Roo是著名开源安全项目honeynet开发的一套蜜罐系统,我们可以通过部署roo,模拟存在漏洞的蜜罐,来捕获可能的******,结合sebek,可以帮助我们学习***的***模式。
 
关于roo的部署过程,本文不做介绍,详情请见附件。
 
本文会陆续添加对Roo的学习心得,重点在与大家分享并探讨蜜罐技术在企业安全中的应用前景。
 
Roo本身包含了snort的***检测模块,安全管理员日常可重点关注此类报警,报警信息会实时更新在web管理页面上,但实际工作中,安全管理员无法花太多的精力去关注页面的动态更新,那我们可以通过以下脚本,来配置报警通知邮件:
#! /bin/sh
path="/root/snort_report"
cat /var/lib/hflow/snort/snort_full > /root/snort_full
diff /var/lib/hflow/snort/snort_full /root/snrot_full > /root/snort_report
if [ -s $path ]; then
mail -s Snort_Alert [email]root@localhost.loca[/email]ldomain < /root/snort_report
fi
之后再通过写crontab即可完成邮件的报警监控。

如果公司有可以支持的开发资源,也可以通过采集roo的数据库做一些更高级的应用:
Roo数据库连接配置:
首先要开启3306端口:修改/etc/hflow/my.cnf,把文件里面的skip-networking注释掉,然后重新启动MYSQL。
是用netstat -an | grep 3306命令查看3306端口是否打开。
mysql -uroo -p
MYSQL>grant all privileges on *.* to roo@192.168.1.5’ identified by ’honey’;
经过上面赋予权限,允许192.168.1.5这个用户以roo帐户,honey这个密码进行登陆~!
 
NTP时间设置问题:
安装完系统发现时间与现实时间相差+8小时,经分析由以下产生。
我们在安装时选择的是上海,而centos5bios时间认为是utc时间,所以+8小时给我们。这个时候的bios的时间和软件的时间是不一致的。一个代表 utc 一个代表我们设置的cst(+8时区)。
 
1. 运行tzselect指令选择市区:shanghai
2. 复制相应的时区文件,替换系统默认时区:cp /usr/share/zoneinfo/Asia/Shanghai /etc/localtime
3. 执行 ntpdate 192.168.1.26 AD同步
4. 设置硬件时间和软件时间的一致并校准 /sbin/hwclock --systohc
 
允许使用外部的NTP服务器
net time /querysntp
设定要同步NTP服务器
net time /setsntp:ntpserverIP
停止windows2000的时间服务
net stop w32time
重启windows2000的时间服务,使NTP设置生效
net start w32time
要禁止使用外部的NTP服务器可以使用如下windows命令
net time /setsntp