TQN wrote:

Không chắc, có thể máy của cậu protectHat dính virus thì sao ? 

Em có thử cả với máy win và 1 máy Ubuntu rồi mới hỏi mà anh? Tại vì sợ lỡ như mạng bị dính virus mà nó chèn cái iframe lên đầu trang như vậy mà báo cho bên tuổi trẻ thì phiền nên em mới hỏi mọi người PS: Hôm nay vào lại đúng là đã được gỡ ra 

Dear anh, - Em đã restart zimbra rùi, khi có syslog-ng thì trong /var/log/zimbra.log ( MTA,spamfilter...)không có thông tin gì cả. Các log khác của zimbra vẫn bình thường -Các log về sshd, cron,kernel vẫn bình thường. - Trước mắt em chỉ cần thu thập các critical log để phục vụ vu PCI DSS :)  

Theo anh biết thì 1 số service của zimbra ko support syslog mà chỉ lưu file như các log Pop3SSLServer, Pop3Server, btpool0... nên syslog hay syslog-ng đều ko thể nhận được log này. Còn các service khác của zimbra như postfix, amavis thì có hỗ trợ. 

source d_log_files { file("/path/to/abc.log follow_freq(2) flags(no-parse)); }; };  

- So với nhu cầu đổ log về server log, việc cấu hình syslog-ng cho các service của zimbra hơi bị nhiêu khê và gặp nhiều trở ngại. Em đã remove syslog-ng và install lại sysklogd - Hiện nay em muốn lấy các thông tin dưới đây để đổ vể log server, vậy syslog.conf có đáp ứng được hết không anh, cấu hình như thế nào để đáp ứng điều này ah? Successful user login “Accepted password”, “Accepted publickey”,"session opened” Failed user login “authentication failure”, “failed password” User log-off “session closed” User account change or deletion “password changed”,“new user”,“delete user” Sudo actions “sudo: … COMMAND=…” “FAILED su” Service failure “failed” or “failure”  

Hi all ! Cho mình hỏi ngoài splunk hay lucene-solr thì có những sản phẩm nào tương tự ? Bao gồm phần mềm thương mại và cả mã nguồn mở 

Chào mọi người, Mình đang tìm một cái web-based open source đáp ứng được các nhu cầu: - quản lý các server: IP, phiên bản hệ điều hành, CPU, RAM, ... - quản lý các dịch vụ trên mỗi server: server nào chạy dịch vụ gì, mô tả về các dịch vụ đó, sự phụ thuộc giữa một dịch vụ chạy trên server A với một dịch vụ chạy trên server B, ... - phân quyền cho phép developer thêm các dịch vụ (tự viết) vào và tự động gửi mail cho nhóm sysadmin biết (kiểu như request tracker) Mình đã thử mấy cái như: OCSInventory, otrs, kwoksys, ... nhưng không đáp ứng được yêu cầu. Ai biết cái nào khác chỉ giúp mình với nhé. Cảm ơn. 

Bà con tham gia xôm tụ quá :P . Vẫn chưa thấy ai đề cập đến khía cạnh "risk" ở chỗ HVA forum vẫn còn tồn tại nhưng lại... chết vì nó chẳng còn giá trị và ích lợi gì cả. Cái risk này có không? và để "mitigate" nó thì cần làm gì? 

có ai giải thích được ko? :D 

nó tunnel qua ssh thì chặn thế nào được ? :D 

- Từ *đầu vào* là 10.000 IP DDoS, (sau một loạt biện pháp nghiệp vụ), đùng một cái đưa ra ngay chính sách và chạy script để lấy những IP có tần suất là 100 request/s (con số thực sự rất lớn - IMHO - ngay cả trong tâm bão). Nên mình nghĩ là trong quá trình này phải có một loạt các động tác thì mới đạt được kết quả như ý, và con số 100 req/s sẽ phải thay đổi liên tục và liên tục được làm mịn thì mức độ hiệu quả mới thật sự cao. - Như trên mình đã nói, nếu chỉ giải quyết như vậy thì mình nghĩ biểu đồ nó sẽ tương tự như thế này, vì việc làm của mình là offline chứ không phải online và tần suất chạy cronjob (như mrro nói) cũng không dày.

 

Về mặt kỹ thuật, chúng tôi đã cài đặt sẵn các biện pháp kiểm soát tự động trên hệ thống giám sát an ninh mạng, nên các chuyên gia của tôi chỉ phải theo dõi vụ tấn công xem có diễn tiến gì bất thường hay không mà không phải thực hiện thêm bất kỳ thao tác nào. ... 

Thái cho hỏi là syslog/udp, có giải phảp syslog/tcp nào không? Theo như tui hiểu, điều cốt lõi trong mô hình của mrro là log central và analyzer. Analyzer server sẽ tiến hành kết nối vào log central, phân tích, tổng hợp, đưa ra IPs có hơn 100 request/s rồi đưa ngược trở lại vào iptables để ngăn chặn. Những IP này có thể được unblock theo thời gian định trước. Bài giới thiệu của mrro có phần hơi chung chung quá, mrro có thể giới thiệu kỹ hơn về server offline analyze kia không? Cụ thể là, chặn ở tầng network và application như thế nào? Có còn chặn ở tầng nào khác hay không? Ngoài ra, như ý tui đã nói ở phần trước, nếu 1 net cafe vài trăm users đang sử dụng. 1 user DoS site khách hàng, IP của net cafe đó sẽ được đưa vào blocked IP. Vậy tất cả các người dùng khác đều không thể truy cập được?