① 了解Honeynet(蜜网)或者linux的朋友请帮帮我
honeynet主机配置
Gen I是在三层用nat进行转换控制,配置相对比较方便一些,但是路由转发会消耗掉一个TTL。
Gen II是在二层用brige转发控制,配置相对稍微复杂一点,不消耗TTL,相对更隐蔽一些。
不想编译内核,使用Gen I。
1、主机系统配置
比较喜欢debian,由于user-mode-linux只在debian的testing和unstable里,所以就近选个快速的镜象站点作系统更新、软件安装。geekbone的mirror非常完整,而且速度不错,推荐。
# apt-get update
# apt-get upgrade
需要ssh来对主机进行管理:
# apt-get install ssh
去除一些不必要的服务:
# update-rc.d -f inetd remove
# update-rc.d -f ppp remove
# update-rc.d -f exim remove
2、安装user-mode-linux
# apt-get install user-mode-linux
debian的UML内核没有配mount DevFS,所以启动的时候要加上devfs=mount的参数。
系统镜象使用honeynet提供的redhat 7.2,可以从如下地址下载:
http://honeynet.xfocus.net/misc/files/root_fs.rh-7.2-server.pristine.20021012.gz
解压后使用这个文件系统启动UML:
# linux ubd0=root_fs.rh-7.2-server.pristine.20021012 eth0=tuntap,,00:90:0b:03:04:05,192.168.0.254 devfs=mount
如果文件系统映象文件名是root_fs,就不需加ubd0=,eth0=tuntap,,00:90:0b:03:04:05,192.168.0.254的意思是在eth0上用TUN/TAP绑定/dev/tap0,IP为192.168.0.254,前面的mac地址是指定UML网卡的mac地址,否则默认是FE:FD:00:00:00:00。
这个系统的用户名和口令都是root。
3、数据控制
数据控制使用honeynet提供的rc.firewall脚本,可以从如下地址下载:
http://honeynet.xfocus.net/papers/honeynet/tools/rc.firewall
作一些轻微的修改:
rc.firewall默认使用2层的bridging模式,修改为:
MODE="nat"
需要配置虚拟系统对外的IP,可以指定多个用空格隔开:
PUBLIC_IP="192.168.7.144"
配置虚拟系统真实的IP,可以指定多个用空格隔开,注意和PUBLIC_IP对应:
HPOT_IP="192.168.0.144"
配置主机管理接口:
MANAGE_IFACE="eth0"
主机真实IP:
MANAGE_IP="192.168.7.99" # IP of management Interface
MANAGE_NETMASK="255.255.255.0" # Netmask of management Interface
允许访问的端口,可以多个用空格隔开:
ALLOWED_TCP_IN="22"
允许访问的来源IP,可以用any:
MANAGER="192.168.7.9/24"
数据控制接口:
LAN_IFACE="tap0"
rc.firewall默认允许9个TCP连接,20个UDP连接,50个ICMP连接和10个其它IP连接。当然可以修改脚本里这几个参数。
4、数据捕获
安装snort:
# apt-get install snort
去掉它的自动启动:
# update-rc.d -f snort remove
使用了honeynet提供的snort.conf和启动脚本,下载地址:
http://honeynet.xfocus.net/papers/honeynet/tools/snort.conf
http://honeynet.xfocus.net/papers/honeynet/tools/snort-start.txt
snort.conf有些错误,作如下修改:
var HOME_NET 192.168.7.99/24
output alert_full: /data/snort/snort_full
output alert_fast: /data/snort/snort_fast
snort-start.txt启动脚本稍微修改:
PID=/var/run/snort_tap0.pid
DIR=/data/snort
SNORT=/usr/sbin/snort
$SNORT -d -D -c /etc/snort/snort.conf -i vmnet1 -l $DIR/$DATE not host yyy.yyy.yyy.yyy
其中yyy.yyy.yyy.yyy是自己客户端的IP,这样忽略记录自己的IP,避免了自己在虚拟honeypot上的连接特别是文件传输等不被记录,使得日志不会因为自己的操作变得巨大,增加干扰信息。当然前提是自己客户端的IP是固定的,否则就算了。
当然针对需要捕获何种数据可以再细调snort规则。
5、安装vmware
使用的是vmware-gsx-2.5,商业软件照者安装就行。安装的时候要注意,网络要安装成host only模式,设置的IP就是网关地址,这些可以在安装后用vmware-config.pl来修改。在网络修改那里使用editor不要使用wizard。
关于数据控制和数据捕获与上面UML的一样,就是相应的接口由tap0改为vmnetX。
6、注意事项
清空iptables规则不能简单的来个iptables -F,因为rc.firewall脚本把INPUT和FORWARD的策略都设为DROP,如果这样撤销rc.firewall的话所有网络都不通了。用如下的一个小脚本:
#!/bin/sh
#-----------------------------------------
# stop-firewall.sh
#-----------------------------------------
# safely stop rc.firewall
/sbin/iptables -F
/sbin/iptables -P INPUT ACCEPT
/sbin/iptables -P FORWARD ACCEPT
/sbin/iptables -P OUTPUT ACCEPT
/sbin/iptables -X icmpHandler
/sbin/iptables -X otherHandler
/sbin/iptables -X tcpHandler
/sbin/iptables -X udpHandler
echo "honeynet rc.firewall safely stoped!"
#EOF
很遗憾,UML和vmware不能同时用,它们使用的接口不一样,也许改rc.firewall可以实现。然后就把机器托管到IDC去,你要开几个虚拟机就再需要几个外部IP,不要告诉IDC你到底做什么,要不然别人可能会感觉不爽,你还得解释半天。
② linux下安装snort出错
你先确定一下软件的版本,有的老版本不适合;接着,你看看安装的路径以及对应文件夹的名称,我安装的时候就遇到过这样的问题;还有就是添加命令行是否正确;最后,实在不行的话,多安装几次,运气好的话,就ok了。
③ Linux服务器的安全防护都有哪些措施
一、强化密码强度
只要涉及到登录,就需要用到密码,如果密码设定不恰当,就很容易被黑客破解,如果是超级管理员(root)用户,如果没有设立良好的密码机制,可能给系统造成无法挽回的后果。
很多用户喜欢用自己的生日、姓名、英文名等信息来设定,这些方式可以通过字典或者社会工程的手段去破解,因此建议用户在设定密码时,尽量使用非字典中出现的组合字符,且采用数字与字符、大小写相结合的密码,增加密码被破译的难度。
二、登录用户管理
进入Linux系统前,都是需要登录的,只有通过系统验证后,才能进入Linux操作系统,而Linux一般将密码加密后,存放在/etc/passwd文件中,那么所有用户都可以读取此文件,虽然其中保存的密码已加密,但安全系数仍不高,因此可以设定影子文件/etc/shadow,只允许有特殊权限的用户操作。
三、账户安全等级管理
在Linux操作系统上,每个账户可以被赋予不同的权限,因此在建立一个新用户ID时,系统管理员应根据需要赋予该账号不同的权限,且归并到不同的用户组中。每个账号ID应有专人负责,在企业中,如果负责某个ID的员工离职,该立即从系统中删除该账号。
四、谨慎使用"r"系列远程程序管理
在Linux操作系统中,有一系列r开头的公用程序,如rlogin、rcp等,非常容易被不法分子用来攻击我们的系统,因此千万不要将root账号开放给这些公用程序,现如今很多安全工具都是针对此漏洞而设计的,比如PAM工具,就可以将其有效地禁止掉。
五、root用户权限管理
root可谓是Linux重点保护对象,因为其权利是最高的,因此千万不要将它授权出去,但有些程序的安装、维护必须要求是超级用户权限,在此情况下,可以利用其他工具让这类用户有部分超级用户的权限。sudo就是这样的工具。
六、综合防御管理
防火墙、IDS等防护技术已成功应用到网络安全的各个领域,且都有非常成熟的产品,需要注意的是:在大多数情况下,需要综合使用这两项技术,因为防火墙相当于安全防护的第一层,它仅仅通过简单地比较IP地址/端口对来过滤网络流量,而IDS更加具体,它需要通过具体的数据包(部分或者全部)来过滤网络流量,是安全防护的第二层。综合使用它们,能够做到互补,并且发挥各自的优势,最终实现综合防御。
酷酷云服务器为您诚意解答,服务器租户的选择,酷酷云值得信赖。
④ linux中把一个包解压(tar)安装成功后那些软件安装在什么位置,那个解压包时产生的文件夹可以删除吗
tar解压时,可以设置解压目录的,默认为当前目录。另外,在Linux中,解压包中的文件就是你的软件文件,是不能删除的。如果你觉得解压文件夹位置不是很好,可以使用mv或cp移动或复制至其他目录。切记,不能删除。
当然,有些软件解压后有安装脚本,这时,执行安装脚本时,可能会执行文件夹复制到其他文件夹的命令,这时,删除该解压文件夹是可以的。
⑤ 如何在Linux上安装Suricata入侵检测系统
安装Snort过程 [安装LAMP,Snort和一些软件库] 由于 Ubuntu 是 Debian 系的 Linux,安装软件非常简单,而且 Ubuntu 在中国科技大学有镜像,在教育网和科技网下载速度非常快(2~6M/s),就省掉了出国下载安装包的麻烦,只需要一个命令即可在几十秒钟内安装好所有软件。这里使用 Ubuntu 默认命令行软件包管理器 apt 来进行安装。 $ sudo apt-get install libpcap0.8-dev libmysqlclient15-dev mysql-client-5.0 mysql-server-5.0 bison flex apache2 libapache2-mod-php5 php5-gd php5-mysql libphp-adodb php-pear pcregrep snort snort-rules-default 需要注意的是在安装 MySQL 数据库时会弹出设置 MySQL 根用户口令的界面,临时设置其为“test”。 [在 MySQL 数据库中为 Snort 建立数据库] Ubuntu 软件仓库中有一个默认的软件包 snort-mysql 提供辅助功能,用软件包管理器下载安装这个软件包。 $ sudo apt-get install snort-mysql 安装好之后查看帮助文档: $ less /usr/share/doc/snort-mysql/README-database.Debian 根据帮助文档中的指令,在 MySQL 中建立 Snort 的数据库用户和数据库。所使用的命令如下: $ mysql –u root –p 在提示符处输入上面设置的口令 test mysql> CREATE DATABASE snort; mysql> grant CREATE, INSERT, SELECT, UPDATE on snort.* to snort@localhost; mysql> grant CREATE, INSERT, SELECT, UPDATE on snort.* to snort; mysql> SET PASSWORD FOR snort@localhost=PASSWORD('snort-db'); mysql> exit 以上命令的功能是在 MySQL 数据库中建立一个 snort 数据库,并建立一个 snort 用户来管理这个数据库,设置 snort 用户的口令为 snort-db。 然后根据 README-database.Debian 中的指示建立 snort 数据库的结构。 $ cd /usr/share/doc/snort-mysql $ zcat create_mysql.gz | mysql -u snort -D snort -psnort-db 这样就为 snort 在 MySQL 中建立了数据库的结构,其中包括各个 snort 需要使用的表。 [设置 snort 把 log 文件输出到 MySQL 数据库中] 修改 Snort 的配置文件:/etc/snort/snort.conf $ sudo vim /etc/snort/snort.conf 在配置文件中将 HOME_NET 有关项注释掉,然后将 HOME_NET 设置为本机 IP 所在网络,将 EXTERNAL_NET 相关项注释掉,设置其为非本机网络,如下所示: #var HOME_NET any var HOME_NET 192.168.0.0/16 #var EXTERNAL_NET any var EXTERNAL_NET !$HOME_NET 将 output database 相关项注释掉,将日志输出设置到 MySQL 数据库中,如下所示: output database: log, mysql, user=snort password=snort-db dbname=snort host=localhost #output database: log, mysql 这样,snort 就不再向 /var/log/snort 目录下的文件写记录了,转而将记录存放在 MySQL 的snort数据库中。这时候可以测试一下 Snort 工作是否正常: $ sudo snort -c /etc/snort/snort.conf 如果出现一个用 ASCII 字符画出的小猪,那么 Snort 工作就正常了,可以使用 Ctrl-C 退出;如果 Snort 异常退出,就需要查明以上配置的正确性了。 [测试 Web 服务器 Apache 和 PHP 是否工作正常] 配置 apache 的 php 模块,添加 msql 和 gd 的扩展。 $ sudo vim /etc/php5/apache2/php.ini extension=msql.so extension=gd.so 重新启动 apache $ /etc/init.d/apache2 restart 在/var/www/目录下新建一个文本文件test.php $ sudo vim /var/www/test.php 输入内容: <?php phpinfo(); ?> 然后在浏览器中输入 http://localhost/test.php,如果配置正确的话,就会出现 PHP INFO 的经典界面,就标志着 LAMP 工作正常。 [安装和配置 acid-base] 安装 acid-base 很简单,使用 Ubuntu 软件包管理器下载安装即可: $ sudo apt-get install acidbase 安装过程中需要输入 acidbase 选择使用的数据库,这里选 MySQL,根用户口令 test,和 acid-base 的口令(貌似也可以跳过不设置)。 将acidbase从安装目录中拷贝到www目录中,也可以直接在apache中建立一个虚拟目录指向安装目录,这里拷贝过来主要是为了安全性考虑。 sudo cp –R /usr/share/acidbase/ /var/www/ 因为 acidbase 目录下的 base_conf.php 原本是一个符号链接指向 /etc/acidbase/ 下的base_conf.php,为了保证权限可控制,我们要删除这个链接并新建 base_conf.php 文件。 $ rm base_conf.php $ touch base_conf.php 暂时将 /var/www/acidbase/ 目录权限改为所有人可写,主要是为了配置 acidbase 所用。 $ sudo chmod 757 acidbase/ 现在就可以开始配置 acid-base 了,在浏览器地址栏中输入 http://localhost/acidbase,就会转入安装界面,然后就点击 continue 一步步地进行安装: 选择语言为 english,adodb 的路径为:/usr/share/php/adodb;选择数据库为 MySQL,数据库名为 snort,数据库主机为 localhost,数据库用户名为 snort 的口令为 snort-db;设置 acidbase 系统管理员用户名和口令,设置系统管理员用户名为 admin,口令为 test。然后一路继续下去,就能安装完成了。 安装完成后就可以进入登录界面,输入用户名和口令,进入 acidbase 系统。 这里需要将 acidbase 目录的权限改回去以确保安全性,然后在后台启动 snort,就表明 snort 入侵检测系统的安装完成并正常启动了: $ sudo chmod 775 acidbase/ $ sudo snort -c /etc/snort/snort.conf -i eth0 –D [检查入侵检测系统工作状况,更改入侵检测规则] 正常情况下在一个不安全的网络中,登录 acidbase 后一会儿就能发现网络攻击。如果没有发现网络攻击,可以添加更严格的规则使得正常的网络连接也可能被报攻击,以测试 Snort IDS 的工作正确性,比如在 /etc/snort/rules/web-misc.rules 的最后添加下面的话: $ sudo vi /etc/snort/rules/web-misc.rules alert tcp any :1024 -> $HTTP_SERVER 500: 这一行的意思是:对从任何地址小于 1024 端口向本机 500 以上端口发送的 tcp 数据包都报警。杀死 Snort 的后台进程并重新启动,就应该能检测到正常的包也被当作攻击了。 $ sudo kill `pgrep snort` $ sudo snort –c /etc/snort/snort.conf –i eth0 -D 总结 使用Ubuntu安装Snort入侵检测系统和网页控制台是相当容易的,因为 Ubuntu 提供了很方便的软件包安装功能,只是有时候定制性能太差,需要用户手动去寻找软件包的安装位置。
⑥ snort安装的问题 出现了一个错误:ERROR: c:\snort\etc\snort.conf(174) Missing/incorrect dynamic engin
好麻烦 WINDOWSXP IDS的架设分为很多步
具体的我不详细说
大概是 1:找个IDS系统 一般中小型网络用SNORT 现在是2.3版
2:再安装MYSQL+PHP+APCHE
3:再安装Wincap和winmp
等等 具体我帮你找个文章
本人不建议在WINDOWS下假设网络入侵检测系统
因为WINDOWS系统的"暗箱"操作会影响检测系统对网络流程的检测 发挥不出入侵检测的功效
若在LINUX下架设效果会更好
详细文章:
1,需要的组件以及它们的作用,功能(各个安装文件去相关软件的主页下载):
(1)WinPcap:windwos下的捕获网络数据包的驱动程序库,
(2)snort:将其捕获的数据发送至数据库,
(3)apache:为系统提供了web服务支持,。
(4)php:为系统提供了php支持,使apache能够运行php程序,。
(5)MySQL:存储网络数据包的数据库,。
(6)acid:是基于php的入侵检测数据库分析控制台(刚才安装apache和php就是为了能运行它)
(7)adodb:是php数据库的连接组件,。
(8)Jpgraph:Object-Oriented图形链接库For PHP,。
acid:通过adodb从mssql.snort数据库中读取数据,将分析结果显示在网页上,并使用jpgraph组件对其进行图形化分析。
2,安装
一,安装WinPcap,一路next,就ok了.
二,安装Apache,PHP,MySQL,请参考以前我写的一篇文章,注意选择MySQL4.0版本,4.1版本对客户端采用了新的验证方式,登录会有点问题.
三、安装Snort
使用默认安装路径c:\snort,选择数据库为 MySQL,并按照以下修改C:\Snort\etc\snort.conf文件:
var RULE_PATH c:\snort\rules
output database: alert, mysql, user=root dbname=snort host=localhost
include C:\Snort\etc\classification.config
include C:\Snort\etc\reference.config
四、安装adodb
解压缩adodb461.zip 至c:\php\adodb 目录下
五、安装acid
(1)解压缩acid压缩包至apache2\htdocs\acid目录下
(2)修改acid_conf.php文件,找到相应的行,并把它们改成:
$DBtype = "mysql";
$DBlib_path = "c:\php\adodb";
$alert_dbname = "snort";
$alert_host = "localhost";
$alert_port = "";
$alert_user = "snort";
$alert_password = "yourpassword";
/* Archive DB connection parameters */
$archive_dbname = "snort_archive";
$archive_host = "localhost";
$archive_port = "";
$archive_user = "snort";
$archive_password = "yourpassword";
$ChartLib_path = "c:\php\jpgraph\src";
(3)打开,测试基本功能是否安装成功。如果有错误,则根据错误情况重新检查。在正常情况下,到此处应该能够正常连接数据库。
六、安装jpgrapg 库
(1)解压缩jpgraph压缩包至c:\php\ jpgraph
(2)修改jpgraph.php
DEFINE("CACHE_DIR","/tmp/jpgraph_cache/");
3,运行snort,打开ACID
(1),进入cmd命令窗口,切换到snort安装目录,例如c:\snort\bin运行snort -c "c:\snort\etc\snort.conf" -l "c:\snort\logs" -d,运行后不要关闭窗口.
(2),输入,应该可以看到当前的网络情况分析。
OVER!
⑦ Linux下按装snort遇到了包依赖关系.
要么yum install snort;
要么yum install rpmlib libdnet.1 libpcap.so.1 libsfbpf.so.0,然s后rpm -ivh snort-2.9.2.3-1.RHEL6.I386.RPM
要不rpm -ivh snort-2.9.2.3-1.RHEL6.I386.RPM --nodeps装上,但不一定能用
⑧ 如何在 Linux 系统上安装 Suricata 入侵检测系统
由于 Ubuntu 是 Debian 系的 Linux,安装软件非常简单,而且 Ubuntu 在中国科技大学有镜像,在教育网和科技网下载速度非常快(2~6M/s),就省掉了出国下载安装包的麻烦,只需要一个命令即可在几十秒钟内安装好所有软件。这里使用 Ubuntu 默认命令行软件包管理器 apt 来进行安装。 需要注意的是在安装 MySQL 数据库时会弹出设置 MySQL 根用户口令的界面,临时设置其为“test”。 [在 MySQL 数据库中为 Snort 建立数据库] Ubuntu 软件仓库中有一个默认的软件包 snort-mysql 提供辅助功能,用软件包管理器下载安装这个软件包。 $ sudo apt-get install snort-mysql 安装好之后查看帮助文档:
⑨ 在linux中,安装snort,执行make命令出现下面这个错误,该怎么解决
ERROR: parser.c(5047) Could not stat dynamic mole path "/usr/local/lib/snort_dynamicengine/libsf_engine.so": No such file or directory.
Fatal Error, Quitting..
有这种error吗?还得再往上看看错误输出,才知道为嘛
⑩ linux系统安装软件包问题
缺少C编译器,可以安装一个gcc,如果你用的是Ubuntu类的,可以在终端下执行apt-get install gcc(不过貌似Ubuntu本身就集成了),如果是CentOS等这些基于RedHat的,可以执行yum install gcc