cd /usr/src/sys/i386/conf
cp GERENIC PFOK
ee FFOK

修改并加入下面东东
复制内容到剪贴板代码:
ident PFOK
device pf
device pflog
device pfsync
options ALTQ
options ALTQ_CBQ
options ALTQ_RED
options ALTQ_RIO
options ALTQ_HFSC
options ALTQ_PRIQ
options ALTQ_NOPCC
options PANIC_REBOOT_WAIT_TIME=0
options DEVICE_POLLING
options HZ=2000
options IPSTEALTH
# options RANDOM_IP_ID
options TCP_DROP_SYNFIN
config PFOK
cd /usr/src/sys/i386/compile/PFOK
make depend
make
make install
reboot

ee /etc/sysctl.conf

net.inet.ip.forwarding=1
net.inet.ip.fastforwarding=1
net.inet.tcp.drop_synfin=1
net.inet.tcp.sendspace=65536
net.inet.tcp.recvspace=65536
#net.inet.udp.sendspace=65535
net.inet.udp.maxdgram=65535
net.local.stream.sendspace=65535
net.inet.tcp.rfc1323=1
#net.inet.tcp.rfc1644=1
net.inet.tcp.rfc3042=1
net.inet.tcp.rfc3390=1
kern.ipc.maxsockbuf=2097152
kern.maxfiles=65536
kern.maxfilesperproc=32768
kern.polling.enable=1
kern.polling.burst_max=500
kern.ipc.somaxconn=2048
kern.ipc.nmbclusters=32768
net.inet.tcp.delayed_ack=0
net.inet.icmp.icmplim=100
net.inet.icmp.icmplim_output=0
net.inet.tcp.drop_synfin=1

ee /boot/loader.conf
autobootdelay=”2″

ee /etc/rc.conf
sendmail_enable=”NONE”
sendmail_submit_enable=”NO”
sendmail_outbound_enable=”NO”
sendmail_msp_queue_enable=”NO”
clear_tmp_enable=”YES”
update_motd=”NO”
tcp_drop_synfin=”YES”
#icmp_drop_redirect=”YES”
#icmp_log_redirect=”YES”
#log_in_vain=”YES”
#accounting_enable=”YES”
pf_enable=”YES”
pf_rules=”/etc/pf.conf”
pf_flags=”"
#pflog_enable=”YES”
#pflog_logfile=”/var/log/pflog”
这里我就加了句pf_enable=”YES”

uname -a
FreeBSD pf.com 6.2-RC1 FreeBSD 6.2-RC1 #0: Thu Nov 23 04:20:46 CST 2006sshpf@pf.com:/usr/src/sys/i386/compile/PFOK i386

我的pf.conf

#pfctl -e -F all -f /etc/pf.conf

#只重新load过滤规则
#pfctl -F rules -Rf /etc/pf.conf

#pfctl -f /etc/pf.conf # 重新加载pf.conf 设定档
#pfctl -nf /etc/pf.conf # 确认语法有无符合，但不载入
#pfctl -Nf /etc/pf.conf # 只加载 NAT 的设定档
#pfctl -Rf /etc/pf.conf # 只加载防火墙的过滤设定档

#pfctl -sn # 显示现阶段 NAT 的规则
#pfctl -sr # 显示现阶段过滤的规则
#pfctl -ss # 显示现阶段封包运作状态
#pfctl -si # 显示现阶段过滤封包的统计资料
#pfctl -sa # 显示现阶段所有统计的数据
复制内容到剪贴板代码:
ext_if=”rl0″
#edu_if=”"
int_if=”fxp0″

ext_addr=”192.168.1.51″

int_net=”172.16.0.0/16″
ext_net = “192.168.0.0/16″
loop = “{lo0, 127.0.0.1}”
OpenPorts = “{21, 22, 80, 88, 4899}”
InsideManagerIPs = “{172.16.0.100}”
InsiteManagerOpenPorts = “{21, 22, 23, 24, 25, 80, 4899}”
priv_nets = “{ 127.0.0.0/8, 192.168.0.0/16, 172.16.0.0/12}” # 定义符合 RFC 1918 私有IP 部份
tcp_services = “{ 22, 88, 4899, 123 }” # 定义对外服务的端口
icmp_types = “echoreq” # 定义icmp类型

## down inactive connection quickly
set optimization aggressive

# Normalization: reassemble fragments and resolve or reduce traffic ambiguities.
scrub in all

nat on $ext_if from $int_net to any -> ($ext_if)
#nat on $ext_if from $int_net to $ext_net -> ($ext_if)

#web server map
#rdr pass on $ext_if proto tcp from any to $ext_if port {www,3389,4899,7745} -> $web_server

#—————————-以下防DOS攻击——————————–
#每个IP最大可以有120个非并发的连接（为局域网用户访问本站考虑）
#每个IP最大连接建立的速率小于每秒8个
#单个IP的最大持续连接数 30
#违反以上规则，把这个ip添加到<abusive_hosts>表中
table <abusive_hosts> persist #维持一个持续的表
block in quick from <abusive_hosts> #阻止表中的ip
pass in on $int_if inet proto tcp from any to $int_if flags S/SA keep state \
(source-track rule,max-src-conn 100, max-src-conn-rate 15/3,max-src-states 30,overload <abusive_hosts> flush, src.track 1)

LSassVirusPort = “{445, 135, 139, 593, 512, 5554, 9996, 9995}”
block quick on $int_if inet proto tcp from any to any port $LSassVirusPort

BitTorrentPort= “{ 512, 2049, 4662, 6880, 6881, 6882, 6883, 6884, 6885, 6886, 6887, 6888, 6889, \
6890, 8880, 8881, 8882, 8883, 8884, 8885, 8886, 8887, 8888, 8889, 8890, 6969, 10700, 21881}”
block quick on $int_if inet proto tcp from any to any port $BitTorrentPort
block quick on $int_if inet proto tcp from any port $BitTorrentPort to any
block quick on $ext_if inet proto tcp from any to any port $BitTorrentPort
block quick on $ext_if inet proto tcp from any port $BitTorrentPort to any

#gameClientPorts = “{4002, 2000, 3838, 4410, 4210, 4230, 5005, 4290, 10010 }”
#GameDenyClients =”{192.168.128.0/24, 192.168.132.0/24}”
#GameServerIps = “{204.251.15.167, 61.152.93.145}”
#block quick on $int_if inet proto tcp from $GameDenyClients to any port $gameClientPorts
#block quick on $ext_if from $GameServerIps to $GameDenyClients
#block quick on $int_if from $GameDenyClients to $GameServerIps

denyserverips = “{202.108.193.21}”
block quick on $int_if from any to $denyserverips

#LSassVirusIp =”{192.168.1.194}”
#block quick on $int_if from $LSassVirusIp to any

© admin for DalianSky's Blog, 2008. | Permalink | No comment | Add to del.icio.us
Post tags: bsd, pf, syn, 攻击, 防范

Feed enhanced by Better Feed from Ozh

作者：杨文博 <http://blog.solrex.cn>
地址：http://blog.solrex.cn/articles/implement-snort-ids-on-ubuntu-710.html

最后更新时间：2007年12月05日20点47分

摘要：

这份文档主要描述了我在 Ubuntu 7.10 上安装部署 Snort 入侵检测系统和 acid 基于 PHP 的网页入侵检测数据库分析控制台的过程。

目录

1. 介绍
2. 安装过程
3. 总结
4. 参考文章

1. 介绍

Snort 是一款非常优秀的开源主机入侵检测系统软件，可以用来对主机的网络状况进行记录、分析和报警，并且支持用户自定义规则库。Snort 在 Windows 平台和 Linux 平台上均可运行，详细介绍请访问 Snort 的官方网站：http://www.snort.org 。

Snort的默认记录是存放在 log 文本文件中，而为了观察监控方便起见，一般使用 acidbase 这个网页控制台来查看(好像 MySQL 的 phpmyadmin)。所以整个过程需要：安装 snort 和相应包；安装 LAMP(Linux, Apache, MySQL, PHP) 服务器；在MySQL数据库中建立好Snort数据库并配置 Snort 使其将 log 存放在 MySQL 数据库中；为基于 PHP 的入侵检测数据库分析控制台 (acidbase) 配置好数据库连接。

2. 安装过程

[安装LAMP，Snort和一些软件库]

由于 Ubuntu 是 Debian 系的 Linux，安装软件非常简单，而且 Ubuntu 在中国科技大学有镜像，在教育网和科技网下载速度非常快(2~6M/s)，就省掉了出国下载安装包的麻烦，只需要一个命令即可在几十秒钟内安装好所有软 件。这里使用 Ubuntu 默认命令行软件包管理器 apt 来进行安装。

$ sudo apt-get install libpcap0.8-dev libmysqlclient15-dev mysql-client-5.0 mysql-server-5.0 bison flex apache2 libapache2-mod-php5 php5-gd php5-mysql libphp-adodb php-pear pcregrep snort snort-rules-default

需要注意的是在安装 MySQL 数据库时会弹出设置 MySQL 根用户口令的界面，临时设置其为“test”。

[在 MySQL 数据库中为 Snort 建立数据库]

Ubuntu 软件仓库中有一个默认的软件包 snort-mysql 提供辅助功能，用软件包管理器下载安装这个软件包。

$ sudo apt-get install snort-mysql

安装好之后查看帮助文档：

$ less /usr/share/doc/snort-mysql/README-database.Debian

根据帮助文档中的指令，在 MySQL 中建立 Snort 的数据库用户和数据库。所使用的命令如下：

$ mysql –u root –p

在提示符处输入口令 test.

mysql> CREATE DATABASE snort;
mysql> grant CREATE, INSERT, SELECT, UPDATE on snort.* to snort@localhost;
mysql> grant CREATE, INSERT, SELECT, UPDATE on snort.* to snort;
mysql> SET PASSWORD FOR snort@localhost=PASSWORD(‘snort-db’);
mysql> exit

以上命令的功能是在 MySQL 数据库中建立一个 snort 数据库，并建立一个 snort 用户来管理这个数据库，设置 snort 用户的口令为 snort-db。

然后根据 README-database.Debian 中的指示建立 snort 数据库的结构。

$ cd /usr/share/doc/snort-mysql
$ zcat create_mysql.gz | mysql -u snort -D snort -psnort-db

这样就为 snort 在 MySQL 中建立了数据库的结构，其中包括各个 snort 需要使用的表。

[设置 snort 把 log 文件输出到 MySQL 数据库中]

修改 Snort 的配置文件：/etc/snort/snort.conf

$ sudo vim /etc/snort/snort.conf

在配置文件中将 HOME_NET 有关项注释掉，然后将 HOME_NET 设置为本机 IP 所在网络，将 EXTERNAL_NET 相关项注释掉，设置其为非本机网络，如下所示：

#var HOME_NET any
var HOME_NET 210.77.8.0/16
#var EXTERNAL_NET any
var EXTERNAL_NET !$HOME_NET

将 output database 相关项注释掉，将日志输出设置到 MySQL 数据库中，如下所示：

output database: log, mysql, user=snort password=snort-db dbname=snort host=localhost
#output database: log, mysql

这样，snort 就不再向 /var/log/snort 目录下的文件写记录了，转而将记录存放在 MySQL 的snort数据库中。这时候可以测试一下 Snort 工作是否正常：

$ sudo snort -c /etc/snort/snort.conf

如果出现一个用 ASCII 字符画出的小猪，那么 Snort 工作就正常了，可以使用 Ctrl-C 退出；如果 Snort 异常退出，就需要查明以上配置的正确性了。

[测试 Web 服务器 Apache 和 PHP 是否工作正常]

配置 apache 的 php 模块，添加 msql 和 gd 的扩展。

$ sudo vim /etc/php5/apache2/php.ini
extension=msql.so
extension=gd.so

重新启动 apache

$ /etc/init.d/apache2 restart

在/var/www/目录下新建一个文本文件test.php

$ sudo vim /var/www/test.php

输入内容：

<?php
phpinfo();
?>

然后在浏览器中输入 http://localhost/test.php，如果配置正确的话，就会出现 PHP INFO 的经典界面，就标志着 LAMP 工作正常。

[安装和配置 acid-base]

安装 acid-base 很简单，使用 Ubuntu 软件包管理器下载安装即可：

$ sudo apt-get install acidbase

安装过程中需要输入 acidbase 选择使用的数据库，这里选 MySQL，根用户口令 test，和 acid-base 的口令(貌似也可以跳过不设置)。

将acidbase从安装目录中拷贝到www目录中，也可以直接在apache中建立一个虚拟目录指向安装目录，这里拷贝过来主要是为了安全性考虑。

sudo cp –R /usr/share/acidbase/ /var/www/

因为 acidbase 目录下的 base_conf.php 原本是一个符号链接指向 /etc/acidbase/ 下的base_conf.php，为了保证权限可控制，我们要删除这个链接并新建 base_conf.php 文件。

$ rm base_conf.php
$ touch base_conf.php

暂时将 /var/www/acidbase/ 目录权限改为所有人可写，主要是为了配置 acidbase 所用。

$ sudo chmod 757 acidbase/

现在就可以开始配置 acid-base 了，在浏览器地址栏中输入 http://localhost/acidbase，就会转入安装界面，然后就点击 continue 一步步地进行安装：

选择语言为 english，adodb 的路径为：/usr/share/php/adodb；选择数据库为 MySQL，数据库名为 snort，数据库主机为 localhost，数据库用户名为 snort 的口令为 snort-db；设置 acidbase 系统管理员用户名和口令，设置系统管理员用户名为 admin，口令为 test。然后一路继续下去，就能安装完成了。

安装完成后就可以进入登录界面，输入用户名和口令，进入 acidbase 系统。

这里需要将 acidbase 目录的权限改回去以确保安全性，然后在后台启动 snort，就表明 snort 入侵检测系统的安装完成并正常启动了：

$ sudo chmod 775 acidbase/
$ sudo snort -c /etc/snort/snort.conf -i eth0 –D

[检查入侵检测系统工作状况，更改入侵检测规则]

正常情况下在一个不安全的网络中，登录 acidbase 后一会儿就能发现网络攻击。如果没有发现网络攻击，可以添加更严格的规则使得正常的网络连接也可能被报攻击，以测试 Snort IDS 的工作正确性，比如在 /etc/snort/rules/web-misc.rules 的最后添加下面的话：

$ sudo vi /etc/snort/rules/web-misc.rules
alert tcp any :1024 -> $HTTP_SERVER 500:

这一行的意思是：对从任何地址小于 1024 端口向本机 500 以上端口发送的 tcp 数据包都报警。杀死 Snort 的后台进程并重新启动，就应该能检测到正常的包也被当作攻击了。

$ sudo kill `pgrep snort`
$ sudo snort –c /etc/snort/snort.conf –i eth0 -D

3. 总结

使用 Ubuntu 部署 Snort 入侵检测系统和网页控制台是相当容易的，因为 Ubuntu 提供了很方便的软件包安装功能，只是有时候定制性能太差，需要用户手动去寻找软件包的安装位置。

4. 参考文章

http://www.howtoforge.com/intrusion-detection-with-snort-mysql-apache2-on-ubuntu-7.10

© admin for DalianSky's Blog, 2008. | Permalink | 5 comments | Add to del.icio.us
Post tags:

Feed enhanced by Better Feed from Ozh

© admin for DalianSky's Blog, 2008. | Permalink | 1354 comments | Add to del.icio.us
Post tags:

Feed enhanced by Better Feed from Ozh

图1：修改安装的目录

安装的时候只选前2项就可以了，后面的2个是说明和在线帮助文件。(见图2)

图2：安装时候只需要选择前2项

下图是生成的开始菜单组里的文件夹的名字，建议更改成比较不像SERV－U的名字，或者是删除该文件夹。(见图3)

图3：更改安装后生成开始菜单组里文件夹的名字

安装完成后会出现一个向导让你建立一个域和账号。在这里点Cancel取消向导。用向导生成的账号会带来一些问题，所以下面采用手工方式建立域和账号。(见图4)

图4：点Cancel取消向导

然后点选Start automatically(system service)前面的选项，接着点下边的Start Server按钮把SERV－U加入系统服务，这样就可以随系统启动了，不用每次都手工启动。(见图5)

接下来就会出现如图6的界面。通过点击Set/Change Password设置一个密码。

图6：点击Set/Change Password设置密码

然后会出现如图7的界面。因为是第一次使用，所以是没有密码的，也就是说原来的密码为空。不用在 old password里输入字符，直接在下面的New password和Repeat new password里输入同样的密码再点OK就可以了。这里建议设置一个足够复杂的密码，以防止别人暴力破解。自己记不得也没有关系，只要把 ServUDaemon.ini里的LocalSetupPassword=这一行清除并保存，再次运行ServUAdmin.exe就不会提示你输入密 码登录了。

下面就到了该对SERV－U进行安全设置的时候了。首先建立一个WINDOWS账号SSERVU，密码也需要足够的复杂。密码要记住，如果记不住就暂时保存在一个文件里，一会儿还要用到。(见图8)

建好账号以后，双击建好的用户编辑用户属性，从“隶属于”里删除USERS组。

图9：从隶属于里删除USERS组

从“终端服务配置文件”选项里取消“允许登录到终端服务器（W）”的选择，然后点击确定继续我们的设置。（见图10）

图10：取消“允许登录到终端服务器”

这里我们已经建好了账号，该设置服务里的账号了。现在就要用到刚才建立的这个账号，密码还没有忘记吧，马上就要用到了。
在开始菜单的管理工具里找到“服务”点击打开。在“Serv-U FTP Server服务”上点右键，选择属性继续。
然后点击“登录”进入登录账号选择界面。选择刚才建立的系统账号名，并在下面重复输入2次该账号的密码（就是刚才让你记住的那个），然后点“应用”，再次点确定，完成服务的设置。（见图11）

图11：更改启动和登录SRV－U的账号密码

接下来要先使用FTP管理工具建立一个域，再建立一个账号，建好后选择保存在注册表。（见图12）

图12：FTP用户密码保存到注册表里

打开注册表来测试相应的权限，否则SERV－U是没办法启动的。在开始－＞运行里输入regedt32点“确定”继续。
找 到[HKEY_LOCAL_MACHINE/SOFTWARE/Cat Soft]分支。在上面点右键，选择权限，然后点高级，取消允许父项的继承权限传播到该对象和所有子对象，包括那些在此明确定义的项目，点击“应用”继 续，接着删除所有的账号。再次点击“确定”按钮继续。这时会弹出对话框显示“您拒绝了所有用户访问Cat Soft。没有人能访问 Cat Soft，而且只有所有者才能更改权限。您要继续吗？”，点击“是”继续。接着点击添加按钮增加我们建立的SSERVU账号到该子键的权限列表里，并给予完全控制权限。到这里注册表已经设置完了。但还不能重新启动SERV－U，因为安装目录还没设置。
现在就来设置一下，只保留你的管理账号和SSERVU账号，并给予除了完全控制外的所有权限。（见图13）

图13：SERV－U安装目录权限设置

现在，在服务里重启Serv-U FTP Server服务就可以正常启动了。当然，到这里还没有完全设置完，你的FTP用户因为没有权限还是登录不了的，所以还要设置一下目录的权限。
假 设你有一个WEB目录，路径是d:/web。那么在这个目录的“安全设定”里除了管理员和IIS用户都删除掉，再加入SSERVU账号，切记SYSTEM 账号也删除掉。为什么要这样设置呢？因为现在已经是用SSERVU账号启动的SERV－U，而不是用SYSTEM权限启动的了，所以访问目录不再是用 SYSTEM而是用SSERVU，此时SYSTEM已经没有用了，这样就算真的溢出也不可能得到SYSTEM权限。另外，WEB目录所在盘的根目录还要设 置允许SSERV－U账号的浏览和读取权限，并确认在高级里设置只有该文件夹。（见图14）

图14：WEB目录所在盘的权限设置

至此，设置全部结束。现在的SERV－U设置是配合IIS设置的，因为和IIS使用不同的账号， WEB用户就不可能访问SERV－U的目录，并且WEB目录没有给予SYSTEM权限，所以SYSTEM账号也同样访问不了WEB目录，也就是说，即使使用MSSQL得到备份的权限也不能备份SHELL到你的WEB目录。你可以安全的使用SERV－U了。

© admin for DalianSky's Blog, 2008. | Permalink | 5 comments | Add to del.icio.us
Post tags: serv-u ftp server 安全 教程

Feed enhanced by Better Feed from Ozh