centos 关闭fw
chkconfig –level 35 iptables off
centos关闭fw
Published 2011-12-31 / by whosb / Leave a Comment
Leave a reply
分类目录归档:linux
zabbix ossim 协同
Published 2011-12-30 / by whosb / Leave a Commentzabbix ossim 协同
修改syslog脚本发送出去
/etc/rsyslog.conf
local0,local1.* @@10.1.5.124:514
发送到124
修改报警脚本
/home/zabbix/bin/baojing
#!/bin/bash
logger -p local1.1 “$2 $3”
syslog_level
Published 2011-12-30 / by whosb / Leave a CommentSeverity Level Keyword Description
0 emergencies System unusable
1 alerts Immediate action required
2 critical Critical condition
3 errors Error conditions
4 warnings Warning conditions
5 notifications Normal but significant conditions
6 informational Informational messages
7 debugging Debugging messages
msmtp conf
Published 2011-12-22 / by whosb / Leave a Commentmsmtp conf
如果是手动安装的话,是通过nano ~/.msmtprc文件配置的
defaults
account user
host mail.163.com
domain 163.com
from user@163.com
auth login
user user@163.com
password 11111111
account default:user
logfile /var/log/maillog
account default logfile .msmtp.log #日志文件,可用touch创建此文件
host smtp.163.com
from kpshare@163.com
auth login #改为logon会出现错误
user kpshare
password ******
测试: msmtp kpshare@163.com good ctrl+d
3.
配置esmtp(如果选择esmtp工具发送邮件,则需要
配置此项)
1)进入当前主目录(/root),创建.esmtprc和.emsmtp.log,可用touch .esmtprc和touch .esmtp.log命令创建
2)chmod 600 .esmtprc #一定要改权限,否则无法使用
3)vi .esmtprc,添加以下内容: identity kpshare@163.com #此项一定要有,否则会运行错误,网上有些参考资料就没有写此项 hostname smtp.163.com:25 #端口号一定要写 username “kpshare” password “******” mda=”/usr/bin/procmail -d %T”
4.设置mutt
1)进入当前主目录(/root),创建.muttrc,可用touch .muttrc命令创建
2)vi .muttrc,添加以下内容: #以下两行任选一个 set sendmail = “/usr/local/bin/msmtp -v -X ~/.msmtplog” #指定msmtp发送邮件 set sendmail = “/usr/local/bin/esmtp -v -X ~/.esmtplog” #指定esmtp发送邮件 set fast_reply = yes #在回复邮件的时候,不用自己输入地址和标题 set folder = ~/Mail #邮件存放目录 set include = yes #回信时是否包含原文 my_hdr From: kpshare<kpshare@163.com> #这俩行一定要写,否则你的信件会以 my_hdr Reply-To: kpshare<kpshare@163.com> #root@localhost这样的地址发送出去,
nomachine
Published 2011-12-13 / by whosb / Leave a Commentnomachine
nomachine nx server
ubuntu
http://64.34.161.181/download/3.5.0/Linux/nxclient_3.5.0-7_i386.deb
http://64.34.161.181/download/3.5.0/Linux/nxnode_3.5.0-7_i386.deb
http://64.34.161.181/download/3.5.0/Linux/FE/nxserver_3.5.0-9_i386.deb
sudo dpkg -i nxclient_3.5.0-7_i386.deb&&sudo dpkg -i nxnode_3.5.0-7_i386.deb &&sudo dpkg -i nxserver_3.5.0-9_i386.deby
centos
wget http://64.34.161.181/download/3.5.0/Linux/nxclient-3.5.0-7.i386.rpm
http://64.34.161.181/download/3.5.0/Linux/nxnode-3.5.0-7.i386.rpm
wget
http://64.34.161.181/download/3.5.0/Linux/FE/nxserver-3.5.0-9.i386.rpm
sudo rpm -i nxclient-3.5.0-7.i386.rpm
sudo rpm -i nxnode-3.5.0-7.i386.rpm
sudo rpm -i nxserver-3.5.0-9.i386.rpm
linux大文件夹
Published 2011-12-04 / by whosb / Leave a Commentdu -s * | sort -nr | head
ossim记录
Published 2011-11-30 / by whosb / Leave a Comment静下心来想想,感觉刚开始分析的方向就是错的,转而从ossim官方下载了手册通读了一遍,梳理了下日志处理流程。
ossec-agent->ossec-server->写日志到/var/ossec/logs/alert/alerts.log->ossim-agent读取日志->匹配规则发送给ossim-server
应该出在ossim-agent端匹配日志规则上,看了下ossec的插件/etc/ossim/agent/plugins/ossec.cfg,发现1111行
[OSSEC – Windows Security audit – Logged on/off]应该就是匹配这个规则
看了下regexp,和日志匹配是正确的,很奇怪,然后再看看日志web管理端,username和userdata1的值都能获取到,于是把
src_ip改成$user,获取username,重启agent /etc/init.d/ossim-agent restart
从新登陆系统产生一个事件,查看后居然src_ip还是0.0.0.0,费解了,难道不是匹配的这条规则?
一想干脆粗暴点,打开ossec.cfg把所有src_ip都改成$user,重启agent,我靠,终于变了,肉流满面。然后逐个修改,最后定为到匹配的规则是[OSSEC -zzz- Generic Rule]
regexp=”Alert.*\n(?P<date_header>\d+\s+\w+\s+\d+\s+\d+:\d+:\d+)\s(\((?P<agent_name>.*)\)\s)?(?P<agent_ip>.*)->.*\nRule:\s+(?P<sid>\d+).*\'(?P<msg>.*)\’\nSrc\sIP:\s(?P<sip>.*)\nUser:\s(?P<user>.*)\n(?P<data>.*)\n”src_ip={$sip}
再看看ossec的日志
** Alert 1317615907.709569: – windows,authentication_success,
2011 Oct 03 12:25:07 (10.135.15.201) 10.135.15.201->WinEvtLog
Rule: 18107 (level 3) -> ‘Windows Logon Success.’
Src IP: (none)
User: Administrator
WinEvtLog: Security: AUDIT_SUCCESS(528):
居然是none。。然是none。。是none。。none。。。。。。。。
还好[OSSEC -zzz- Generic Rule]能获取到agent_ip
修改srp_ip={resolv($agent_ip)},重启agent,终于正常了
src_ip改成$user,获取username,重启agent /etc/init.d/ossim-agent restart
从新登陆系统产生一个事件,查看后居然src_ip还是0.0.0.0,费解了,难道不是匹配的这条规则?
一想干脆粗暴点,打开ossec.cfg把所有src_ip都改成$user,重启agent,我靠,终于变了,肉流满面。然后逐个修改,最后定为到匹配的规则是[OSSEC -zzz- Generic Rule]
regexp=”Alert.*\n(?P<date_header>\d+\s+\w+\s+\d+\s+\d+:\d+:\d+)\s(\((?P<agent_name>.*)\)\s)?(?P<agent_ip>.*)->.*\nRule:\s+(?P<sid>\d+).*\'(?P<msg>.*)\’\nSrc\sIP:\s(?P<sip>.*)\nUser:\s(?P<user>.*)\n(?P<data>.*)\n”src_ip={$sip}
再看看ossec的日志
** Alert 1317615907.709569: – windows,authentication_success,
2011 Oct 03 12:25:07 (10.135.15.201) 10.135.15.201->WinEvtLog
Rule: 18107 (level 3) -> ‘Windows Logon Success.’
Src IP: (none)
User: Administrator
WinEvtLog: Security: AUDIT_SUCCESS(528):
居然是none。。然是none。。是none。。none。。。。。。。。
还好[OSSEC -zzz- Generic Rule]能获取到agent_ip
修改srp_ip={resolv($agent_ip)},重启agent,终于正常了
Ubuntu中命令行中文乱码解决方法
Published 2011-11-19 / by whosb / Leave a Comment首先…我说的命令行是指Ctrl+Alt+F1~F6开启的纯命令行模式 不是在X Window里打开的终端…
如果你遇到的是终端里无法显示中文这篇文里的方法基本对你没用….可以跳过了~
言归正传 纯命令行中中文无法显示
解决方法1:学好英文..把环境变量设置为英文….(别抽我..)
修改/etc/default/locale
sudo vim /etc/default/locale1
修改默认的
LANG=zh_CN.UTF-8
LANGUAGE=zh_CN:zh
为:
LANG=”en_US.UTF-8″
LANGUAGE=”en_US:en”
存盘退出
然后:
sudo reboot
再然后
env 或者 locale 查看修改后的结果 就可以了…
解决方法2:这才是我想说的… 安装个zhcon就可以了…
终端或者命令行里输入
sudo apt-get install zhcon
等安装完即可~
运行的时候记得要加载vgz驱动和utf8支持 否则会黑屏…
并且只能在纯命令行里运行 在终端运行会出错
所以你的命令应该是zhcon –utf8 –drv=vga
如果嫌每次都要输入这么多太麻烦可以在~/.bashrc里面加一个别名
sudo vim ~/.bashrc
打开后在里面加入一行
alias zhcon=’zhcon –utf8 –drv=vga’
保存退出
这样每次进入命令行后直接运行zhcon即可 不用担心黑屏问题
zhcon中支持中文显示也支持中文输入法 由于热键冲突问题暂时我只知道Ctrl+ space切换到全拼输入法是
可以用的 多多少少解决了点中文目录/文件名的问题了
vps性能测试
Published 2011-11-12 / by whosb / Leave a Commentlinux dhcp
Published 2011-11-03 / by whosb / Leave a Comment自己记录下,这么几个命令敲了无数遍还错,shit~~~
/etc/sysconfig/network-scripts/ifcfg-eth0
DEVICE=eth0
ONBOOT=yes
BOOTPROTO=dhcp
或者使用netconfig配置动态地址
然后运行# service network restart