Roo是著名开源安全项目honeynet开发的一套蜜罐系统,我们可以通过部署roo,模拟存在漏洞的蜜罐,来捕获可能的******,结合sebek,可以帮助我们学习***的***模式。
 
关于roo的部署过程,本文不做介绍,详情请见附件。
 
本文会陆续添加对Roo的学习心得,重点在与大家分享并探讨蜜罐技术在企业安全中的应用前景。
 
Roo本身包含了snort的***检测模块,安全管理员日常可重点关注此类报警,报警信息会实时更新在web管理页面上,但实际工作中,安全管理员无法花太多的精力去关注页面的动态更新,那我们可以通过以下脚本,来配置报警通知邮件:
#! /bin/sh
path="/root/snort_report"
cat /var/lib/hflow/snort/snort_full > /root/snort_full
diff /var/lib/hflow/snort/snort_full /root/snrot_full > /root/snort_report
if [ -s $path ]; then
mail -s Snort_Alert [email]root@localhost.loca[/email]ldomain < /root/snort_report
fi
之后再通过写crontab即可完成邮件的报警监控。

如果公司有可以支持的开发资源,也可以通过采集roo的数据库做一些更高级的应用:
Roo数据库连接配置:
首先要开启3306端口:修改/etc/hflow/my.cnf,把文件里面的skip-networking注释掉,然后重新启动MYSQL。
是用netstat -an | grep 3306命令查看3306端口是否打开。
mysql -uroo -p
MYSQL>grant all privileges on *.* to roo@192.168.1.5’ identified by ’honey’;
经过上面赋予权限,允许192.168.1.5这个用户以roo帐户,honey这个密码进行登陆~!
 
NTP 时间设置问题:
安装完系统发现时间与现实时间相差+ 8 小时,经分析由以下产生。
我们在安装时选择的是上海,而 centos5 bios 时间认为是 utc 时间,所以+ 8 小时给我们。这个时候的 bios 的时间和软件的时间是不一致的。一个代表 utc  一个代表我们设置的 cst (+ 8 时区)。
<?xml:namespace prefix = o ns = "urn:schemas-microsoft-com:office:office" />

 

1.  运行 tzselect 指令选择市区: shanghai
2.  复制相应的时区文件,替换系统默认时区: cp /usr/share/zoneinfo/Asia/Shanghai /etc/localtime
3.  执行 ntpdate 192.168.1.26 AD 同步
4.  设置硬件时间和软件时间的一致并校准 /sbin/hwclock --systohc

 

允许使用外部的 NTP 服务器
net time /querysntp
设定要同步 NTP 服务器
net time /setsntp:ntpserverIP
停止 windows2000 的时间服务
net stop w32time
重启 windows2000 的时间服务,使 NTP 设置生效
net start w32time
要禁止使用外部的 NTP 服务器可以使用如下 windows 命令
net time /setsntp