*nix相关

snort日志分析和管理工具(转贴)


简介
1.什么是入侵检测
2.什么是snort

3.什么是日志分析
4.snort的日志格式
 4.1.基于文本的格式
  4.2.tcpdump格式
  4.3.数据库
5.工具

  5.1.管理基于文本日志的工具
  5.2.基于tcpdump日志文件的分析工具
  5.3.数据库分析工具

总结
参考
 

    简介

    snort是一个轻量级的网络入侵检测系统,它可以记录所有可能的入侵企图。记录信息的文件可以是文本、XML、libpcap

技术相关: 

充分利用Linux操作系统安全防护工具(转贴)

  Linux的安全防护离不开各种工具,Linux的开源性也促进了这些优秀的安全防护工具的发展。

  目前在Linux环境下的安全工具林林总总,种类繁多。本文精选一些比较常用的、具有代表性的加以介绍,它们包括系统管理工具和网络管理工具。它们基本都是开源的,一般都随着诸如Red Hat Linux、Debian Linux等发行套件而发布,一些发行套件里面没有的,用户可以按照本文所提供的方式下载使用。由于篇幅的关系,本文只对这些工具的用途、原理和使用作指导性的介绍,要了解更加详细的使用情况,读者可以根据文中的介绍去查找和使用。

  协议分析工具——Ethereal

技术相关: 

轮番上阵:Linux下查找漏洞的N种兵器(转贴)

   阅读本文之前,我们还需要对Linux系统的基本安全特性有一定的了解
  Linux操作系统是一个开放源代码的免费操作系统,它不仅安全、稳定、成本低,而且很少发现有病毒传播,因此,Linux操作系统一直被>认为是微软Windows系统的劲敌。近年来,随着Linux操作系统在我国的不断普及,随着越来越多的服务器、工作站和个人电脑开始使用Linux软件,当然,越来越多的安全发烧友也开始对这个操作系统发生了浓厚的兴趣。本文的目的是希望用户以最快的速度对Linux下的精品Hack软件功能及使用方法有一个比较细致全面的了解。今天我们先了解寻找肉鸡的N种兵器。

技术相关: 

proc文件系统面面谈(转贴)

http://www.linuxaid.com.cn 02-01-16 21:34 5467p ideal

----------------------------------------------------------------------

什么是proc文件系统

proc文件系统是一个伪文件系统,它只存在内存当中,而不占用外存空间。它以文件系统的方式为访问系统内核数据的操作提供接口。用户和应用程序可以通过proc得到系统的信息,并可以改变内核的某些参数。由于系统的信息,如进程,是动态改变的,所以用户或应用程序读取proc文件时,proc文件系统是动态从系统内核读出所需信息并提交的。它的目录结构如下:

目录名称 目录内容
apm 高级电源管理信息
cmdline 内核命令行
Cpuinfo 关于Cpu信息

技术相关: 

Linux系统内核网络参数的意义及应用(转贴)

摘要:

  本文主要介绍了linux系统位于目录/proc/sys/net/ipv4/下的部分内核网络参数,同时对通过linux内核网络参数的调整来提高linux系统的安全性和稳定性提出了自己的见解。从而为系统管理员进一步增强网络的安全性和系统的稳定性提供了参考。

技术相关: 

awk循环一例

由于统计squid日志的需要,就用awk来统计日志,其中有一个需求是统计user-agent的分布,但是squid日志中记录的user-agent实在太长了,比如 "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; TencentTraveler )",总不能让我从 $12开始,一直写到$21吧,于是就搜啊搜(以前很少用awk),加上自己脑瓜也转转,得到如下方法:

cat squid.access.log|awk \
'{line=""; for(i=12;i

也就是利用awk的循环以及内部变量,不过奇怪的是变量 i 需要 $ 符号,而变量 line 却不需要,谁帮忙解释一番?

这个脚本的作用就是找出访问量在top 10的IP + UserAgent&OS 排行。

技术相关: 

三、后记

三、后记
一、)想要启用squid所需的改变
想要更好的利用squid的cache功能,不是把它启用了就可以的,我们需要做以下几个调整:

1、启用apache的 mod_expires 模块,修改 httpd.conf,加入以下内容:


 #expiresdefault "modification plus 2 weeks"
 expiresactive on
 expiresbytype text/html "access plus 10 minutes"
 expiresbytype image/gif "modification plus 1 month"
 expiresbytype image/jpeg "modification plus 1 month"
 expiresbytype image/png "modification plus 1 month"
 expiresbytype text/css "access plus 1 day"
 expiresbytype application/x-shockwave-flash "access plus 3 day"

以上配置的作用是规定各种类型文件的cache规则,对那些图片/flash等静态文件总是cache起来,可根据各自的需要做适当调整。

技术相关: 

四、) 安装Squid

四、) 安装Squid

[root@localhost]#./configure --prefix=/usr/local/server/squid --enable-async-io=100 --disable-delay-pools \
--disable-mem-gen-trace --disable-useragent-log --enable-kill-parent-hack --disable-arp-acl \
--enable-epoll --disable-ident-lookups --enable-snmp --enable-large-cache-files --with-large-files
[root@localhost]#make && make install

如果是2.6的内核,才能支持epoll的IO模式,旧版本的内核则只能选择poll或其他模式了;另外,记得带上支持大文件的选项,否则在access log等文件达到2G的时候就会报错。
设定 squid 的配置大概如下内容:

#设定缓存目录为 /var/cache1 和 /var/lib/squid,每次处理缓存大小为128MB,当缓存空间使用达到95%时
#新的内容将取代旧的而不直接添加到目录中,直到空间又下降到90%才停止这一活动
技术相关: 

三、) 安装Apache、PHP、eAccelerator、php-memcache

三、) 安装Apache、PHP、eAccelerator、php-memcache
由于Apache 2下的php静态方式编译十分麻烦,因此在这里采用动态模块(DSO)方式。
1.) 安装Apache 2.2.3

[root@localhost]#./configure --prefix=/usr/local/server/apache --disable-userdir --disable-actions \
--disable-negotiation --disable-autoindex --disable-filter --disable-include --disable-status \
--disable-asis --disable-auth --disable-authn-default --disable-authn-file --disable-authz-groupfile \
--disable-authz-host --disable-authz-default --disable-authz-user --disable-userdir \
--enable-expires --enable-module=so

备注:在这里,取消了一些不必要的模块,如果你需要用到这些模块,那么请去掉部分参数。

2.) 安装PHP 5.2.0

[root@localhost]#./configure --prefix=/usr/local/server/php --with-mysql \
技术相关: 

二、) 安装MySQL、memcache

1.) 安装MySQL,步骤如下:

[root@localhost]#tar zxf mysql-standard-5.0.27-linux-i686.tar.gz -C /usr/local/server
[root@localhost]#mv /usr/local/server/mysql-standard-5.0.27-linux-i686 /usr/local/server/mysql
[root@localhost]#cd /usr/local/server/mysql
[root@localhost]#./scripts/mysql_install_db --basedir=/usr/local/server/mysql \
                                --datadir=/usr/local/server/mysql/data --user=nobody
[root@localhost]#cp /usr/local/server/mysql/support-files/my-large.cnf \
/usr/local/server/mysql/data/my.cnf

2.) 修改 MySQL 配置,增加部分优化参数,如下:

[root@localhost]#vi /usr/local/server/mysql/data/my.cnf

主要内容如下:

[mysqld]
basedir = /usr/local/server/mysql
datadir = /usr/local/server/mysql/data
技术相关: 

页面

Subscribe to RSS - *nix相关