Suricata is an open source network threat detection engine that provides capabilities including intrusion detection (IDS), intrusion prevention (IPS) and network security monitoring. It does extremely well with deep packet inspection and pattern matching which makes it incredibly useful for threat and attack detection.
В сети много примеров, как это делать, но зачастую они устаревшие. И так, буду приводить рабочие конфигурации в порядке убывая версий (от новой к старой).
if ($programname contains "spamd") then {
action(type="omfile" file="/var/log/mail.log")
stop
}
CSI Linux Investigator представляет собой сборку линукс-дистрибутивов, базирующихся на операционной системе Ubuntu, с предустановлеными пакетами специализированного программного обеспечения. Распространяется сборка в виде OVA-файла, который без проблем импортируется в Oracle VM Virtual Box.
Взято с https://habr.com
Расскажу об одной, на первый взгляд, странной проблеме. Основная проблема: после обновления с 10 на 11 через некоторое время интерфейс теряет адрес, полученный через DHCP. Откатываешься (это виртуальная машина, поэтому через snapshot’ы такое легко провернуть) обратно на 10-ку – всё работает. Важный момент: такое наблюдается только с серверами у которых DHCP. Так же, на всех серверах (как статических, так и с DHCP) присутствует и другая проблема: после перезагрузки, сервер отвечает на icmp, но ровно 5 минут недоступны вообще никакие сервисы: ssh, http,…
В данной статье расскажу о повышении отказоустойчивости работы почты в случае проблем с антивирусом и антиспамом. Содержание будет разбито на 2 части: как использовать несколько экземпляров и как сделать by pass, если так случилось, что все экземпляры недоступны.
Помниться шутка ещё из fido:
Q: У FreeBSD есть 3 файервола, какой использовать?
A: Правильно настроенный.
На одном из серверов FreeBSD перестал запускаться ntpd. То есть, работал и в один момент перестал. Причиной стал простой reboot сервера, без изменений конфига. Странно, но нужно разобраться. Начинаем стандартно: ldd, truss, дефолтный конфиг, дефолтные опции, включение debug’a в ntp и никакого намёка на проблему. Усложняет тот факт, что есть другой сервер с такими же настройками и такой же версией ОС и там всё работает. Остаётся один вариант – дебаггер gdb.
Раньше приходилось заново копировать после каждого обрыва. Но потом придумали механизм, основанный на bookmark’ах, который позволяет продолжить копирование с места разрыва.
Сразу скажу, код не мой, а нашёл его в рассылке nginx.ru, но что бы не потерять, оформил в виде заметки
Данный код использует lua и матчит header по слову Foo
content_by_lua_block {
local h = ngx.req.get_headers()
for k, v in pairs(h) do
if k == k:match("([%w].Foo.*)") then
ngx.header[k] = v
end
end
ngx.say('headers with Foo are captured');
}
Вводные данные: 2 сервера Linux связаны между собой через OpenVPN туннель. Нужно для части клиентов за одним из концов VPN’a завернуть весь трафик в туннель, то есть, что бы они выходили в интернет не через свой GW, а через удалённый GW, пройдя через VPN.
UPD. В данной схеме есть нюанс: она будет работать, если клиентские машины находятся за хостом, который является OpenVPN-клиентом. В обратном случае, пакеты просто не будут покидать хост, хотя через tcpdump вы их будете видеть. Связано это с особенностями самого OpenVPN’a. Пока не нашёл как это можно решить. Как workaround, можно либо изменить роли клиент-сервер, либо использовать простой туннель или другой тип VPN’a.
