Home > 4月, 2005

2005.04.15

snort

IDS(Intrusion Detection System)
俗にいう、侵入検知システム
ネットワーク型IDSということで
データの監視をするみたいです

自動でルールを更新してくれる
oinkmaster を使うなら
snort は unstable版 を入れた方がいいっぽい(下の方に)


apt-get install snort
debconf は eth0 192.168.0.0./24 root

syslogへ出力
/etc/snort/snort.conf

output alert_syslog: LOG_AUTH LOG_ALERT


logrotate
/etc/logrotate.d/snort

/var/log/snort/portscan.log /var/log/snort/alert {
daily
rotate 30
compress
notifempty
create 600 snort snort
sharedscripts
postrotate
/etc/init.d/snort restart > /dev/null
endscript
}


logcheck使ってたら、見るログに追加
/etc/logcheck/logcheck.logfiles

/var/log/snort/alert

(syslogに出力したら意味なさげ)

ACTIVE SYSTEM ATTACK!
というメールが来るようになってビビる。


ルールを自動でアップデート
apt-get install oinkmaster

更新先のファイルが無いとエラーが
確認すると、どうも更新が有料とかなんとか
5日遅れでいいなら無料らしい

どっちにしろ、登録が必要で
登録してログインすると Oink Code を取得出来る

更新先の変更
/etc/oinkmaster.conf

#url = http://www.snort.org/dl/rules/snortrules-snapshot-2_2.tar.gz
url = http://www.snort.org/pub-bin/oinkmaster.cgi//snortrules-snapshot-2.2.tar.gz


更新出来るようになったので cron に登録
/etc/cron.d/oinkmaster

/usr/sbin/oinkmaster -o /etc/snort -b /etc/snort/backup



ルール更新して snort を起動すると
そんなルールないです、とエラー
2.2用のルールなのに snort -V で 1.8.4Beta とか
サイト探したけど、1.8用のルールないっぽい

一度全部消す
apt-get remove –purge snort

新しいのを入れる
apt-get install snort-rules-default/unstable snort-common/unstable snort/unstable
apt-get install stat も要るっぽい

設定はsyslogへ出力くらいで
logrotateは、勝手にやってくれる

snort -V で Version 2.3.2
ルール更新してもOK(新しい分にはいいらしい)


詳しい説明や設定はこの辺で
Snortとは?
日本 Snort ユーザ会

Posted at 11:14 | Category: UNIX | No Comments

syslog-ng

NewかNextな感じで、新世代か次世代なsyslog
TCPでログ送ったりメールを送ったり

swatchでメール送信するよりいいのかな、と
とりあえずインストールしてみる
apt-get install syslog-ng


Priority: 1を見つけたらrootへメールする感じ
/etc/syslog-ng/syslog-ng.conf

destination email_alert_script {program (“/usr/local/bin/alert_mail.sh”); };
filter high_priority {match (“Priority: 1″); };
log { source(src); filter(high_priority); destination(email_alert_script); };


メール送信部
/usr/local/bin/aleat_mail.sh

#!/bin/sh
while read line; do
echo $line |mail -s “High Priority Snort Alert” root
done


chmod +x aleat_mail.sh

要らないログ(logcheck 使ってたら)
/etc/logcheck/logcheck.ignore

syslog-ng\[.*\]: STATS: dropped 0


syslog の受信 UDP ポートで待機

source src { unix-stream(“/dev/log”); internal(); udp(); };


UDP のスキャン
nmap localhost -sU


syslog() 及び syslogd の考察
syslogdの設定をマスターしよう
安全性の高いログ・サーバへの乗り換えのススメ
syslog-ngへの切り替え
Snortにリアルタイム警告を実装する
BSDとか
Optionsとか
説明とか

Posted at 10:33 | Category: UNIX | No Comments

2005.04.11

KNOPPIX インストール?

デスクトップでLinux使ってみようかなと
CDから起動出来るし、Debian系だし

インストールってより
CDさえ出来れば起動するはず
この辺からダウンロードしてCDに焼く

CD入れて、起動したらご自由に
ブートオプションよくわからないけど
家のは failsafe をつけないと起動しなかった


とりあえず、ネットワーク設定
KDEメニュー → KNOPPIX → Network/Internet
→ ネットワークカードの設定

設定の保存
KDEメニュー → KNOPPIX → Configure
→ KNOPPIXの設定を保存

CDから起動してるので
設定をどこかに残さないと
また元の設定に戻ってしまう

例えばFDに保存して、次回起動するときに
knoppix floppyconf
knoppix myconfig=/mnt/auto/floppy
knoppix myconfig=scan
(どれでも)
とやれば、FDから設定を読み込んでくれる


軽く使ってみたけど CD からは遅すぎ
ずっと使うにはイケてない気が
Rescue CD 的な使い方がいいような?


KNOPPIXの基礎
WindowsへインストールできるKNOPPIX 3.4

Posted at 04:45 | Category: UNIX | No Comments

2005.04.06

右脳で行動できる人が成功する。

20050406.jpg何かの雑誌で、右脳派左脳派
指と腕の組み方で判断と書いてあって
やってみたら、思いっきり左脳派でした

・指を組んで右の親指が上だと左脳
・腕を組んで右腕が被ってると左脳

右利きならそうじゃないの、と思ってたら
一緒にやった人は思いっきり僕と逆で
右脳派という診断、利き手とか関係ないっぽい?
確かにヤツは感覚で動いてる気もする

右脳使いの方が、柔らかいとか
なんとなく素敵なイメージがあって
僕の場合、右脳使ったらそんな感じだろと
行動を合わせるようにしてる気も

その診断から、僕は
考えて右脳派の行動をする左脳使い
のような気がしてきた、微妙( ゚-゚)

右脳で行動できる人が成功する
右脳で行動できる人が成功する
posted with amazlet at 05.04.06
中谷 彰宏
PHP研究所 (2005/02)
売り上げランキング: 42,797
通常24時間以内に発送
おすすめ度の平均: 3
1 読む価値なし
5 右脳思考習慣化の指南書
Amazon.co.jp で詳細を見る

Posted at 11:22 | Category: 読んだ本 | No Comments

2005.04.05

noip2

DDNS用の起動スクリプト
/etc/init.d/noip2
stop がうまく効かない

start-stop-daemon の –make-pidfile がよろしくない

そもそも、noipのプログラムがよろしくないらしい
そう言われても、どうにもこうにも
とりあえずエラーが出なければと適当な修正

/etc/init.d/noip2

stop)
echo -n “Shutting down dynamic address update:”
→ kill `pidof noip2`
→ rm -f /var/run/noip2.pid
# start-stop-daemon –stop –pidfile /var/run/noip2.pid \
# –oknodo –retry 30 –exec $DAEMON
echo “noip2.”
;;


restart)

echo -n “Restarting dynamic address update: “

→ kill `pidof noip2`

# start-stop-daemon –stop –pidfile /var/run/noip2.pid \

# –oknodo –retry 30 –exec $DAEMON

start-stop-daemon –start –pidfile /var/run/noip2.pid \

–exec $DAEMON

echo “noip2.”

;;



公式サイトのスクリプト自体、イケてないらしい
sarge と sid には、パッケージが。
no-ip (2.1.1-4 Debian:unstable)

Posted at 12:48 | Category: UNIX | No Comments

logrotate

仕事柄、ログをちゃんと見るようになったので
エラーとか警告とか、潰していこうかなと

/var/log/xferlog が
ローテーションしてないっぽいので作ってみる

基本設定は触らず
/etc/logrotate.conf
weekly
rotate 4
create
include /etc/logrotate.d

こんなファイルを作る
/etc/logrotate.d/xferlog

/var/log/xferlog {
compress
notifempty
}


毎週ログを圧縮して作成、4世代まで?残す
weekly / rotate 4 / create
この辺は記載しなくても
logrotate.conf から引き継ぐ感じ

/var/log/xferlog.1.gz
その内、こんなのが出来てればOK

logrotateの実行結果
/var/lib/logrotate/status


logrotateを使いこなしたい
各設定の説明
LogファイルのRotate

Posted at 11:17 | Category: UNIX | No Comments

« Previous