Roo是著名開源安全項目honeynet開發的一套蜜罐系統,我們可以通過部署roo,模擬存在漏洞的蜜罐,來捕獲可能的******,結合sebek,可以幫助我們學習***的***模式。
關於roo的部署過程,本文不做介紹,詳情請見附件。
本文會陸續添加對Roo的學習心得,重點在與大家分享並探討蜜罐技術在企業安全中的應用前景。
Roo本身包含了snort的***檢測模塊,安全管理員日常可重點關注此類報警,報警信息會實時更新在web管理頁面上,但實際工作中,安全管理員無法花太多的精力去關注頁面的動態更新,那我們可以通過以下腳本,來配置報警通知郵件:
#! /bin/sh
path="/root/snort_report"
cat /var/lib/hflow/snort/snort_full > /root/snort_full
diff /var/lib/hflow/snort/snort_full /root/snrot_full > /root/snort_report
if [ -s $path ]; then
mail -s Snort_Alert [email][email protected][/email]ldomain < /root/snort_report
fi
之後再通過寫crontab即可完成郵件的報警監控。
如果公司有可以支持的開發資源,也可以通過採集roo的數據庫做一些更高級的應用:
Roo數據庫連接配置:
首先要開啓3306端口:修改/etc/hflow/my.cnf,把文件裏面的skip-networking註釋掉,然後重新啓動MYSQL。
是用netstat -an | grep 3306命令查看3306端口是否打開。
mysql -uroo -p
MYSQL>grant all privileges on *.* to [email protected]’ identified by ’honey’;
經過上面賦予權限,允許192.168.1.5這個用戶以roo帳戶,honey這個密碼進行登陸~!
NTP時間設置問題:
安裝完系統發現時間與現實時間相差+8小時,經分析由以下產生。
我們在安裝時選擇的是上海,而centos5把bios時間認爲是utc時間,所以+8小時給我們。這個時候的bios的時間和軟件的時間是不一致的。一個代表 utc 一個代表我們設置的cst(+8時區)。
1. 運行tzselect指令選擇市區:shanghai
2. 複製相應的時區文件,替換系統默認時區:cp /usr/share/zoneinfo/Asia/Shanghai /etc/localtime
3. 執行 ntpdate 192.168.1.26 與AD同步
4. 設置硬件時間和軟件時間的一致並校準 /sbin/hwclock --systohc
允許使用外部的NTP服務器
net time /querysntp
設定要同步NTP服務器
net time /setsntp:ntpserverIP
停止windows2000的時間服務
net stop w32time
重啓windows2000的時間服務,使NTP設置生效
net start w32time
要禁止使用外部的NTP服務器可以使用如下windows命令
net time /setsntp