|
|
Bổ sung ý nhỏ vì thấy nhiều bạn chưa phân biệt rõ snort và modsec
- snort là IDS chạy ở cấp network, quét nội dung packet để tìm pattern tấn công -> chạy nhanh, nhưng sẽ không đủ để xử lý HTTP, vốn là 1 application protocol (layer 7), chưa kể là nếu access thông qua https thì snort không thể xử lý được.
- modsec chạy trong 1 http server (apache, nginx, hoặc IIS) nên là application ids. Data khi đến được modsec đã qua hết các network layer nên packet assembly, fragmentation,v.v... đều đã được xử lý. modsec xử lý HTTP GET, POST, URL, http response v.v... chứ không quan tâm đến packet
|
|
|
- có 1 ip thì lock ip đó lại
- kiểm tra coi link.php bị lỗi gì mà để người ta khai thác
- bắt chước người ta request thử vào link.php coi coi nó ra cái gì
- viết rule cho application firewall tự động lock các request tương tự lại
|
|
|
transparent proxy của bạn cài trên gateway ra internet thì nó tự động wwwect outbout traffic trên port 80 sang port proxy rồi.
Bạn đã cài thử (tức là đọc, cấu hình và sửa cấu hình) squid chưa?
Cài VirtualBox, tạo 2 máy ảo, 1 máy có 2 card mạng làm gateway, 1 máy 1 card mạng giả làm user thường (card ra ngoài để NAT, các card còn lại để host only). Thử cấu hình, gặp lỗi, google sửa lỗi v.v... từ từ rồi hiểu nguyên lý.
Không có con đường tắt đâu bạn.
|
|
|
thở dài...
a là pointer => size = 4
sizeof(a) là size của a => 4
|
|
|
bạn xem http request header field X-Forward-For
|
|
|
puppet, chef, cfengine
|
|
|
puppet, chef, cfengine
|
|
|
đây là giao diện x default, khi chưa cài desktop env nào hết.
bạn cài gnome desktop environemnt vào là xong
|
|
|
snort có thông số read from pcap file
|
|
|
@blackwidow
Đếm đi đếm lại tui thấy cũng chỉ có 3 lần 64.34.179.206, lúc 08:58:27 login?
1 lần login fail ssh cho ra vài dòng log nên chắc bạn đếm dòng log ?
|
|
|
password mysql của bạn chắc có " " và "." ? bạn thử với pwd a-zA-Z0-9 xem
|
|
|
lúc bạn biên dịch barnyard2 thì có mysql-devel ko? không thấy mysql-devel thì barnyard2 không biên dịch mysql output
|
|
|
một số ghi chú:
- private key chứa trong file id_rsa => file này tương ứng với file pem của amazone ec2
- public key chứa trong file id_rsa.pub => file này đặt trong thư mục .ssh của home directory của tài khoản sẽ đăng nhập tương ứng của Lion. Ví dụ account của bạn là ABC thì home là /Users/ABC => file id_rsa.pub sẽ lưu trong /Users/ABC/.ssh/
- directory .ssh và file id_rsa.pub không có quyền public read (mode 600 hoặc 400 thôi)
|
|
|
Rồi, kinh phí hạn hẹp, vậy tui chi tiết thêm mấy cái đã viết như sau:
risks => mitigations
- script injection/sql injection => sử dụng application firewall => mod_security + core rule set, pipe audit log sang cho AuditConsole, error log gửi qua central syslog
- network attack => sử dụng os firewall & ids/ips => snort + barnyard đưa fast_error vào central syslog, event đưa vào mysql db cho snorby, iptables chỉ cho port ssh và web, iptables có log
- DDOS => load balancing bằng reverse proxy/caching server => sử dụng nginx đứng trước, forward qua application servers, tất cả image/css/js được đặt trên nginx
- HIDS => sử dụng ossec agent để kiểm tra toàn vẹn dữ liệu.
- ssh sử dụng key => tốn 1 ít mua hardware (pkcs11) key. Tất cả admin web (AuditConsole, snorby, v.v... muốn access phải thông qua ssh tunnel.
- dùng thêm auditd và sử dụng tập rule để kiểm soát các access/execute các syscall quan trọng (read/write vào các file shadow, passwd, các lệnh chmod v.v...)
- đặt nginx, apache, tomcat vào trong linux container
- disaster recovery => sử dụng cloud như amazon ec2 hoặc rackspace, dùng 3 small instance chắc đủ, cái này hơi bị hao nhất.
- social engineering => chọn mod & admin kỹ lưỡng
- sử dụng 1 server riêng làm central syslog, có cài ossec hoạt động active response để khi mod_sec, snort & iptable report error là lock server lại.
|
|
|
@conmale
anh conmale có chi phí là bao nhiêu?
risks => mitigations
- script injection/sql injection => sử dụng application firewall
- network attack => sử dụng os firewall & ids/ips
- DDOS => load balancing bằng reverse proxy/caching server
- disaster recovery => sử dụng cloud như amazon ec2 hoặc rackspace
- social engineering => chọn mod & admin kỹ lưỡng
|
|
|
@lieuctk32
Bạn down snort rules trên snort.org về, trong đó có mấy cái thư viện .so dành cho RedHat, BSD v.v... Đó là dynamicdetection => bạn config trong snort.conf cho đúng thư mục
|
|
|
@trongthect
port 80 là priviledge port, nếu tomcat bạn chạy dưới quyền user thường sẽ không listen được trên port 80
bạn gửi thêm log catalina.out (catalina.err nếu bạn wwwect err) thì forum mới giúp bạn được
|
|
|
@traunui
tui dùng cái này http://www.syslog.org/wiki/Main/Evtsys
syslog.conf của bạn phải để local1.* /var/log/<file> chứ sao để directory? Lạ thiệt
|
|
|
bạn phải gửi đầy đủ các bước bạn làm thì anh em mới giúp bạn được
|
|
|
@inferboy
copy file unicode.map vào /etc/snort. File unicode này có trong bộ rule chuẩn của snort.
@lieuctk32
config phần dynamicdetection cho đúng. Các rule dynamic cũng có trong bộ rule chuẩn của snort.
|
|
|
nên thử graylog2 thay vì loganalyzer, tìm kiếm/filter nhanh hơn rất nhiều
|
|
|
@tanviet12
Cảm ơn bạn, bài viết rất chi tiết.
Bạn nghiên cứu thêm các hướng sau:
1. pipe modsec audit log qua mlogc -> AuditConsole để phân tích (jwall.org)
2. modsec error log đưa qua central syslog, sau đó có logwatch phân tích gửi summary cho sys admin
3. parse modsec error log bằng ossec, fail2ban để chặn connection ở network level sẽ giảm tải cho server hơn là trả về 400
|
|
|
Dùng webmail thì ép sử dụng https
Dùng mail client thì đóng port 110, 25 cho LAN, chỉ mở port 587/465 và 993/995
|
|
|
Ờ, nếu muốn biết OOP thì học Smalltalk để nó ép mình phải suy nghĩ và làm việc theo OOP, như vậy cũng sẽ giúp mình không bị ảnh hưởng bởi thói quen lập trình truyền thống.
|
|
|
học smalltalk đi rồi sẽ biết hướng đối tượng
Java không phải là thuần hướng đối tượng nên nhiều khi bạn sẽ viết theo kiểu thủ tục.
|
|
|
@markpq
Trừ phi bạn dùng realtime kernel, còn thì kernel có support multitask sẽ toàn quyền quản lý process theo scheduling riêng, bạn không thể đảm bảo process/thread của bạn chạy liên tục.
|
|
|
@anhnguyen519
kiểm tra waldo file
Bạn đưa thêm cấu hình/thông số chạy của snort và barnyard2 thì forum mới tư vấn thêm cho bạn được.
|
|
|
modsec output log -> ossec/fail2ban -> iptables/snortsam để chặn sẽ giảm tải. Dùng rule deny của modsec không đủ vì khi request đến cửa modsec thì server đã phải tốn khá khá cpu rồi.
|
|
|
node.js làm application server à
nginx đứng trước cache static content thì có thể dùng try_file {}, nhưng còn cache luôn dynamic thì có lẽ varnish cache tốt hơn.
Tốt hơn bạn nên có log và nói rõ hơn lỗi như thế nào (404, 500, hay gì khác .v.v...)
|
|
|
@quanta
Tắt shell không start được tomcat hoặc các dịch vụ java sử dụng shell script để start (ví dụ: catalina.sh)
|
|