶名和口令都是root。
3、數據控制
數據控制使用honeynet提供的rc.firewall腳本,可以從如下地址下載:
http://honeynet.xfocus.net/papers/honeynet/tools/rc.firewall
作一些輕微的修改:
rc.firewall默認使用2層的bridging模式,修改為:
MODE="nat"
需要配置虛擬系統對外的IP,可以指定多個用空格隔開:
PUBLIC_IP="192.168.7.144"
配置虛擬系統真實的IP,可以指定多個用空格隔開,注意和PUBLIC_IP對應:
HPOT_IP="192.168.0.144"
配置主機管理介面:
MANAGE_IFACE="eth0"
主機真實IP:
MANAGE_IP="192.168.7.99" # IP of management Interface
MANAGE_NETMASK="255.255.255.0" # Netmask of management Interface
允許訪問的埠,可以多個用空格隔開:
ALLOWED_TCP_IN="22"
允許訪問的來源IP,可以用any:
MANAGER="192.168.7.9/24"
數據控制介面:
LAN_IFACE="tap0"
rc.firewall默認允許9個TCP連接,20個UDP連接,50個ICMP連接和10個其它IP連接。當然可以修改腳本里這幾個參數。
4、數據捕獲
安裝snort:
# apt-get install snort
去掉它的自動啟動:
# update-rc.d -f snort remove
使用了honeynet提供的snort.conf和啟動腳本,下載地址:
http://honeynet.xfocus.net/papers/honeynet/tools/snort.conf
http://honeynet.xfocus.net/papers/honeynet/tools/snort-start.txt
snort.conf有些錯誤,作如下修改:
var HOME_NET 192.168.7.99/24
output alert_full: /data/snort/snort_full
output alert_fast: /data/snort/snort_fast
snort-start.txt啟動腳本稍微修改:
PID=/var/run/snort_tap0.pid
DIR=/data/snort
SNORT=/usr/sbin/snort
$SNORT -d -D -c /etc/snort/snort.conf -i vmnet1 -l $DIR/$DATE not host yyy.yyy.yyy.yyy
其中yyy.yyy.yyy.yyy是自己客戶端的IP,這樣忽略記錄自己的IP,避免了自己在虛擬honeypot上的連接特別是文件傳輸等不被記錄,使得日誌不會因為自己的操作變得巨大,增加干擾信息。當然前提是自己客戶端的IP是固定的,否則就算了。
當然針對需要捕獲何種數據可以再細調snort規則。
5、安裝vmware
使用的是vmware-gsx-2.5,商業軟體照者安裝就行。安裝的時候要注意,網路要安裝成host only模式,設置的IP就是網關地址,這些可以在安裝後用vmware-config.pl來修改。在網路修改那裡使用editor不要使用wizard。
關於數據控制和數據捕獲與上面UML的一樣,就是相應的介面由tap0改為vmnetX。
6、注意事項
清空iptables規則不能簡單的來個iptables -F,因為rc.firewall腳本把INPUT和FORWARD的策略都設為DROP,如果這樣撤銷rc.firewall的話所有網路都不通了。用如下的一個小腳本:
#!/bin/sh
#-----------------------------------------
# stop-firewall.sh
#-----------------------------------------
# safely stop rc.firewall
/sbin/iptables -F
/sbin/iptables -P INPUT ACCEPT
/sbin/iptables -P FORWARD ACCEPT
/sbin/iptables -P OUTPUT ACCEPT
/sbin/iptables -X icmpHandler
/sbin/iptables -X otherHandler
/sbin/iptables -X tcpHandler
/sbin/iptables -X udpHandler
echo "honeynet rc.firewall safely stoped!"
#EOF
很遺憾,UML和vmware不能同時用,它們使用的介面不一樣,也許改rc.firewall可以實現。然後就把機器託管到IDC去,你要開幾個虛擬機就再需要幾個外部IP,不要告訴IDC你到底做什麼,要不然別人可能會感覺不爽,你還得解釋半天。
② linux下安裝snort出錯
你先確定一下軟體的版本,有的老版本不適合;接著,你看看安裝的路徑以及對應文件夾的名稱,我安裝的時候就遇到過這樣的問題;還有就是添加命令行是否正確;最後,實在不行的話,多安裝幾次,運氣好的話,就ok了。
③ Linux伺服器的安全防護都有哪些措施
一、強化密碼強度
只要涉及到登錄,就需要用到密碼,如果密碼設定不恰當,就很容易被黑客破解,如果是超級管理員(root)用戶,如果沒有設立良好的密碼機制,可能給系統造成無法挽回的後果。
很多用戶喜歡用自己的生日、姓名、英文名等信息來設定,這些方式可以通過字典或者社會工程的手段去破解,因此建議用戶在設定密碼時,盡量使用非字典中出現的組合字元,且採用數字與字元、大小寫相結合的密碼,增加密碼被破譯的難度。
二、登錄用戶管理
進入Linux系統前,都是需要登錄的,只有通過系統驗證後,才能進入Linux操作系統,而Linux一般將密碼加密後,存放在/etc/passwd文件中,那麼所有用戶都可以讀取此文件,雖然其中保存的密碼已加密,但安全系數仍不高,因此可以設定影子文件/etc/shadow,只允許有特殊許可權的用戶操作。
三、賬戶安全等級管理
在Linux操作系統上,每個賬戶可以被賦予不同的許可權,因此在建立一個新用戶ID時,系統管理員應根據需要賦予該賬號不同的許可權,且歸並到不同的用戶組中。每個賬號ID應有專人負責,在企業中,如果負責某個ID的員工離職,該立即從系統中刪除該賬號。
四、謹慎使用"r"系列遠程程序管理
在Linux操作系統中,有一系列r開頭的公用程序,如rlogin、rcp等,非常容易被不法分子用來攻擊我們的系統,因此千萬不要將root賬號開放給這些公用程序,現如今很多安全工具都是針對此漏洞而設計的,比如PAM工具,就可以將其有效地禁止掉。
五、root用戶許可權管理
root可謂是Linux重點保護對象,因為其權利是最高的,因此千萬不要將它授權出去,但有些程序的安裝、維護必須要求是超級用戶許可權,在此情況下,可以利用其他工具讓這類用戶有部分超級用戶的許可權。sudo就是這樣的工具。
六、綜合防禦管理
防火牆、IDS等防護技術已成功應用到網路安全的各個領域,且都有非常成熟的產品,需要注意的是:在大多數情況下,需要綜合使用這兩項技術,因為防火牆相當於安全防護的第一層,它僅僅通過簡單地比較IP地址/埠對來過濾網路流量,而IDS更加具體,它需要通過具體的數據包(部分或者全部)來過濾網路流量,是安全防護的第二層。綜合使用它們,能夠做到互補,並且發揮各自的優勢,最終實現綜合防禦。
酷酷雲伺服器為您誠意解答,伺服器租戶的選擇,酷酷雲值得信賴。
④ linux中把一個包解壓(tar)安裝成功後那些軟體安裝在什麼位置,那個解壓包時產生的文件夾可以刪除嗎
tar解壓時,可以設置解壓目錄的,默認為當前目錄。另外,在Linux中,解壓包中的文件就是你的軟體文件,是不能刪除的。如果你覺得解壓文件夾位置不是很好,可以使用mv或cp移動或復制至其他目錄。切記,不能刪除。
當然,有些軟體解壓後有安裝腳本,這時,執行安裝腳本時,可能會執行文件夾復制到其他文件夾的命令,這時,刪除該解壓文件夾是可以的。
⑤ 如何在Linux上安裝Suricata入侵檢測系統
安裝Snort過程 [安裝LAMP,Snort和一些軟體庫] 由於 Ubuntu 是 Debian 系的 Linux,安裝軟體非常簡單,而且 Ubuntu 在中國科技大學有鏡像,在教育網和科技網下載速度非常快(2~6M/s),就省掉了出國下載安裝包的麻煩,只需要一個命令即可在幾十秒鍾內安裝好所有軟體。這里使用 Ubuntu 默認命令行軟體包管理器 apt 來進行安裝。 $ sudo apt-get install libpcap0.8-dev libmysqlclient15-dev mysql-client-5.0 mysql-server-5.0 bison flex apache2 libapache2-mod-php5 php5-gd php5-mysql libphp-adodb php-pear pcregrep snort snort-rules-default 需要注意的是在安裝 MySQL 資料庫時會彈出設置 MySQL 根用戶口令的界面,臨時設置其為「test」。 [在 MySQL 資料庫中為 Snort 建立資料庫] Ubuntu 軟體倉庫中有一個默認的軟體包 snort-mysql 提供輔助功能,用軟體包管理器下載安裝這個軟體包。 $ sudo apt-get install snort-mysql 安裝好之後查看幫助文檔: $ less /usr/share/doc/snort-mysql/README-database.Debian 根據幫助文檔中的指令,在 MySQL 中建立 Snort 的資料庫用戶和資料庫。所使用的命令如下: $ mysql –u root –p 在提示符處輸入上面設置的口令 test mysql> CREATE DATABASE snort; mysql> grant CREATE, INSERT, SELECT, UPDATE on snort.* to snort@localhost; mysql> grant CREATE, INSERT, SELECT, UPDATE on snort.* to snort; mysql> SET PASSWORD FOR snort@localhost=PASSWORD('snort-db'); mysql> exit 以上命令的功能是在 MySQL 資料庫中建立一個 snort 資料庫,並建立一個 snort 用戶來管理這個資料庫,設置 snort 用戶的口令為 snort-db。 然後根據 README-database.Debian 中的指示建立 snort 資料庫的結構。 $ cd /usr/share/doc/snort-mysql $ zcat create_mysql.gz | mysql -u snort -D snort -psnort-db 這樣就為 snort 在 MySQL 中建立了資料庫的結構,其中包括各個 snort 需要使用的表。 [設置 snort 把 log 文件輸出到 MySQL 資料庫中] 修改 Snort 的配置文件:/etc/snort/snort.conf $ sudo vim /etc/snort/snort.conf 在配置文件中將 HOME_NET 有關項注釋掉,然後將 HOME_NET 設置為本機 IP 所在網路,將 EXTERNAL_NET 相關項注釋掉,設置其為非本機網路,如下所示: #var HOME_NET any var HOME_NET 192.168.0.0/16 #var EXTERNAL_NET any var EXTERNAL_NET !$HOME_NET 將 output database 相關項注釋掉,將日誌輸出設置到 MySQL 資料庫中,如下所示: output database: log, mysql, user=snort password=snort-db dbname=snort host=localhost #output database: log, mysql 這樣,snort 就不再向 /var/log/snort 目錄下的文件寫記錄了,轉而將記錄存放在 MySQL 的snort資料庫中。這時候可以測試一下 Snort 工作是否正常: $ sudo snort -c /etc/snort/snort.conf 如果出現一個用 ASCII 字元畫出的小豬,那麼 Snort 工作就正常了,可以使用 Ctrl-C 退出;如果 Snort 異常退出,就需要查明以上配置的正確性了。 [測試 Web 伺服器 Apache 和 PHP 是否工作正常] 配置 apache 的 php 模塊,添加 msql 和 gd 的擴展。 $ sudo vim /etc/php5/apache2/php.ini extension=msql.so extension=gd.so 重新啟動 apache $ /etc/init.d/apache2 restart 在/var/www/目錄下新建一個文本文件test.php $ sudo vim /var/www/test.php 輸入內容: <?php phpinfo(); ?> 然後在瀏覽器中輸入 http://localhost/test.php,如果配置正確的話,就會出現 PHP INFO 的經典界面,就標志著 LAMP 工作正常。 [安裝和配置 acid-base] 安裝 acid-base 很簡單,使用 Ubuntu 軟體包管理器下載安裝即可: $ sudo apt-get install acidbase 安裝過程中需要輸入 acidbase 選擇使用的資料庫,這里選 MySQL,根用戶口令 test,和 acid-base 的口令(貌似也可以跳過不設置)。 將acidbase從安裝目錄中拷貝到www目錄中,也可以直接在apache中建立一個虛擬目錄指向安裝目錄,這里拷貝過來主要是為了安全性考慮。 sudo cp –R /usr/share/acidbase/ /var/www/ 因為 acidbase 目錄下的 base_conf.php 原本是一個符號鏈接指向 /etc/acidbase/ 下的base_conf.php,為了保證許可權可控制,我們要刪除這個鏈接並新建 base_conf.php 文件。 $ rm base_conf.php $ touch base_conf.php 暫時將 /var/www/acidbase/ 目錄許可權改為所有人可寫,主要是為了配置 acidbase 所用。 $ sudo chmod 757 acidbase/ 現在就可以開始配置 acid-base 了,在瀏覽器地址欄中輸入 http://localhost/acidbase,就會轉入安裝界面,然後就點擊 continue 一步步地進行安裝: 選擇語言為 english,adodb 的路徑為:/usr/share/php/adodb;選擇資料庫為 MySQL,資料庫名為 snort,資料庫主機為 localhost,資料庫用戶名為 snort 的口令為 snort-db;設置 acidbase 系統管理員用戶名和口令,設置系統管理員用戶名為 admin,口令為 test。然後一路繼續下去,就能安裝完成了。 安裝完成後就可以進入登錄界面,輸入用戶名和口令,進入 acidbase 系統。 這里需要將 acidbase 目錄的許可權改回去以確保安全性,然後在後台啟動 snort,就表明 snort 入侵檢測系統的安裝完成並正常啟動了: $ sudo chmod 775 acidbase/ $ sudo snort -c /etc/snort/snort.conf -i eth0 –D [檢查入侵檢測系統工作狀況,更改入侵檢測規則] 正常情況下在一個不安全的網路中,登錄 acidbase 後一會兒就能發現網路攻擊。如果沒有發現網路攻擊,可以添加更嚴格的規則使得正常的網路連接也可能被報攻擊,以測試 Snort IDS 的工作正確性,比如在 /etc/snort/rules/web-misc.rules 的最後添加下面的話: $ sudo vi /etc/snort/rules/web-misc.rules alert tcp any :1024 -> $HTTP_SERVER 500: 這一行的意思是:對從任何地址小於 1024 埠向本機 500 以上埠發送的 tcp 數據包都報警。殺死 Snort 的後台進程並重新啟動,就應該能檢測到正常的包也被當作攻擊了。 $ sudo kill `pgrep snort` $ sudo snort –c /etc/snort/snort.conf –i eth0 -D 總結 使用Ubuntu安裝Snort入侵檢測系統和網頁控制台是相當容易的,因為 Ubuntu 提供了很方便的軟體包安裝功能,只是有時候定製性能太差,需要用戶手動去尋找軟體包的安裝位置。
⑥ snort安裝的問題 出現了一個錯誤:ERROR: c:\snort\etc\snort.conf(174) Missing/incorrect dynamic engin
好麻煩 WINDOWSXP IDS的架設分為很多步
具體的我不詳細說
大概是 1:找個IDS系統 一般中小型網路用SNORT 現在是2.3版
2:再安裝MYSQL+PHP+APCHE
3:再安裝Wincap和winmp
等等 具體我幫你找個文章
本人不建議在WINDOWS下假設網路入侵檢測系統
因為WINDOWS系統的"暗箱"操作會影響檢測系統對網路流程的檢測 發揮不出入侵檢測的功效
若在LINUX下架設效果會更好
詳細文章:
1,需要的組件以及它們的作用,功能(各個安裝文件去相關軟體的主頁下載):
(1)WinPcap:windwos下的捕獲網路數據包的驅動程序庫,
(2)snort:將其捕獲的數據發送至資料庫,
(3)apache:為系統提供了web服務支持,。
(4)php:為系統提供了php支持,使apache能夠運行php程序,。
(5)MySQL:存儲網路數據包的資料庫,。
(6)acid:是基於php的入侵檢測資料庫分析控制台(剛才安裝apache和php就是為了能運行它)
(7)adodb:是php資料庫的連接組件,。
(8)Jpgraph:Object-Oriented圖形鏈接庫For PHP,。
acid:通過adodb從mssql.snort資料庫中讀取數據,將分析結果顯示在網頁上,並使用jpgraph組件對其進行圖形化分析。
2,安裝
一,安裝WinPcap,一路next,就ok了.
二,安裝Apache,PHP,MySQL,請參考以前我寫的一篇文章,注意選擇MySQL4.0版本,4.1版本對客戶端採用了新的驗證方式,登錄會有點問題.
三、安裝Snort
使用默認安裝路徑c:\snort,選擇資料庫為 MySQL,並按照以下修改C:\Snort\etc\snort.conf文件:
var RULE_PATH c:\snort\rules
output database: alert, mysql, user=root dbname=snort host=localhost
include C:\Snort\etc\classification.config
include C:\Snort\etc\reference.config
四、安裝adodb
解壓縮adodb461.zip 至c:\php\adodb 目錄下
五、安裝acid
(1)解壓縮acid壓縮包至apache2\htdocs\acid目錄下
(2)修改acid_conf.php文件,找到相應的行,並把它們改成:
$DBtype = "mysql";
$DBlib_path = "c:\php\adodb";
$alert_dbname = "snort";
$alert_host = "localhost";
$alert_port = "";
$alert_user = "snort";
$alert_password = "yourpassword";
/* Archive DB connection parameters */
$archive_dbname = "snort_archive";
$archive_host = "localhost";
$archive_port = "";
$archive_user = "snort";
$archive_password = "yourpassword";
$ChartLib_path = "c:\php\jpgraph\src";
(3)打開,測試基本功能是否安裝成功。如果有錯誤,則根據錯誤情況重新檢查。在正常情況下,到此處應該能夠正常連接資料庫。
六、安裝jpgrapg 庫
(1)解壓縮jpgraph壓縮包至c:\php\ jpgraph
(2)修改jpgraph.php
DEFINE("CACHE_DIR","/tmp/jpgraph_cache/");
3,運行snort,打開ACID
(1),進入cmd命令窗口,切換到snort安裝目錄,例如c:\snort\bin運行snort -c "c:\snort\etc\snort.conf" -l "c:\snort\logs" -d,運行後不要關閉窗口.
(2),輸入,應該可以看到當前的網路情況分析。
OVER!
⑦ Linux下按裝snort遇到了包依賴關系.
要麼yum install snort;
要麼yum install rpmlib libdnet.1 libpcap.so.1 libsfbpf.so.0,然s後rpm -ivh snort-2.9.2.3-1.RHEL6.I386.RPM
要不rpm -ivh snort-2.9.2.3-1.RHEL6.I386.RPM --nodeps裝上,但不一定能用
⑧ 如何在 Linux 系統上安裝 Suricata 入侵檢測系統
由於 Ubuntu 是 Debian 系的 Linux,安裝軟體非常簡單,而且 Ubuntu 在中國科技大學有鏡像,在教育網和科技網下載速度非常快(2~6M/s),就省掉了出國下載安裝包的麻煩,只需要一個命令即可在幾十秒鍾內安裝好所有軟體。這里使用 Ubuntu 默認命令行軟體包管理器 apt 來進行安裝。 需要注意的是在安裝 MySQL 資料庫時會彈出設置 MySQL 根用戶口令的界面,臨時設置其為「test」。 [在 MySQL 資料庫中為 Snort 建立資料庫] Ubuntu 軟體倉庫中有一個默認的軟體包 snort-mysql 提供輔助功能,用軟體包管理器下載安裝這個軟體包。 $ sudo apt-get install snort-mysql 安裝好之後查看幫助文檔:
⑨ 在linux中,安裝snort,執行make命令出現下面這個錯誤,該怎麼解決
ERROR: parser.c(5047) Could not stat dynamic mole path "/usr/local/lib/snort_dynamicengine/libsf_engine.so": No such file or directory.
Fatal Error, Quitting..
有這種error嗎?還得再往上看看錯誤輸出,才知道為嘛
⑩ linux系統安裝軟體包問題
缺少C編譯器,可以安裝一個gcc,如果你用的是Ubuntu類的,可以在終端下執行apt-get install gcc(不過貌似Ubuntu本身就集成了),如果是CentOS等這些基於RedHat的,可以執行yum install gcc