顯示文章

這裡允許您檢視這個會員的所有文章。請注意, 您只能看見您有權限閱讀的文章。


文章 - treble

頁: [1] 2 3 ... 8
1

2
good job
期待下一場

3
今日收獲良多
感謝分享
 

4
各位大大好

小弟目前在linux上使用postfix-2.3.3,( 郵件主機名稱假設為@host1 )
確定基本寄信與收信功能運作正常(可寄到gmail,也可收到gmail的信)

接著要設定rewrites recipient addresses的工作
所以我在main.cf中加入virtual_alias_maps = regexp:/etc/postfix/virtual
並在/etc/postfix/virtual中加入以下
/^(.+101)/   ${1}@stu.xxx
/^(.+)/ ${1}@webmail.xxx
然後執行postmap /etc/postfix/virtual

從gmail寄信到b101@host1, postfix會幫我寄到b101@stu.xxx

但從gmail寄信到cc@host1, postfix沒有丟到cc@webmail.xxx
而且在/var/log/maillog中出現
Feb 23 14:11:10 testlinux1 postfix/smtpd[18907]: NOQUEUE: reject: RCPT from mail-ve0-f179.google.com[209.85.128.179]: 550 5.1.1 <cc@host1>: Recipient address rejected: User unknown in local recipient table; from=<raymond0820@gmail.com> to=<cc@host1> proto=ESMTP helo=<mail-ve0-f179.google.com>
Feb 23 14:11:10 testlinux1 postfix/smtpd[18907]: disconnect from mail-ve0-f179.google.com[209.85.128.179]


怎麼會這樣子呢?
感恩


5
LDAP 討論區 / Re: LDAP over TLS
« 於: 2013-01-26 19:17 »
太棒了

以後找相關文獻就快多了

6
LDAP 討論區 / Re: LDAP over TLS
« 於: 2013-01-24 22:59 »
太好了,又可以學到新東西了,期待你的實作過程

7
LDAP 討論區 / Re: LDAP over TLS
« 於: 2013-01-24 20:08 »
是無線做802.1x嗎?因為聽很多負面的事情,所以這部份我就沒去實做了

win7應該是要最容易成功的說

8
LDAP 討論區 / Re: LDAP over TLS
« 於: 2013-01-23 23:54 »
我只會簡單的,不可以問太難,haha

9
LDAP 討論區 / Re: LDAP over TLS
« 於: 2013-01-23 20:00 »
滿詳細的

10
你用什麼方式判斷session已達800個以上

11
大陸購買關鍵字廣告?

12
Network 討論版 / Re: 为什么只能串接5个hub
« 於: 2013-01-21 21:25 »
不過話說現在很少看到hub了

13
Linux 討論版 / Re: dns子網域設定問題
« 於: 2013-01-16 23:21 »
沒看到你要設定的子網域?

14
小弟在Lab用過32G記憶體的機器跑MSSQL 資料直接放在SSD上,兩億多筆Group by 排序結果10秒內能跑完。

我正準備測試說,不過已經有大大證實了,剛好可以省下一個工

15
系統安全討論版 / snort log輸出的筆記
« 於: 2013-01-11 11:29 »
之前裝snort後,大量的log和要輸出到那邊,這兩個問題總是困擾我
所以開始研究了一下如何減少log(透過threshold.conf)以及snort輸出目地(透過snort.conf)的方式
筆記如下,希望能幫助有需要的人

...........................................................................................

snort的output module
啟動snort時,snort會把報警資訊以module指定的格式輸出到指定位置
組態檔編輯位置:$snort_home/etc/snort.conf內的output部份

使用output module格式為
output : < name_of_plugin>: < configuration_options>
已知的name_of_plugin有以下

alert_fast
等同於輸出模式為fast,ex:snort -A fast
警報的訊息不會包含完整的packet header
警報只會輸在一個檔案
格式為 output alert_full:[< filename> [packet] [ < limit>]]
 filename:為指定的log檔
 packet:記錄完整的packet header

 

alert_full
等同於輸出模式為full,ex:snort -A full
警報的訊息會包含完整的packet header
警報預設輸出在目錄/var/log/snort內,或是由command指令中另外指定一個目錄
格式為 output alert_full:[< filename>[ < limit>]]
 filename:為指定的log檔
輸出格式大致如下
[**] [1:1019:20] signature name [**]
[Classification: type ] [Priority: num]
time source ip:port -> dest ip:port
proto TTL:num TOS:num ID:num IpLen:num DgmLen:num
option
[Xref => web1][Xref => web2]
ex:
[**] [1:1019:20] WEB-IIS Malformed Hit-Highlighting Argument File Access Attempt [**]
[Classification: Web Application Attack] [Priority: 1]
11/07-20:43:56.555022 10.10.2.154:6289 -> 10.10.1.180:80
TCP TTL:240 TOS:0x10 ID:0 IpLen:20 DgmLen:483
***AP*** Seq: 0xA775A97C Ack: 0xA5AD9402 Win: 0xFE44 TcpLen: 20
[Xref => http://www.securityfocus.com/archive/1/43762][Xref => http://www.microsoft.com/technet/security/bulletin/ms00-006.mspx]

 

alert unixsock
等同於輸出模式為unsock,ex:snort -A unsockl
將訊息傳到其他主機的程式
格式為 output alert_unixsock

 

syslog
將event傳送到本地syslog server
格式為 output alert_syslog: < facility> < priority> [options]
 facility:可選的值有log auth,log authpriv,log daemon,log local0,log local1,log local2,log local3,log local4,log local5,log local6,log local7,log user
 priority;可選的值有log emerg,log alert,log crit,log err,log warning,log notice,log info,log debug
 options:可選的值有log cons,log ndelay,log perror,log pid
ex:
output alert_syslog: LOG_AUTH LOG_ALERT
output alert_syslog: host=hostname:port, LOG_AUTH LOG_ALERT
輸出格式大致如下:
May 10 00:03:38 xxxxxx snort: INFO - ICQ Access [Classification:content:"MKD / " Priority: 0]: 10.1.1.1:54352 -> 10.2.2.5:80

 

csv
將警報資料寫成易於輸入資料庫的csv格式,格式內的欄位與順序皆可自訂
ps:此套件為Brian Caswell開發
格式為 output alert_csv:[< filename> [< format> [< limit>]]]
 filename:指定的log檔,預設為alert.csv
 format:"default"|< field(,< field>)*> 指定欄位格式,default是輸出所有欄位,順序為 timestamp,sig_generator,sig_id,sig_rev,msg,proto,src,srcport,dst,dstport,ethsrc,ethdst,ethlen,tcpflags,tcpseq,tcpack,tcplen,tcpwindow,ttl,tos,id,dgmlen,iplen,icmptype,icmpcode,icmpid,icmpseq
 limit:< number>[('G'|'M'|K')]
ex:
output alert_csv:/var/log/alert.csv default
output alert_csv:/var/log/alert.csv timestamp,msg
ps:可用複合CSV輸出,建立多個輸出文件,在每個文件中設定需要記錄欄位

 

unified
使用unified的格式,此格式可讓snort跑得更快
讀取此格式需使用unified log reader,ex:barnyard
格式為
output alert_unified:< base file name>[,< limit < filesize limit in MB>]
output log_unified:< base file name>[,< limit < filesize limit in MB>]

unified2
可代替unified的模組,有3種模式,分述如下
alert logging格式為
output alert_unified2:filename < basefilename>[,< limit< sizeinMB>][,nostamp] [,mpls_event_types]
packet logging格式為
output log_unified2:filename < basefilename>[,< limit< sizeinMB>][,nostamp]
true unified logging格式為
output unified2:filename < basefilename>[,< limit< sizeinMB>][,nostamp] [,mpls_event_types]

 

alert_prelude
產生prelude ids database可支援的格式
格式為
output alert_prelude:profile=< name of prelude profile> [info] [low] [medium]
 info: < priority number for info priority alerts>
 low: < priority number for low priority alerts>
 medium: < priority number for medium priority alerts>

 

tcpdump
使用tcpdump格式記錄
格式為 output log_tcpdump:[< filename>[< limit>]]
 filename 指定log的名稱,預設為logdir/snort.log
 limit 預設為128mb,自訂limit的格式為< number>[('G'|'M'|K')]
ex:
output log_tcpdump: snort_dump.log

 

database
將log傳送到sql database
ps:需先將資料庫及資料表建立好,並設定可存取資料的帳號
ps:2000年3月Jed Pickel開發的套件
格式為output database:< log type>,< database type>,< parameter list>
 log type:可用的值有log,alert
  使用log則呼叫log output chain
  使用alert則呼叫alert output chain
 database type:可用的值有mssql,mysql,postgresql,oracle,odbc
 parameter list:可用的parameter有以下
  host 資料庫主機位置 
  port 資料庫主機使用的port 
  dbname 資料庫名稱
  user 可存取dbname的使用者
  password 使用者的密碼
  sensor name 指定snort sensor的名稱,預設為automatically
  encoding < hex|base64|ascii> 編碼packet payload和option data的方式,預設為hex
  detail < full|fast> 指定記錄的詳細程度,預設為full
   fast記錄欄位為timestamp, signature, source ip, destination ip, source port, destination port, tcp flags,protocol
   full記錄欄位除了有fast的外還會包含ip/tcp option和payload
ex:
output database: log, mysql, dbname=snort user=snort host=localhost password=xyz
output database: log, mysql, user=snortuser password=snortpass dbname=snortdb host=localhost


XML
該module可把log或alert以XML格式,存放在本地文件、輸出到一個database、或者送到CERT進行處理。
資料會用SNML(Simple Network Markup Language,簡單網路標記語言/SNort Markup Language,snort標記語言)格式
支援協定包括HTTP、HTTPS、IAP(Intrusion Alert Protocol,入侵報警協定)
資料可用HEX、BASE64、ASCII
ps:
snort的XML output module為AIRCERT(Automated Incident-Reporting)工程的一部份
作者為Jed Pickel和Roman Danyliw
參考資料:http://www.cert.org/kb/snortxml

格式如下
output xml: log, file=/var/log/snort/snortxml-MMDD@HHMM
#把log輸出到/var/log/snort/snortxml-MMDD@HHMM,其中MMDD@HHMM分別是月日時分
output xml: alert,protocol=https host=your.server.org file=yourfile cert=mycert.crt key=mykey.pem ca=ca.crt server=srv_list.lst
#使用HTTPS輸出送到遠端伺服器your.server.org的文件yourfile 
#cert、key、ca與SSL有關
#server參數可以設定連接的伺服器列表 

 

...

threshold.conf
可消除誤報或無用的大量警告訊息
需在snort.conf中將include threshold.conf註解取消才會讀取進來


event filter
可減少noise alert及false alarm
格式為event_filter gen_id < id>, sig_id < id> , type < event filter type> , track < by_src|by_dst> , count < value> , seconds < value>
ps:
gen_id相關記錄可參考檔案$snort_home/etc/generators
sig_id相關記錄可參考各rule檔,preprocessor的sid可參考$snort_home/etc/gen-msg.map

event filter type
limit 在指定的time interval中只記錄前n筆event
threshold 在指定的time interval中,記錄每次n筆event
both 在指定的time interval中,只記錄第n筆event後的第一筆event
ps:
若gen_id=0,sig_id=0 表示全部事件
若僅sig_id=0 表示gen_id下的全部事件
ps:gen_id可以參考gen-msg.map
ex:
在每個60秒內僅記錄1筆事件
event_filter gen_id 1 , sig_id 1853,type limit,track by_src,count 1,seconds 60
在每個60秒內僅記錄第3筆事件 / 在每個60秒內僅在第3筆事件後才開始記錄
event_filter gen_id 1 , sig_id 1853,type threshold,track by_src,count 3,seconds 60
在60秒內超過30筆事件時,將記錄第31筆事件
event_filter gen_id 1 , sig_id 1853,type both,track by_src,count 30,seconds 60


event suppress
依照ip及來源停止記錄指定的event
格式為
suppress gen_id < id >, sid_id < id > [, track < by_src|by_dst >, ip < IP/MASK-BITS > ]
ex:
略過http_inspect: BARE BYTE UNICODE ENCODING訊息
suppress gen_id 119, sig_id 4 # http_inspect: BARE BYTE UNICODE ENCODING
略過snort_decoder: Tcp Options found with bad lengths
suppress gen_id 116 , sig_id 54
略過WEB-ATTACKS rm command attempt中目的ip地址是222.222.111.111的alert
suppress gen_id 1, sig_id 1365, track by_dst,ip 222.222.111.111

16
為什麼會想考NCLP
而不是LPI或redhat呢?

17
直接打mail指令不是就可以了嗎@@

18
你的MYSQL跑什麼服務?

19
Network 討論版 / Re: 關於"穿牆王"這款AP
« 於: 2012-12-28 11:48 »
簡單說

1.無線接收模式(+無線中繼Repeater設定)  概念類似hub
2.wds模式(+無線橋接wds+ap設定) 概念類似switch

20
活動/聚會區 / Re: 2012群英會簡報
« 於: 2012-12-16 08:57 »
衝浪影片...這...

21
LDAP 討論區 / Re: LDAP+sudo與su的筆記
« 於: 2012-12-15 10:02 »
期待各位大大分享自己的研究筆記

22
Network 討論版 / Re: 網路架構
« 於: 2012-12-15 10:00 »
但就是網頁開得慢,這有可能被限制存取網頁了嗎(secession?)
除非掛上海外總公司的proxy,不然就是龜速

所以基本上使用單位的proxy一切就正常嗎?
若是這樣我覺得也滿合理的

23
如果安裝Mail Server是否一定有合法的主機名稱?
不用
但大部份mail單位一看到沒有合法主機名稱會把他當成垃圾信

若只給特定client使用,可否使用IP當email address如 abc@192.168.1.1

但這樣的ip無法到網際網路

24
活動/聚會區 / Re: 2012群英會簡報
« 於: 2012-12-15 09:39 »
終於等到了,感謝

25
之前有遇過時間不一樣結果無法登入?不知你這個是不是相同情況

26
Linux 討論版 / Re: 如何讓DNS出去再進來
« 於: 2012-11-29 21:32 »
client使用dns要指向ip,而不是指向domain
不然沒辦法查詢

27
沒有restart service ?

28
請問PC givi-RU 用的os
另外在copy時,有觀查該os的輸出流量嗎

29

這個我們會用到,感謝分享

30
Linux 討論版 / Re: squid proxy筆記
« 於: 2012-11-23 20:05 »
我比較好奇的是為什麼cache_dir沒有priority的機制
期待下一版squid

頁: [1] 2 3 ... 8