Рубрика «FreeBSD»
Tuesday, 27 Jul 2010
Собственно о системе Splunk я писал буквально в предыдущем посте, так что добавить ничего не могу, кроме того что это система управления инцидентами и событиями информационной безопасности. Ставить систему будем на FreeBSD 6.4, ибо она вся такая для меня приятная.
Итак поехали, ибо создатели пакета обещают что ставится она на раз-два-три:
# wget ‘http://www.splunk.com/index.php/download_track?file=4.1.4/freebsd/splunk-4.1.4-82143-FreeBSD-i386.tgz&ac=&wget=true&name=wget&typed=releases’
# tar -xzvf splunk-4.1.4-82143-FreeBSD-i386.tgz
Поскольку, как оказалось, пакет пришел нам в уже собранном виде, то оправляем его по месту постоянного жительства:
# cp -R splunk /usr/local/
Перед запуском системы необходимо внести изменения в конфигурационные файлы:
/boot/loader.conf
kern.maxdsiz=”2147483648″ # 2GB
kern.dfldsiz=”2147483648″ # 2GB
machdep.hlt_cpus=0
/etc/sysctl.conf
vm.max_proc_mmap=2147483647
После этого перегружаем сервер для того чтобы изменения вступили в силу. При желании можем создать ручками пользователя от которого будет работать splunk, а также и его группу, но мне что то сегодня в ломы. Поэтому запускаем сервис: перед первым запуском сервера необходимо согласиться с лицензионным соглашением, для этого стартуем:
# $SPLUNK_HOME/bin/splunk start –accept-license
После некоторого диалога, сервер сообщит, что он теперь запущен на http://our_server_hostname:8000 хотя зайти можно и по адресу http://our_server_IP:8000. В данном случае 8000 это дефолтный порт нашего веб сервера.
Теперь переходим к настройке сервера.
Логин и пароль по умолчанию для входа в web-консоль:
username: admin
password: changeme
В верхнем правом углу белеет на темном фоне кнопочка Manager, нажав на которую мы попадаем в общирное меню, позволяющее нам настроить наш сервер в разделе System configurations, а также добавить необходимые модули Apps, собития, поиски и прочая в разделе Apps and knowledge.
В System settings задается хостнейм и настраиваются веб-морда сервера, а также параметры индексирования. Также настраивается отправка алертов по почте и всевозможные уровни логирования, которых доступно шесть вариантов: DEBUG, INFO, WARN, ERROR, CRIT, FATAL.
На сегодня хватит, на днях распишу больше- но по сути настройка системы заканчивается именно на этом разделе- дальше идет уже тюнинг, причем интерфейс интуитивно понятен и прост.
VN:F [1.9.1_1087]
Rating: 0.0/10 (0 votes cast)
VN:F [1.9.1_1087]
Рубрика: FreeBSD, IT безопасность, Дела Одминские | Ваш отзыв »
Friday, 11 Dec 2009
При использовании того или иного сервиса очень большую роль играет система на которой будет работать наш сервер. И наибольшее значение предварительная настройка этой системы, чтобы минимизировать риски от её использования. Для этого существуют процедуры повышения безопасности системы
В этом разборе полетов я буду осуществлять предварительную настройку системы FreeBSD 7.2. Сама система FreeBSD является одной из наиболее защищенных операционных систем, причем её код, не смотря на открытую идеологию open sourse многократно проверяется и тестируется. Не смотря на то, что с комплекте поставки FreeBSD уже идет с сильной безопасностью, существуют меры по её повышению почти до параноидального режима работы.
(more…)
VN:F [1.9.1_1087]
Rating: 0.0/10 (0 votes cast)
VN:F [1.9.1_1087]
Рубрика: FreeBSD, IT безопасность | 1 отзыв »
Friday, 11 Dec 2009
Утилита su2 является более защищенным аналогом команды su, служащей для перехвата прав другого пользователя, только в отличии от su, эта утилита дает возможность получать права суперпользователя пользователям не входящим в группу wheel, т.е. не имеющим права на возможность перехвата root с помощью su. Поэтому заводим пользователя с униками выше тысячи, так чтобы он выглядел не привилегированный пользователем. После этого устанавливаем утилиту:
(more…)
VN:F [1.9.1_1087]
Rating: 0.0/10 (0 votes cast)
VN:F [1.9.1_1087]
Рубрика: FreeBSD, IT безопасность | Ваш отзыв »
Wednesday, 07 Oct 2009
Что то скриптики cron по очистке баз данных почтовика перестали слать свои милые радостные отчетики о проделанной работе, пришлось озадачиться ковыряканием крона по новой.
Наиболее простой способ выяснился после разглядывания подробностей файла /etc/crontab
простая установка директивы MAILTO= в описании основных параметров отправит всю почту на указанный мейл, но в моем случа нужно давать эпизодического пендаля хозяину сервера, чтобы он следил за своей вотчиной, а я за своей, в этой связи обнаружилось два способа:
корявенький, с указанием директивы mailto в поле команды:
3 1 * * * root MAILTO=xxx@odminblog.ru /root/scripts/mailcleaner.sh
и на мой взгляд более корректный с перенаправлением вывода исполнения скрипта:
3 1 * * * root /root/scripts/mailcleaner.sh 2>&1 | mail -s “Mail base cleaning” xxx@odminblog.ru
, также можно перенаправить вывод выполнения скрипта в лог файл:
3 1 * * * root /root/scripts/mailcleaner.sh >> /var/log/cron.log 2>&1
VN:F [1.9.1_1087]
Rating: 0.0/10 (0 votes cast)
VN:F [1.9.1_1087]
Рубрика: FreeBSD, Подсказки | Ваш отзыв »
Saturday, 29 Aug 2009
Как говорят знающие люди, хуже спама может быть только борьба со спамом. Но тем не менее с тем ужасным потоком, что обрушивается на незащищенного пользователя, необходимо что то делать, т.к. иначе конечному пользователю приходится тратить часы на разборы тех словесных завалов, что валятся ему в ящик.
Можно сколь угодно долго рассуждать относительно этичности использования RBL листов, но внедрение их автоматически снижает нагрузку спама в разы, тем более что для рассылок последнее время очень часто используются бот-сети, полностью имулирующие нормальное соединение.
(more…)
VN:F [1.9.1_1087]
Rating: 7.0/10 (1 vote cast)
VN:F [1.9.1_1087]
Rating: +3 (from 3 votes)
Рубрика: FreeBSD, IT безопасность, Почтовые системы | Ваш отзыв »
Friday, 21 Aug 2009
Если поглядеть логи доступа любого сервера, каким либо боком торчащего в интернет, то обнаружится, что атаки по портам излюбленная тематика интернет-фриков, которые по-видимому могу круглосуточно шакалить в поиске какого нибудь, криво сконфигурированного сервера. Естественно, что предотвращению этих угроз служат полноценный IPS модули и сервера, но в большинстве своем они являются платными решениями, а т.к. нас интересует по возможности халявные продукты, то при настройке файервола или какого либо инет-сервера, я прикручиваю Port Sentry, некий аналог IPS, систему по обнаружению сканирования портов.
Интерактивная защита позволяет отнести систему к IPS, т.к. система поддерживает: обнаруживает почти все известные типы сканирования: TCP connect(), SYN/half-open, Null, XMAS и многое другое; позволяет настроить свой механизм работы таким образом, что при обнаружении сканирования путем запуска произвольного скрипта может блокировать атакующего по IP, или отправлять его в т.н черные дыры; ведет логирование всех попыток установления соединения.
(more…)
VN:F [1.9.1_1087]
Rating: 0.0/10 (0 votes cast)
VN:F [1.9.1_1087]
Рубрика: FreeBSD, IT безопасность | Ваш отзыв »
Monday, 03 Aug 2009
Работая с Exim, постоянно наталкиваешься на какие то проблемы, когда письмо зависает в очереди, по тем или иным причинам, либо хост не доступен, либо криво настроены повторы 
и встает задача, что то сделать с зависшими сообщениями. Собственно ниже, о том как бороться с очередями Exim
(more…)
VN:F [1.9.1_1087]
Rating: 10.0/10 (2 votes cast)
VN:F [1.9.1_1087]
Rating: +2 (from 2 votes)
Рубрика: FreeBSD, Linux, Почтовые системы | 1 отзыв »
