① 了解Honeynet(蜜網)或者linux的朋友請幫幫我
honeynet主機配置
Gen I是在三層用nat進行轉換控制,配置相對比較方便一些,但是路由轉發會消耗掉一個TTL。
Gen II是在二層用brige轉發控制,配置相對稍微復雜一點,不消耗TTL,相對更隱蔽一些。
不想編譯內核,使用Gen I。
1、主機系統配置
比較喜歡debian,由於user-mode-linux只在debian的testing和unstable里,所以就近選個快速的鏡象站點作系統更新、軟體安裝。geekbone的mirror非常完整,而且速度不錯,推薦。
# apt-get update
# apt-get upgrade
需要ssh來對主機進行管理:
# apt-get install ssh
去除一些不必要的服務:
# update-rc.d -f inetd remove
# update-rc.d -f ppp remove
# update-rc.d -f exim remove
2、安裝user-mode-linux
# apt-get install user-mode-linux
debian的UML內核沒有配mount DevFS,所以啟動的時候要加上devfs=mount的參數。
系統鏡象使用honeynet提供的redhat 7.2,可以從如下地址下載:
http://honeynet.xfocus.net/misc/files/root_fs.rh-7.2-server.pristine.20021012.gz
解壓後使用這個文件系統啟動UML:
# linux ubd0=root_fs.rh-7.2-server.pristine.20021012 eth0=tuntap,,00:90:0b:03:04:05,192.168.0.254 devfs=mount
如果文件系統映象文件名是root_fs,就不需加ubd0=,eth0=tuntap,,00:90:0b:03:04:05,192.168.0.254的意思是在eth0上用TUN/TAP綁定/dev/tap0,IP為192.168.0.254,前面的mac地址是指定UML網卡的mac地址,否則默認是FE:FD:00:00:00:00。
這個系統的用戶名和口令都是root。
3、數據控制
數據控制使用honeynet提供的rc.firewall腳本,可以從如下地址下載:
http://honeynet.xfocus.net/papers/honeynet/tools/rc.firewall
作一些輕微的修改:
rc.firewall默認使用2層的bridging模式,修改為:
MODE="nat"
需要配置虛擬系統對外的IP,可以指定多個用空格隔開:
PUBLIC_IP="192.168.7.144"
配置虛擬系統真實的IP,可以指定多個用空格隔開,注意和PUBLIC_IP對應:
HPOT_IP="192.168.0.144"
配置主機管理介面:
MANAGE_IFACE="eth0"
主機真實IP:
MANAGE_IP="192.168.7.99" # IP of management Interface
MANAGE_NETMASK="255.255.255.0" # Netmask of management Interface
允許訪問的埠,可以多個用空格隔開:
ALLOWED_TCP_IN="22"
允許訪問的來源IP,可以用any:
MANAGER="192.168.7.9/24"
數據控制介面:
LAN_IFACE="tap0"
rc.firewall默認允許9個TCP連接,20個UDP連接,50個ICMP連接和10個其它IP連接。當然可以修改腳本里這幾個參數。
4、數據捕獲
安裝snort:
# apt-get install snort
去掉它的自動啟動:
# update-rc.d -f snort remove
使用了honeynet提供的snort.conf和啟動腳本,下載地址:
http://honeynet.xfocus.net/papers/honeynet/tools/snort.conf
http://honeynet.xfocus.net/papers/honeynet/tools/snort-start.txt
snort.conf有些錯誤,作如下修改:
var HOME_NET 192.168.7.99/24
output alert_full: /data/snort/snort_full
output alert_fast: /data/snort/snort_fast
snort-start.txt啟動腳本稍微修改:
PID=/var/run/snort_tap0.pid
DIR=/data/snort
SNORT=/usr/sbin/snort
$SNORT -d -D -c /etc/snort/snort.conf -i vmnet1 -l $DIR/$DATE not host yyy.yyy.yyy.yyy
其中yyy.yyy.yyy.yyy是自己客戶端的IP,這樣忽略記錄自己的IP,避免了自己在虛擬honeypot上的連接特別是文件傳輸等不被記錄,使得日誌不會因為自己的操作變得巨大,增加干擾信息。當然前提是自己客戶端的IP是固定的,否則就算了。
當然針對需要捕獲何種數據可以再細調snort規則。
5、安裝vmware
使用的是vmware-gsx-2.5,商業軟體照者安裝就行。安裝的時候要注意,網路要安裝成host only模式,設置的IP就是網關地址,這些可以在安裝後用vmware-config.pl來修改。在網路修改那裡使用editor不要使用wizard。
關於數據控制和數據捕獲與上面UML的一樣,就是相應的介面由tap0改為vmnetX。
6、注意事項
清空iptables規則不能簡單的來個iptables -F,因為rc.firewall腳本把INPUT和FORWARD的策略都設為DROP,如果這樣撤銷rc.firewall的話所有網路都不通了。用如下的一個小腳本:
#!/bin/sh
#-----------------------------------------
# stop-firewall.sh
#-----------------------------------------
# safely stop rc.firewall
/sbin/iptables -F
/sbin/iptables -P INPUT ACCEPT
/sbin/iptables -P FORWARD ACCEPT
/sbin/iptables -P OUTPUT ACCEPT
/sbin/iptables -X icmpHandler
/sbin/iptables -X otherHandler
/sbin/iptables -X tcpHandler
/sbin/iptables -X udpHandler
echo "honeynet rc.firewall safely stoped!"
#EOF
很遺憾,UML和vmware不能同時用,它們使用的介面不一樣,也許改rc.firewall可以實現。然後就把機器託管到IDC去,你要開幾個虛擬機就再需要幾個外部IP,不要告訴IDC你到底做什麼,要不然別人可能會感覺不爽,你還得解釋半天。
② linux中把一個包解壓(tar)安裝成功後那些軟體安裝在什麼位置,那個解壓包時產生的文件夾可以刪除嗎
tar解壓時,可以設置解壓目錄的,默認為當前目錄。另外,在Linux中,解壓包中的文件就是你的軟體文件,是不能刪除的。如果你覺得解壓文件夾位置不是很好,可以使用mv或cp移動或復制至其他目錄。切記,不能刪除。
當然,有些軟體解壓後有安裝腳本,這時,執行安裝腳本時,可能會執行文件夾復制到其他文件夾的命令,這時,刪除該解壓文件夾是可以的。