酷!學園

作者： zoob (vincent@myunix.idv.tw)

版權聲明：可以任意轉載，轉載時請務必標明原始出處和作者資訊

一、SenderID & SPF 簡介

各位應該有收到你自己或董事長寄給你的電子垃圾郵件吧？

別懷疑!!這非常容易(光靠OE就可以簡單達到了)

Relays只能限制哪些使用者可寄給非電子郵件伺服器負責的E-mail Domain

在不區分「收」「發」E-mail Server的情況下，但很難限制別人假冒你的E-mail Address透過你公司的E-mail Server寄給你自己，或透過其它E-mail Server寄給其它公司。

雖然可以從Mail Header，但一般使用者根本不會看，更看不懂。

如何解決此問題呢？我們可以採用SenderID 或 SPF 機制

SenderID與SPF主要為Microsoft與Pobox所推出之防堵垃圾郵件、釣魚郵件、驗明寄件者身份之機制
此機制是依據已設定DNS SPF Record的E-mail Domain來驗明寄件者身份，加以拒絕假冒E-mail Domain的電子郵件，以保障已設定DNS SPF Record的E-mail Domain


以下為SPF/SenderID流程圖，SPF/SenderID流程如下述

1.寄件者傳送E-mail給收件者
2.收件者的Inbound E-mail Server接收E-mail
3.Inbound E-mail Server依E-mail的寄件者 E-mail Domain至該E-mail Domain查詢DNS SPF Record
  檢查寄件者的E-mail Server IP是否列於SPF Record的IP清單中
4.如果寄件者的E-mail Server IP列於SPF Record的IP清單中，則這封信件可取得授權並可正常傳送至收件者信箱
  反之則會被退信



二、新增DNS SPF record for Mail Domain

(1)首先前往以下其中一網址，依其需求協助產生 DNS SPF Record
The SPF Setup Wizard
Sender ID Framework SPF Record Wizard

下列以www.anti-spamtools.org為申請範例

(1-1)輸入E-mail Domain


(1-2)查詢E-mail Domain是否已有設定SPF，請直接點選「Next」


(1-3)Domain Not Used for Sending E-Mail
該E-mail Domain是否有在傳送E-mail


(1-4)Inbound Mail Servers Send Outbound Mail
「收」E-mail的E-mail Server是否也有在「發」E-mail


(1-5)Outbound Mail Server Addresses
「發」E-mail的E-mail Server IP
註：是否有其他未列在MX Record的SMTP Server在傳送電子郵件，適用於將透過代管E-mail Server或ISP Relays的情況


(1-6)Reverse DNS Lookup
DNS反解析


(1-7)OutSourced Domains


(1-8)Default
一般設定為「No」


(1-9)Scope
一般設定為「Both」


(1-10)點選「Next」後，會出現依你上一頁所設定的結果。請將此結果複製並設定於你公司的DNS Server


(2-1)Bind DNS
編輯DNS SPF record，請針對你要設定的 E-mail Domain新增剛剛所產生的SPF Record

myunix.idv.tw. IN TXT "v=spf1 a mx mx:mail.myunix.idv.tw -all"


(2-2)Windows DNS
請參閱 How to Add an SPF Record in Windows 2000 and Windows 2003 DNS

註：SPF record是TXT類型

(3)重新載入DNS Server

(4)你可以傳送電子郵件給以下的E-mail來驗證你剛剛所建立的DNS SPF record是否正確

check-auth@verifier.port25.com
spfenabled@pobox.com

三、安裝設定SPF on Postfix

(1)請先下載以下Perl Moudle並安裝

1.Net-CIDR-Lite
2.Sys-Hostname-Long
3.Socket6
4.IO-Socket-INET6
5.Digest-HMAC
6.Net-IP
7.Net-DNS
8.URI
9.Mail-SPF-Query

(2)測試Mail-SPF-Query
perl test.pl

(3)編輯 sample/postfix-policyd-spf
第20行前面加上 # 符號，以避免一直處於測試狀態
[Old]
push @HANDLERS, "testing";

[New]
#  push @HANDLERS, "testing";

(4)產生 smtpd-policy.pl
cp sample/postfix-policyd-spf /usr/libexec/postfix/smtpd-policy.pl

(5)編輯Postfix - master.cf

policy  unix  -       n       n       -       -       spawn
      user=nobody argv=/usr/bin/perl /usr/libexec/postfix/smtpd-policy.pl

(6)編輯Postfix - main.cf

smtpd_recipient_restrictions = permit_sasl_authenticated, permit_mynetworks, reject_unauth_destination, check_policy_service unix:private/policy

注意!!check_policy_service unix:private/policy 必須放置於 reject_unauth_destination 後面，如有內部伺服器或用戶端會透過此伺服器傳送郵件至內部使用者，記得將其IP設定在 mynetworks。

(7)重新啟動 Postfix

(8)請測試以下步驟
(8-1)請使用非mynetworks之IP假冒你的網域傳送電子郵件至內部使用者，應該會被退信，並在maillog會出現類似以下的訊息

Sep 30 02:08:54 fw postfix/smtpd[11756]: connect from unknown[192.168.xx.yy]

Sep 30 02:09:14 fw postfix/policy-spf[11770]: Attribute: client_address=192.168.xx.yy
Sep 30 02:09:14 fw postfix/policy-spf[11770]: Attribute: client_name=unknown
Sep 30 02:09:14 fw postfix/policy-spf[11770]: Attribute: helo_name=myunix.idv.tw
Sep 30 02:09:14 fw postfix/policy-spf[11770]: Attribute: instance=2dec.433c2dc2.0
Sep 30 02:09:14 fw postfix/policy-spf[11770]: Attribute: protocol_name=SMTP
Sep 30 02:09:14 fw postfix/policy-spf[11770]: Attribute: protocol_state=RCPT
Sep 30 02:09:14 fw postfix/policy-spf[11770]: Attribute: queue_id=
Sep 30 02:09:14 fw postfix/policy-spf[11770]: Attribute: recipient=vincent@myunix.idv.tw
Sep 30 02:09:14 fw postfix/policy-spf[11770]: Attribute: request=smtpd_access_policy
Sep 30 02:09:15 fw postfix/policy-spf[11770]: Attribute: sasl_method=
Sep 30 02:09:15 fw postfix/policy-spf[11770]: Attribute: sasl_sender=
Sep 30 02:09:15 fw postfix/policy-spf[11770]: Attribute: sasl_username=
Sep 30 02:09:15 fw postfix/policy-spf[11770]: Attribute: sender=123@myunix.idv.tw
Sep 30 02:09:15 fw postfix/policy-spf[11770]: Attribute: size=0
Sep 30 02:09:15 fw postfix/policy-spf[11770]: : SPF fail: smtp_comment=Please see http://spf.pobox.com/why.html?sender=123%40myunix.idv.tw&ip=192.168.xx.yy&receiver=fw.myunix.idv.tw, header_comment=fw.myunix.idv.tw: domain of 123@myunix.idv.tw does not designate 192.168.xx.yy as permitted sender
Sep 30 02:09:15 fw postfix/policy-spf[11770]: handler sender_permitted_from: REJECT Please see http://spf.pobox.com/why.html?sender=123%40myunix.idv.tw&ip=192.168.xx.yy&receiver=fw.myunix.idv.tw
Sep 30 02:09:15 fw postfix/policy-spf[11770]: handler sender_permitted_from: REJECT Please see http://spf.pobox.com/why.html?sender=123%40myunix.idv.tw&ip=192.168.xx.yy&receiver=fw.myunix.idv.tw is decisive.
Sep 30 02:09:15 fw postfix/policy-spf[11770]: decided action=REJECT Please see http://spf.pobox.com/why.html?sender=123%40myunix.idv.tw&ip=192.168.xx.yy&receiver=fw.myunix.idv.tw
Sep 30 02:09:15 fw postfix/smtpd[11756]: NOQUEUE: reject: RCPT from unknown[192.168.xx.yy]: 554 <vincent@myunix.idv.tw>: Recipient address rejected: Please see http://spf.pobox.com/why.html?sender=123%40myunix.idv.tw&ip=192.168.xx.yy&receiver=fw.myunix.idv.tw; from=<123@myunix.idv.tw> to=<vincent@myunix.idv.tw> proto=SMTP helo=<myunix.idv.tw>
Sep 30 02:09:41 fw postfix/smtpd[11756]: disconnect from unknown[192.168.xx.yy][/list]

(8-2)請使用非mynetworks之IP使用外面的E-mail Domain傳送電子郵件至內部使用者，應該正常。
(8-4)請使用mynetworks之IP使用內部的E-mail Domain傳送電子郵件至內部使用者，應該正常。
(8-4)請使用mynetworks之IP使用內部的E-mail Domain傳送電子郵件至外部使用者，應該正常。

四、參考網址
http://www.microsoft.com/mscorp/safety/technologies/senderid/default.mspx
http://spf.pobox.com/

沒有備份Systen Status嗎？

由於你將所有權限均移除，故亦無法重新Initial Group Pollicy了

重灌吧

當我檢查 Configuration、Domain、Schema等權限的時候，雙擊Domain時出現“從取記憶體中找不到目錄的內容”的錯誤信息。
打開AD時，出現“找不到命名資訊，原因：指定的目錄服務屬性或服務值不存在。
通地MMC來編輯群組原則時，提示：無法查詢連結到這個容器的群組原則物件的清單。詳細資料：指定的目錄服務屬性或服務值不存在。

不用雙擊Domain，直接選取Domain的「內容」
檢查以下權限
Administrators[Replicating Directory Changes All][管理複寫拓樸][管理目錄變更][複寫同步處理]
Domain Admins[Replicating Directory Changes All][管理複寫拓樸][管理目錄變更][複寫同步處理]
Domain Controllers[Replicating Directory Changes All]
Enterprise Admins[Replicating Directory Changes All][管理複寫拓樸][管理目錄變更][複寫同步處理]
Enterprise Domain Controllers[管理複寫拓樸][管理目錄變更][複寫同步處理]

transport有無設定？

基本上Microsoft Outlook只使用MAPI Port來與Exchange Server來溝通，故很難去限制說要開防火牆的Port(註：可改掉Exchange Server的Registry來固定住)

註：通常你只要定期更新安全性修正程式、安裝防毒軟體、伺服器權限設定得宜，遭受攻擊的機會便可降低

但如果你真的想以較安全的方式來保護你的Mail Server，你可以考慮Exchange 2003 的RPC over HTTPS來符合你的要求

我覺得你可以擬個如何快速回復Exchange Server的計劃，這也是個重要的維運步驟之一

請參考以下網址
NetDom Examples - Windows Server 2003

加入網域有問題，通常為以下原因
1.SID重複
2.電腦名稱重複
3.權限不足

1.開啟 adsiedt.msc
2.檢查 Configuration、Domain、Schema等權限
3.執行MPSRPT_DirSvc來查詢詳細的錯誤訊息

1.使用軟體paser一下maillog，檢查什麼樣的連線佔掉你大部份的頻寬

2.針對垃圾郵 or RBL件的DSN，採取DISCARD的動作(當然你要收集一些垃圾郵件的Rule)

3.設定嘗試傳送郵件的次數減少
maximal_backoff_time = xx
maximal_queue_lifetime = xx
minimal_backoff_time = xx
queue_run_delay = xx

4.設定適當可允許傳送的郵件大小
message_size_limit = xxxxx

5.設定適當的收件者數量(同一封信件)

先朝以上方式去做，看是否流量會降下來

請先檢查以下事項
1.檢查硬碟空間是否滿了，滿了的話，請刪除以下檔案
Transcation Log
C:\WINDOWS\system32\LogFiles\SMTPSVC1
C:\WINDOWS\system32\LogFiles\W3SVC1
C:\WINDOWS\system32\LogFiles\W3SVC2
C:\Inetpub\mailroot\Badmail

Defragment Exchange Database
(1)首先請切換目錄至 D:\Exchsrvr\MDBDATA 目錄

(2)Perform an offline compaction of a database
 
"C:\Program Files\Exchsrvr\bin\eseutil" /d xxx.edb

(3)Repair a corrupted or damaged database

"C:\Program Files\Exchsrvr\bin\eseutil" /p xxx.edb

Verifies & Fix Exchange Database

(1)首先請切換目錄至 D:\Exchsrvr\MDBDATA 目錄

(2)Perform an offline Verifies & Fix Exchange database
 
"C:\Program Files\Exchsrvr\bin\isinteg" -s "Server Name" -fix -test alltests

最後，再重新依序啟動Exchange System Attachment、Exchange MTA、Exchange IS服務看看

如再不行，請再將事件檢視器的異常訊息，Post上來

1.請確認AD DC和Exchange於DNS上的A record是否有正確對應至你之後所設定的192.168.1.x的IP

2.防火牆是否有設定Exchange的SMTP In/Out Policy

3.外部DNS的MX record及Mail 的A record是否有正確對應至Exchange Server的Public IP

最近從php 4.2.x的版本升級至4.3.10，發現原有的許功蓋問題居然解決了

^_^

感謝，已修正  ^_^

【前言】
AWStats是一套免費及功能強大的Log分析軟體，它可以透過CGI及Command line的方式來產生報表。

它支援了以下的Log格式

(1)Apache-combined log(XLF/ELF)
(2)Apache or Squid-common log(CLF)
(3)IIS 5.0/6.0-W3C log
(4)大部份的Web/Wap/Proxy/Streaming Servers(Apache 1.3.x and 2.x, IIS 5.0 and 6.0, WebStar, WebLogic, WebSite, Windows Media Server, Tomcat, Squid, Sambar,Roxen, Resin, RealMedia server, Oracle9iAS, Lotus Notes/Domino, Darwin, IPlanet, IceCast, ZeroBrand, Zeus, Zope,
Abyss..)
(5)FTP Server(ProFTP...)
(6)Mail Server(Postfix/Sendmail/QMail/Mdaemon/www4mail...)

支援平台

(1)Windows 2000/NT4/Me、Linux、Macintosh、Solaris、Aix、BeOS、FreeBSD
(2)ActivePerl 5.6/5.8、Perl 5.6/5.8

=========================================
作者： zoob (vincent@myunix.idv.tw)

版權聲明：可以任意轉載，轉載時請務必標明原始出處和作者資訊

【安裝AWStats】

(1)請先從官方網址 ( http://awstats.sourceforge.net/ ) 下載AWStats ( http://prdownloads.sourceforge.net/awstats/awstats-6.1.tgz )

(2)解壓縮 awstats-6.1.tgz

(3)將解壓縮出來的 tools 及 wwwroot 目錄複製到 /usr/local/awstats 目錄下

(4)切換目錄至 /usr/local/awstats 目錄

(5)執行 tools 目錄下的 configure.pl

tools/configure.pl

(6)設定config檔
----- AWStats configure 1.0 (build 1.32) (c) Laurent Destailleur -----
This tool will help you to configure AWStats to analyze statistics for
one web server. You can try to use it to let it do all that is possible
in AWStats setup, however following the step by step manual setup
documentation (docs/index.html) is often a better idea. Above all if:
- You are not an administrator user,
- You want to analyze downloaded log files without web server,
- You want to analyze mail or ftp log files instead of web log files,
- You need to analyze load balanced servers log files,
- You want to 'understand' all possible ways to use AWStats...
Read the AWStats documentation (docs/index.html).

-----> Running OS detected: Linux, BSD or Unix

-----> Check for web server install

Enter full config file path of your Web server.
Example: /etc/httpd/httpd.conf
Example: /usr/local/apache2/conf/httpd.conf
Example: c:\Program files\apache group\apache\conf\httpd.conf
Config file path ('none' to skip web server setup):
> /etc/httpd/conf/httpd.conf <-----輸入httpd.conf的絕對路徑

-----> Check and complete web server config file '/etc/httpd/conf/httpd.conf'
  AWStats directives already present.

-----> Update model config file '/usr/local/awstats/wwwroot/cgi-bin/awstats.model.conf'
  File awstats.model.conf updated.

-----> Need to create a new config file ?
Do you want me to build a new AWStats config/profile
file (required if first install) [y/N] ?y

-----> Define config file name to create
What is the name of your web site or profile analysis ?
Example: www.mysite.com
Example: demo
Your web site, virtual server or profile name:
> www.myunix.idv.tw <-------- 輸入你所要建立的WebSite name

-----> Add update process inside a scheduler
Sorry, configure.pl does not support automatic add to cron yet.
You can do it manually by adding the following command to your cron:
/usr/local/awstats/wwwroot/cgi-bin/awstats.pl -update -config=wwww.myunix.idv.tw
Or if you have several config files and prefer having only one command:
/usr/local/awstats/tools/awstats_updateall.pl now
Press ENTER to continue...

A SIMPLE config file has been created: /etc/awstats/awstats.wwww.myunix.idv.tw.conf
You should have a look inside to check and change manually main parameters.
You can then manually update your statistics for 'wwww.myunix.idv.tw' with command:
> perl awstats.pl -update -config=wwww.myunix.idv.tw
You can also read your statistics for 'wwww.myunix.idv.tw' with URL:
> http://localhost/awstats/awstats.pl?config=wwww.myunix.idv.tw

Press ENTER to finish...

(7)以上步驟完成後，會在/etc/awstats目錄下建立一檔案- awstats.www.myunix.idv.tw.conf

(8)建立 /var/lib/awstats 目錄，並給予 777 之權限
註：若不給予777權限，將來若設定 AllowToUpdateStatsFromBrowser=1 時，會無法透過Browser來即時更新Report

(9)設定 httpd.conf，檢查在httpd.conf中是否有以下設定，如果沒有的話，請自行加入，並且重新啟動httpd服務

#
# Directives to add to your Apache conf file to allow use of AWStats as a CGI.
# Note that path "/usr/local/awstats/" must reflect your AWStats install path.
#
Alias /awstatsclasses "/usr/local/awstats/wwwroot/classes/"
Alias /awstatscss "/usr/local/awstats/wwwroot/css/"
Alias /awstatsicons "/usr/local/awstats/wwwroot/icon/"
ScriptAlias /awstats/ "/usr/local/awstats/wwwroot/cgi-bin/"
#
# This is to permit URL access to scripts/files in AWStats directory.
#
<Directory "/usr/local/awstats/wwwroot">
Options None
AllowOverride None
Order allow,deny
Allow from all
</Directory>

【分析 Apache Log】
適用於：Apache 1.3.x、Apache 2.0.x

(1)設定httpd的log format為combined，請編輯 httpd.conf，將CustomLog設定為combined

CustomLog logs/access_log combined

註：如果你有多個Virtual Domain的話，建議分成不同的access log，以利分析

Log格式範例如下：

172.16.46.96 - - [07/Feb/2004:17:19:30 +0800] "GET /forum/templates/subSilver/images/spacer.gif HTTP/1.1" 304 0 "http://it.myunix.idv.tw/forum/viewtopic.php?t=274" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0)"[/list]


(2)設定awstats.www.myunix.idv.tw.conf

LogFile="/var/log/httpd/access_log"  <----請指定你apache log file的絕對路徑及log名稱
LogType=W <---- W代表分析類型為web log files
LogFormat=1 <---- 1代表Apache or Lotus Notes/Domino native combined log format
SiteDomain="www.myunix.idv.tw" <----指定定從log檔中過濾符合SiteDomain的記錄(不同的Virtual Domain就須指定為不同的SiteDomain)
HostAliases="myunix.idv.tw www.myunix.idv.tw" <-----指定哪些Domain為Local，其餘皆視為External

設定完畢，請存檔

(3)執行awstats.pl，記得指定設定檔時，不要輸入設定檔名前面的 awstats. 及 .conf

[root@xxx awstats]# /usr/local/awstats/wwwroot/cgi-bin/awstats.pl -config=www.myunix.idv.tw -update

如果出現以下訊息，就代表執行成功

Update for config "/etc/awstats/awstats.www.myunix.idv.tw.conf"
With data in log file "/var/log/httpd/access_log.1"...
Phase 1 : First bypass old records, searching new record...
Direct access after last parsed record (after line 4311)
Jumped lines in file: 4311
 Found 4311 already parsed records.
Parsed lines in file: 0
 Found 0 dropped records,
 Found 0 corrupted records,
 Found 0 old records,
 Found 0 new qualified records.

(4)開啟Browser，輸入 http://www.xxx.xxx/awstats/awstats.pl?config=www.myunix.idv.tw ，便可檢視你剛剛所產生的報表了。

Demo Site

(5)記得將步驟(3)的指令設定在crontab，讓它定期產生Log Report

【分析 IIS Log】
適用於：IIS 6.0

(1)開啟IIS管理員，設定WWW伺服器Log擴充內容如下：(若沒列在下面的項目，請取消勾選)，設定完畢，請重新啟動IIS Web Service

日期(date)
時間(time)
用戶端IP位址(c-ip)
使用者名稱(cs-username)
方法(cs-method)
URI主體(cs-uri-stem)
URI查詢(cs-uti-query)
通訊協定狀態(sc-status)
傳送的位元組(sc-bytes)
通訊協定版本(cs-version)
使用者代理(cs(User-Agent))
推薦者(cs(Referer))

註：IIS WWW Log預設會存放在 C:\WINDOWS\system32\LogFiles\W3SVC1 目錄下

Log格式範例如下：

2004-02-07 09:23:08 POLL /exchange/A12345/收件匣 - MYUNIX/A12345 192.168.1.1 HTTP/1.1 Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+98) https://exchange.myunix.idv.tw/exchange/A12345/?Cmd=navbar 207 585[/list]


(2)設定awstats.iis.myunix.idv.tw.conf

LogFile="/var/log/iis.log"  <----請指定你IIS log file的絕對路徑及log名稱
LogType=W <---- W代表分析類型為web log files
LogFormat="date time cs-method cs-uri-stem cs-uri-query cs-username c-ip cs-version cs(User-Agent) cs(Referer) sc-status sc-by
tes"
SiteDomain="iis.myunix.idv.tw" <----指定定從log檔中過濾符合SiteDomain的記錄(不同的Virtual Domain就須指定為不同的SiteDomain)
HostAliases="myunix.idv.tw" <-----指定哪些Domain為Local，其餘皆視為External
LevelForBrowsersDetection=0
LevelForOSDetection=0
LevelForRefererAnalyze=0
LevelForRobotsDetection=0
LevelForSearchEnginesDetection=0
LevelForKeywordsDetection=0
LevelForFileTypesDetection=2
LevelForWormsDetection=2
ShowDomainsStats=0
ShowRobotsStats=0
ShowWormsStats=HBL
ShowFileSizesStats=0
ShowOSStats=0
ShowBrowsersStats=0
ShowOriginStats=0
ShowKeyphrasesStats=0
ShowKeywordsStats=0
ShowMiscStats=0


設定完畢，請存檔

(3)執行awstats.pl，記得指定設定檔時，不要輸入設定檔名前面的 awstats. 及 .conf

[root@xxx awstats]# /usr/local/awstats/wwwroot/cgi-bin/awstats.pl -config=iis.myunix.idv.tw -update

如果出現以下訊息，就代表執行成功

Update for config "/etc/awstats/awstats.iis.myunix.idv.tw.conf"
With data in log file "/var/log/iis.log"...
Phase 1 : First bypass old records, searching new record...
Direct access after last parsed record (after line 4311)
Jumped lines in file: 4311
 Found 4311 already parsed records.
Parsed lines in file: 0
 Found 0 dropped records,
 Found 0 corrupted records,
 Found 0 old records,
 Found 0 new qualified records.

(4)開啟Browser，輸入 http://www.xxx.xxx/awstats/awstats.pl?config=iis.myunix.idv.tw ，便可檢視你剛剛所產生的報表了。

(5)記得將步驟(3)的指令設定在crontab，讓它定期產生Log Report

【分析 Mail Log-Postfix/Sendmail/Qmail/MDaemon】
適用於：Postfix/Sendmail/Qmail/MDaemon

(1)設定awstats.mail.myunix.idv.tw.conf

LogFile="perl /usr/local/awstats/tools/maillogconvert.pl standard < /var/log/maillog |"  <----請指定你mail log file的絕對路徑及log名稱
LogType=M <---- M代表分析類型為mail log files
LogFormat="%time2 %email %email_r %host %host_r %method %url %code %bytesd"
SiteDomain="mail.myunix.idv.tw" <----指定定從log檔中過濾符合SiteDomain的記錄
HostAliases="myunix.idv.tw mail.myunix.idv.tw localhost 127.0.0.1" <-----指定哪些Domain或ip address為Local，其餘皆視為External
LevelForBrowsersDetection=0
LevelForOSDetection=0
LevelForRefererAnalyze=0
LevelForRobotsDetection=0
LevelForWormsDetection=0
LevelForSearchEnginesDetection=0
LevelForFileTypesDetection=0
ShowMenu=1
ShowMonthStats=HB
ShowDaysOfMonthStats=HB
ShowDaysOfWeekStats=HB
ShowHoursStats=HB
ShowDomainsStats=0
ShowHostsStats=HBL
ShowAuthenticatedUsers=0
ShowRobotsStats=0
ShowEMailSenders=HBML
ShowEMailReceivers=HBML
ShowSessionsStats=0
ShowPagesStats=0
ShowFileTypesStats=0
ShowFileSizesStats=0
ShowBrowsersStats=0
ShowOSStats=0
ShowOriginStats=0
ShowKeyphrasesStats=0
ShowKeywordsStats=0
ShowMiscStats=0
ShowHTTPErrorsStats=0
ShowSMTPErrorsStats=1


設定完畢，請存檔

(2)執行awstats.pl，記得指定設定檔時，不要輸入設定檔名前面的 awstats. 及 .conf

[root@xxx awstats]# /usr/local/awstats/wwwroot/cgi-bin/awstats.pl -config=mail.myunix.idv.tw -update

如果出現以下訊息，就代表執行成功

Update for config "/etc/awstats/awstats.mail.myunix.idv.tw.conf"
With data in log file "perl /usr/local/awstats/tools/maillogconvert.pl standard < /var/log/maillog |"...
Phase 1 : First bypass old records, searching new record...
Searching new records from beginning of log file...
Jumped lines in file: 0
Parsed lines in file: 358
 Found 0 dropped records,
 Found 0 corrupted records,
 Found 358 old records,
 Found 0 new qualified records.

(3)開啟Browser，輸入 http://www.xxx.xxx/awstats/awstats.pl?config=mail.myunix.idv.tw ，便可檢視你剛剛所產生的報表了。

Demo Site

(4)記得將步驟(2)的指令設定在crontab，讓它定期產生Log Report

【分析 Mail Log-Exchange Server】
適用於：Exchange 2000/2003 Server

(1)若沒有開啟Exchange Server Tracking Log，請依以下網址開啟Exchange Tracking Log
http://support.microsoft.com/default.aspx?scid=kb;en-us;246856

註：Tracking Log預設會存放在 C:\Program Files\Exchsrvr\[Server Name].log 目錄下

Log格式範例如下：

2004-2-4        23:59:52 GMT    172.17.13.104   mail.myunix.idv.tw   exchange.tw.idv.tw   Exchange 172.17.13.1    usera@myunix.idv.tw    1031    00dc01c46222$c3442650$2c1313ac@sh44     3       0       230711  1       2004-7-4 23:59:52 GMT0Version: 6.0.3790.0     -        =?big5?B?111=?=        userb@myunix.idv.tw -[/list]


(2)設定awstats.exchange.myunix.idv.tw.conf

LogFile="perl /usr/local/awstats/tools/maillogconvert.pl standard < /var/log/exchange.maillog |"  <----請指定你mail log file的絕對路徑及log名稱
LogType=M <---- M代表分析類型為mail log files
LogFormat="%time2 %email %email_r %host %host_r %method %url %code %bytesd"
SiteDomain="exchange.myunix.idv.tw" <----指定定從log檔中過濾符合SiteDomain的記錄
HostAliases="myunix.idv.tw exchange.tw.myunix.idv exchange.myunix.idv.tw localhost 127.0.0.1" <-----指定哪些Domain或ip address為Local，其餘皆視為External
LevelForBrowsersDetection=0
LevelForOSDetection=0
LevelForRefererAnalyze=0
LevelForRobotsDetection=0
LevelForWormsDetection=0
LevelForSearchEnginesDetection=0
LevelForFileTypesDetection=0
ShowMenu=1
ShowMonthStats=HB
ShowDaysOfMonthStats=HB
ShowDaysOfWeekStats=HB
ShowHoursStats=HB
ShowDomainsStats=0
ShowHostsStats=HBL
ShowAuthenticatedUsers=0
ShowRobotsStats=0
ShowEMailSenders=HBML
ShowEMailReceivers=HBML
ShowSessionsStats=0
ShowPagesStats=0
ShowFileTypesStats=0
ShowFileSizesStats=0
ShowBrowsersStats=0
ShowOSStats=0
ShowOriginStats=0
ShowKeyphrasesStats=0
ShowKeywordsStats=0
ShowMiscStats=0
ShowHTTPErrorsStats=0
ShowSMTPErrorsStats=1


設定完畢，請存檔

(3)執行awstats.pl，記得指定設定檔時，不要輸入設定檔名前面的 awstats. 及 .conf

[root@xxx awstats]# /usr/local/awstats/wwwroot/cgi-bin/awstats.pl -config=exchange.myunix.idv.tw -update

如果出現以下訊息，就代表執行成功

Update for config "/etc/awstats/awstats.exchange.myunix.idv.tw.conf"
With data in log file "perl /usr/local/awstats/tools/maillogconvert.pl standard < /var/log/exchange.maillog |"...
Phase 1 : First bypass old records, searching new record...
Searching new records from beginning of log file...
Jumped lines in file: 0
Parsed lines in file: 358
 Found 0 dropped records,
 Found 0 corrupted records,
 Found 358 old records,
 Found 0 new qualified records.

(4)開啟Browser，輸入 http://www.xxx.xxx/awstats/awstats.pl?config=exchange.myunix.idv.tw ，便可檢視你剛剛所產生的報表了。

(5)記得將步驟(3)的指令設定在crontab，讓它定期產生Log Report

【分析 Squid Log】
適用於：Squid 2.x

(1)設定squid的log format為emulate_httpd_log，請編輯 squid.conf，將emulate_httpd_log設定為on

emulate_httpd_log on

Log格式範例如下：

172.17.132.32 - - [06/Feb/2004:23:59:04 +0800] "POST http://gateway.messenger.hotmail.com/gateway/gateway.dll? HTTP/1.1" 200 432 TCP_MISS:DIRECT[/list]

(2)設定awstats.squid.myunix.idv.tw.conf

LogFile="/var/log/squid/access_log"  <----請指定你apache log file的絕對路徑及log名稱
LogType=W <---- W代表分析類型為web log files
LogFormat=4 <---- 4代表Apache or Squid native log format
SiteDomain="squid.myunix.idv.tw" <----指定定從log檔中過濾符合SiteDomain的記錄(不同的Virtual Domain就須指定為不同的SiteDomain)
HostAliases="myunix.idv.tw" <-----指定哪些Domain為Local，其餘皆視為External
LevelForBrowsersDetection=0
LevelForOSDetection=0
LevelForRefererAnalyze=0
LevelForRobotsDetection=0
LevelForSearchEnginesDetection=0
LevelForKeywordsDetection=0
LevelForFileTypesDetection=2
LevelForWormsDetection=2
ShowDomainsStats=0
ShowRobotsStats=0
ShowWormsStats=HBL
ShowFileSizesStats=0
ShowOSStats=0
ShowBrowsersStats=0
ShowOriginStats=0
ShowKeyphrasesStats=0
ShowKeywordsStats=0
ShowMiscStats=0


設定完畢，請存檔

(3)執行awstats.pl，記得指定設定檔時，不要輸入設定檔名前面的 awstats. 及 .conf

[root@xxx awstats]# /usr/local/awstats/wwwroot/cgi-bin/awstats.pl -config=squid.myunix.idv.tw -update

如果出現以下訊息，就代表執行成功

Update for config "/etc/awstats/awstats.squid.myunix.idv.tw.conf"
With data in log file "/var/log/squid/access_log"...
Phase 1 : First bypass old records, searching new record...
Direct access after last parsed record (after line 4311)
Jumped lines in file: 4311
 Found 4311 already parsed records.
Parsed lines in file: 0
 Found 0 dropped records,
 Found 0 corrupted records,
 Found 0 old records,
 Found 0 new qualified records.

(4)開啟Browser，輸入 http://www.xxx.xxx/awstats/awstats.pl?config=squid.myunix.idv.tw ，便可檢視你剛剛所產生的報表了。

(5)記得將步驟(3)的指令設定在crontab，讓它定期產生Log Report

【描述】

Nessus是一套免費及功能強大的弱點掃描系統，而搭配Inprotect可以達到以下功能

特色:
●Web Interface for Nessus & Nmap.
●Support for backend database for security scan results.
●Ability to schedule daily, weekly, monthly or manual scans.
●Automated Nessus plugins update.
●Multi-user.
●Ability to identify false positives within scan results.
●Report generation in PDF format.
●Support for SSL encryption.
●Advanced user management.
●Separation of privileges.
●Advanced reporting using Jpgraph.
●Support for multiple Nessus scanners to perform distributed ●vulnerability testing on large enterprise level networks.  

=========================================
作者： zoob (vincent@myunix.idv.tw)

版權聲明：可以任意轉載，轉載時請務必標明原始出處和作者資訊

【安裝步驟】

測試環境：

Linux RH 9.0
apache 2.0.49
php 4.3.7
gd 2.0.26
mysql 4.0.20
nessus 2.0.10
inprotect 0.18

一、事前檢查事項：

(1)檢查PHP是否有支援GD2
PHP預設並未將GD2 Compile進去，故請重新Compile Apache + PHP + GD2 + MySQL

二、安裝

(1)安裝Nessus，並確認是否可正常執行Nessus Vulnerability Scan動作
註：此處我並不詳細說明Nesssu安裝步驟，請參閱以下網址說明
安裝及使用Nessus


(2)安裝Inprotect

(2-1)請下載 Inprotec 0.18a 主程式(including JpGraph files)及 Patch-Install.sh

(2-2)解壓縮 inprotect_018a_jpgraph.tar.gz ， 並請執行以下指令

patch -p2 < install.patch

請在 File to patch: 輸入 install.sh

(2-3)編輯console/sql/inprotec.sql，刪除以下敘述(約在 60~75 行間)，此敘述會造成Import DB錯誤

CREATE TABLE inprotect_settings (
  nessus_plugins_url varchar(255) NOT NULL default '',
  nessus_plugins_file varchar(255) NOT NULL default '',
  nessus_install_url varchar(255) NOT NULL default '',
  nessus_install_file varchar(255) NOT NULL default '',
  mailfrom varchar(255) NOT NULL default '',
  inprotect_url varchar(255) NOT NULL default '',
  inprotect_path varchar(255) NOT NULL default ''
) TYPE=MyISAM;

--
-- Dumping data for table 'inprotect_settings'
--


INSERT INTO inprotect_settings VALUES ('http://www.nessus.org/nasl/','all-2.0.tar.gz','http://install.nessus.org','nessus-installer.sh','root@localhost','http://192.168.1.37','/srv/www/htdocs');


(2-4)執行 install.sh，並選擇你想安裝的Componet選項(如果安裝Web Interface、Database、Scanner在同一台機器的話，請選擇 5)

Inprotect installation
======================
Please run this installation as root user
1 - Install web interface only
2 - Install database only
3 - install web & database components
4 - install scanner only
5 - install web, db & scanner
Q - Quit without installation
Make your selection [1-5]

接下來install.sh會問你一些問題，請依序輸入答案

(2-5)檢查Mysql是否有新增一DB，名稱為Inprotect，並且相關的使用者(Default: inprotect@localhost )是否有權限可存取

(2-6)複製 scanner/nessus_run.pl、scanner/inprotect_reset.pl、scanner/port_scan.pl、console/scripts/fetchupdates.pl、console/scripts/sched.pl ]、console/scripts/updateplugins.pl 至 /usr/local/bin目錄下

(2-7)複製 inprotect.cfg至 /usr/local/etc，並編輯 /usr/local/etc/inprotect.cfg
設定相關選項

#指定Nessus client 的絕對路徑
NESSUSPATH=

#Inprotect所使用的Database 名稱
DATABASENAME=inprotect

#Inprotect所使用的Database ip
DATABASEHOST=localhost

#Inprotect所存取的Database 的使用者名稱
DATABASEUSER=inprotect

#前一選項所提定的Inprotect所存取的Database 的使用者名稱之密碼
DATABASEPASSWORD=inprotect

#Nessus scan logfile存放位置及檔案名稱
NESSUSLOG=/var/log/nessus_scan.log

#Port scan log存放位置及檔案名稱
PORTSCANLOG=/var/log/portscan.log

#Update plugins log file存放位置及檔案名稱
UPDATEPLUGINSLOG=/var/log/updateplugins.log

(2-8)編輯/var/www/html/inprotect/config.php
設定相關選項

#指定dbtype
$dbtype="mysql"

#指定DB的ip
$dbhost="localhost"

#指定存取$dbname的使用者名稱
$dbuname="inprotect"

#指定存取$dbname使用者之密碼
$dbpass="inprotect"

#指定Inprotect的DB name
$dbname="inprotect"

(2-9)以上選項設定完畢後，請執行 updateplugins.pl ，並檢查 /var/log/updateplugins.log 是否有錯誤訊息，更新正常的話，會在 inprotect DB的nessus_plugins Table產生Plugins的相關Record

三、設定Inprotect

(1)開啟瀏覽器，並在網址列裡輸入 http://xxx.xxx.xxx.xxx/inprotect

(2)輸入Username/Password(預設Admin/password)

(3)設定 Settings\Inprotect Settings
設定以下選項

#指定E-mail Report時，寄件者名稱
Mail From Address

#指定Inprotect的FQDN(影響E-mail Report裡的url linke)
Inprotect URL

#指定Inprotect的WebRoot路徑(影響Download Plugins時的暫存路徑)
Inprotect Webroot

(4)設定Settings\Scanner Profiles
建立新Profile(請點選Create New Profile)

(5)設定Settings\Nessus Server
如果有多台Nessus Scanner的話，則請一一建立Nessus Server(請點選Add new Nessus Server)

(6)設定Settings\Network Zones Setup
請依規劃建立各網路區域設定，並指定該網路區域由哪一台Nessus Server來執行弱點掃描

(7)因為Admin權限滿大的，故建立另外建議新增一使用者來負責建立Security Scan(例如：新增一使用者-nessus，權限為Manage Profiles、Manage Zones and Servers、Run Nmap Scans、Run Nessus Scans)

(8)重新登入為該使用者(例如： nessus)

(9)設定Security Scan\Nessus Scan\New Schedule

(9-1)指定Schedules名稱->Save

(9-2)指定要被掃描伺服器Hostname/IP Address，輸入完畢後，請點選Add Host

(9-3)點選Manage Schedule，指定此Schedule要套用的弱點掃描Profile及進行掃描的時間

(10)掃描完畢後所產生的報告會出現在Reports

(11)設定root cron
請新增以下內容至root的cron
*/1 * * * * /usr/local/bin/nessus_run.pl
*/1 * * * * /usr/local/bin/port_scan.pl

*/1 * * * * /usr/local/bin/sched.pl

5 * * * * /usr/local/bin/fetchupdates.pl


註1：如要進行中文化，請自行修改 /var/www/html/inprotect 目錄下 相關的 php 檔案即可。

註2：如要修改 E-mail Report 主旨，請自行修改 /usr/local/etc/inprotect.conf

註3：如要修改 E-mail Report 內容，請自行修改 /usr/local/bin/sched.pl

註4：執行updateplugins.pl時，會出現「ERROR 1062 at line 1150: Duplicate entry "12007" for key 1」
請將/usr/local/etc/nessus/plugins目錄下所有的檔案全數刪除，並請清空 inprotect DB的nessus_plugins Table。並請重新執行 updateplugins.pl

去修改 IIS 的Exhcnage和Public Folder

在Authercation頁面，將Basic Auth的Default Domain設成你的預設網域

如此一來，如不輸入Domain\的話，則預設會帶入 你所設定的預設網域

Thanks