По мере развития технологий, практически во всех сферах жизни активно используются цифровые технологии. Это касается и служб безопасности. Наверняка вы заметили, что сегодня системы видеонаблюдения стоят не только в крупных супермаркетах, но и в небольших офисах и в частных домовладениях. К сожалению, большинство программного обеспечения для них заточено под Windows. Но мы то живем в Linux, а значит нужно найти способ запустить видеонаблюдение под пингвином.
Порывшись в сети я нашел рецепт, предложенный пользователем Linux_man. Он использует для настройки видеонаблюдения программу Motion установленную в дистрибутиве openSUSE 11.4. Ниже я привожу сам рецепт с дополнениями пользователей, уже протестировавших этот рецепт.
Если у вас уже есть рабочая в Linux web-камера, качаем программу Motion. Для пользователей openSUSE x86_64, качаем с href=»ftp://ftp.pbone.net/mirror/ftp5.gwdg.de/pub/opensuse/repositories/home:/poeml/openSUSE_Factory/x86_64/, а для x86_32 с ftp://ftp.pbone.net/mirror/ftp5.gwdg.de/pub/opensuse/repositories/home:/poeml/openSUSE_Factory/i586/.
Теперь для установки потребуется удовлетворить зависимось под названием libmysqlclient15, скачать которую, как для x86_32, так и для x86_64, вы сможете с href=»http://download.opensuse.org/repositories/home:/Floppe/openSUSE_11.4. Также убедитесь, что у вас установлен ffmpeg.
Для пользователей Ubuntu, скачать и установить Motion можете так:
sudo apt-get install motion
Теперь как все установили, идем в терминал и переключаемся на root. Данная программма работает только с правами root.
Далее вводим команду:
motion -n
для запуска ее и она буедт работает в background режиме, — gui у нее нету. Автор рецепта не нашел как ее отключать и решал проблему ребутом. Но добрые люди , подсказали, что, в /etc/default/motion можно поставить значение on в пункте о демоне и выключать, ребутить, стартовать по sudo /etc/init.d/motion start|stop|restart
Когда Motion запущен и работает ваша камера, которая и отслеживает движения в кадре и записывает .jpeg фотографии в:
/usr/local/apache2/htdocs/cam1
Также имеется файл config, для настройки Motion. Лежит он тут:
/etc/motion
Там можно настроить все.
Также присутствует и веб-интерфейс для ослеживания камеры — пишите в браузере: http://localhost:8081/
В данной статье мы рассмотрим актуальные атаки на сетевое оборудование и инструменты, доступные в популярном дистрибутиве Kali Linux для их проведения.
Атакуем CISCO маршрутизатор
В состав Kali Linux входит несколько инструментов, которые можно использовать для аудита оборудования CISCO. Список можно посмотреть в разделе Vulnerability Analysis — Cisco Tools:
CAT -h 192.168.1.209 -w /root/cisco/wordlist/snmpcommunities -a /root/cisco/wordlist/password_list -i
Cisco Global Exploiter или CGE Используется для экслпутации известных уязвимостей. Нам доступно 14 атак:
Пример использования:
cge.pl 192.168.1.201 3
cisco-ocs Инструмент для автоматизации поиска устройств со стандартными значениями пароля для telnet и режима enable, который может искать устройства в диапазоне адресов. Может использоваться при сканировании больших сетей.
Пример использования:
cisco-ocs 192.168.1.207 192.168.1.209
cisco-torch Многофункциональный сканер уязвимостей для оборудования Cisco. Может сканировать несколько IP адресов за раз, подгружая из текстового файла. Запускать cisco-torch в Kali Linux следует, находясь в рабочей директории /usr/share/cisco-torch.
Пример использования:
Поиск доступных интерфейсов и протоколов и определение типа оборудования.
cisco-torch-A 192.168.1.201
Может использоваться для брутфорса паролей и SNMP community-строк.
cisco-torch-s-b 192.168.1.209
Для использования своего словаря, его нужно поместить в /usr/share/cisco-torch вместо файла password.txt
copy-router-config.pl и merge-copy-config.pl Инструменты для загрузки текущей конфигурации маршрутизатора cisco при известной community-строке на свой tftp-сервер. В дальнейшем можно модифицировать конфигурацию и снова загрузить на сервер.
Для автоматизации подобной атаки, где нас интересует только загрузка конфигурации на свой TFTP-сервер лучше воспользоваться модулем Metasploit auxiliary/scanner/snmp/cisco_config_tftp Или NSE скриптом nmap snmp-ios-config.
Атакуем L2 протоколы
Yersinia — многофункциональный инструмент для атак на протоколы L2 (Data Link) уровня OSI. Умеет проводить атаки на DHCP, STP, CDP, DTP, HSRP и другие.
Работать с Yersinia можно в нескольких режимах:
Запуск в режиме сервера и управление при помощи команд, похожих на cisco cli.
yersinia-Dtelnet 127.0.0.1 12000
Логин и пароль root/root
Пароль для перехода в режим enable – tomac
Запуск в интерактивном режиме
yersinia -I
Опции управления доступны по нажатии на клавишу h:
Графический интерфейс GTK
Графический интерфейс может работать нестабильно. В режиме сервера не поддерживает некоторые виды атак, вроде DHCP Rogue server. Так что, основным режимом запуска можно считать интерактивный режим.
Атакуем DHCP сервер
В качестве примера продемонстрируем атаку на переполнение пула IP-адресов DHCP сервера. Данная атака может быть использована для выведения из строя корпоративного DHCP сервера и последующая его замещение поддельным, конфигудрация которого настроена таким образом, что весь трафик новых клиентов будет проходить через хост атакующего. Таким образом будет проведена одна из атак MitM.
На стороне атакующего можно выполнить скрипт nmap для обнаружения DHCP сервера в локальной сети.
nmap -n --script=broadcast-dhcp-discover
Теперь запускаем Yersinia в интерактивном режиме и переходим в режим DHCP выбрав его нажатием клавиши g.
Теперь в этом режиме будут видны все DHCP пакеты, полученные Yersinia. Проверим список выданных адресов DHCP сервера до атаки:
Yersinia показывает DHCP пакеты, выловленные из сети:
Если выбрать пакет и нажать сочетание клавиш Shift+L то можно затем при помощи атаки RAW пересылать этот пакет в сеть, или модифицировать его при помощи нажатия клавиши e – переход в режим редактирования пакета.
При нажатии на клавишу x получаем список доступных атак:
Выбираем 1
Видим, что начинает отправлять огромное количество DHCP Discover запросов:
Через некоторое время можно остановить атаку нажатием на клавиши L и затем Enter:
Nmap больше не показывает доступных DHCP серверов в сети. Коропоративный DHCP сервер выведен из строя.
Проверим таблицу выданных IP-адресов на роутере:
Далее вы можете запустить атаку Rogue DHCP в Yersinia, либо при помощи модуля Metasploit или любым другим способом, чтобы провести MitM атаку.
Атаку на истощение пула IP адресов DHCP сервера можно так же провести при помощи инструмента DHCPig. При помощи Yersinia можно проводить атаки и на другие популярные протоколы, такие как STP (Spanning Tree Protocol) и HSRP (Hot Standby Router Protocol), которые так же позволят вам прослушивать трафик в сети.
Атака на переполнение CAM таблицы коммутатора.
Еще одна атака, которая переполняет CAM таблицу коммутатора, хранящую список MAC адресов, работающих на определенном порту. Некоторые коммутаторы при ее переполнении начинают работать как хабы, рассылая пакеты на все порты, тем самым создавая идеальные условия для проведения атак класса MitM.
В Kali Linux для проведения данной атаки присутствует инструмент macof
Пример использования:
macof -i eth0
Где eth0 – интерфейс, к которому подключен коммутатор для атаки.
Защита
Для защиты от подобного рода атак производителями используются различные, обычно проприетарные, технологии. На коммутаторах Cisco следует активировать DHCP Snooping и PortSecutiy во избежание атак на протокол DHCP и CAM Overflow. Для защиты от атак на HSRP и прочие протоколы используются другие технологии. Всегда нужно помнить, что дорогостоящее сетевое оборудование после правильной настройки может существенно повысить безопасность сетевой инфраструктуры, в то же время недонастроенное или настроенное неправильно может само стать инструментом в руках злоумышленника и угрозой безопасности. Выявление уязвимостей сетевого оборудования при проведении тестирования на проникновение и применение рекомендаций по результатам аудита помогает снизить риски взлома информационной системы злоумышленниками.
Автоматическое создвание и управление виртуальными машинами играет важную роль для любой компании, предоставляющей услуги VPS. Если вы управляете большим количеством витруальных машин, не всегда лучшим инструментом для этого является командная строка, так как выполнение опеределенных задач может занять длительное время. Для упрощения выполнения рутинных задач администраторов серверов и пользователя разные компании разрабатывают панели управления для виртуальных машин.
Панель управления позволяет выполнять любые операции в несколько кликов мыши. С ее помощью вы сможете сэкономить время. Однако все не так просто. В последнее время самым популярным решением для малого и среднего бизнеса является SolusVM, для больших организаций - VMware. Оба продукта коммерческие и достаточно дорогие. Они предлагают большое количество функций, однако многим небольшим компаниям и стартапам такие продукты могут оказаться просто не по карману.
Как не потеряться среди большого количества предлагаемых решений? мы хотим помочь пользователям и в этой статье описываем различные панели управления виртуальными машинами, как коммерческие, так и с открытым исходным кодом. Надеемся, что на основе данной информации вы сможете подобрать продукт, соответствующий вашим требованиям.
1. SolusVM – Solus Virtual Manager
Solus Virtual Manager (SolusVM) - одно из самых популяпрных коммерческих решений по управлению виртуальными машинами. Обеспечивает полную поддержку OpenVZ, Linux KVM, XEN Paravirtualization и XEN HVM. SolusVM имеет дружественный к пользователю интерфейс, позволяющий легко управлять кластером VPS.
VMware vSphere - это лидирующая в мировом масштабе платформа серверной виртуализации для построения облачной инфраструктуры. Обладая мощной функциональностью, vSphere на сегодняшний день является образцовым программным решением для управления виртуальными машинами. Это идеальное решение для больших провайдеров VPS с соответствующими бюджетами и персоналом.
Коммерческая панель управления для Linux с полной поддержкой виртуализации KVM и OpenVZ. VMmanager предлагает инструменты для создания виртуальных машин, обеспечения хостинга VPS и построения облачной инфраструктуры. В случае, если вы только начинаете свое дело, или вам не нужны большие объемы памяти, вы можете использовать бесплатную версию, которая позволяет создавать 2 виртуальные машины, 5 нодов, и задействовать 16 Гб оперативной памяти.
Proxmox Virtual Environment - это простая в использовании платформа виртуализации с открытым исходным кодом для запуска виртуальных машин. Программа сама по себе бесплатна, но сервисы поддержки (даже доступ к форуму сообщества) предоставляются на коммерческой основе и стоят до 66 евро в месяц.
Virtkick - это коммерческое решение "все в одном", сочетающее в себе биллинговую систему и инструменты управления виртуальными машинами. Графический интерфейс минималистичный и простой в использовании даже для клиентов VPS. Разработчики Virtkick позиционируют его как идеальное решение для небольших дата-центров или игровых серверов.
Sadeem имеет простой и элегантный дизайн, и достаточно сильно похожа на Virtkick. Основное отличие ее в том, что она предназначена для облачных провайдеров. Однако Sadeem также включает встроенную систему поддержки и биллинговую платформу.
Archipel - это решение с открытым исходным кодом для управления виртуальными машинами. С ее помощью вы можете управлять несколькми локальными виртуальными машинами, или тысячами VPS в различных дата-центрах. Archipel поддерживает KVM, Xen, OpenVZ и VMWare, и способна выполнять все их базовые команды.
Virtualizor - это коммерческая панель управления VPS от разработчиков Softaculous. Она поддерживает OVZ, KVM и Xen: PV/HVM/Server. Администраторы VPS и средние пользователи с ее помощью могут легко управлять виртуальными машинами.
XO - это мощный и интуитивно понятный коммерческий веб-интерфейс, который создан специально для управления инфраструктурой XenServer (или Xen+XAPI) (виртуальные машины, серверы, пулы и т.д.).
В статьях по приведенным ниже ссылкам можно более подробно ознакомиться с возможностями веб-интерфейса и его установкой.
Feathur - это панель с открытым исходным кодом, написанная на PHP. Инсталлятор Feathur создает сервер Nginx на базе Linux, систему PHP и MySQL (LEMP) со встроенной PHP MyAdmin и управлением VPS посредством SSH-соединений.
11. WebVirtMgr – консоль управления виртуальными машинами
WebVirtMgr - это решение с открытым исходным кодом на базе libvirt для управления виртуальными машинами. Она позволяет пользователям управлять доменами и их ресурсами. VNC-вьювер через туннель SSH предоставляет графическую консоль для гостевого домена. На сегодняшний день гипервизор поддерживает только виртуализацию KVM.
OpenNode Cloud Platform - это сервер виртуализации и панель управления с открытым исходным кодом для правительственных организаций. Она предоставляет простые и хорошо настраиваемые инструменты для создания приватных или гибридных облачных сервисов.
GNOME3 была разработана с целью быть простой, легкой в доступе и надежной. Популярность GNOME подтверждает, что эта цель не забыта.
В конце прошлого года обновление Fedora 25 привело к проблемам в работе с KDE Plasma, что доставило мне не мало неприятностей. Поэтому у меня появилось две причины попробовать иные среды рабочего стола для Linux. Во-первых, мне надо было сделать свою работу. Во-вторых, мне показалось интересным попробовать что-то новенькое, так как, я на протяжении уже многих лет пользуюсь исключительно KDE.
Для того чтобы набрать материал для статьи я пользовался GNOME в течение пары недель.
Как практически все в киберпространстве, GNOME - это акроним, который обозначает GNU Network Object Model. GNOME3 был разработан с целью быть простым, легким в доступе и надежным. Популярность GNOME подтверждает, что цель не забыта.
GNOME3 полезен в ситуациях, когда нужно получить от экрана как можно больше пространства. В общем, это когда есть два экрана с большим разрешением, и нужно, чтобы виджетами, панелями и иконками для запуска чего-либо, было занято минимум пространства. Проект GNOME следует Human Interface Guidelines (HIG. Рекомендации к построению пользовательского интерфейса), которая используется для того, чтобы определить философию использования компьютера человеком.
Мои 11 причин использовать GNOME3
1.Выбор: GNOME доступен во многих формах на ряде дистрибутивов типа моей любимой Fedora. Варианты начала сеанса: GNOME Classic, GNOME on Xorg, GNOME, and GNOME (Wayland). По факту при запуске все они выглядят схоже, но используют разные X сервера или сделаны с помощью разных инструментариев. Wayland предоставляет больше функционала для небольших деталей рабочего стола типа динамической прокрутки, drag-and-drop, и вставки с помощью средней кнопки мыши.
2.Туториалы для начинающих: когда вы впервые заходите на рабочий стол, отображается инструкция для начинающих. Она рассказывает о том, как выполнять обычные задачи и дает ссылку на более подробную информацию по вопросу. После отключения туториал легко находится, так что в него можно войти в любой момент. Он легкий, прямолинейный и дает пользователям, впервые попавшим в GNOME, понять с чего начинать. Для того чтобы зайти в туториал еще раз, нажмите на Activities (операции), затем на квадрат из девяти точек, который отображает приложения. Далее кликните на иконку спасательного жилета с надписью Help (помощь).
3.Чистый рабочий стол: GNOME, с минималистичным дизайном и без лишней захламленности, был спроектирован предоставить лишь минимум необходимого для функционального окружения. Вы можете заметить, что верхняя панель и все остальное скрыты пока вам они не понадобятся. Все это для того чтобы пользователь мог сфокусироваться на задаче; для минимизации на рабочем столе того, что может отвлечь.
4.Верхняя панель: практически все за что бы вы ни взялись начинается с верхней панели. Вы можете запускать приложения, выходит из учетной записи, отключать систему, запускать или останавливать сеть, и т.д. Это упрощает любое дело. Помимо основного приложения на рабочем столе обычно всегда есть верхняя панель.
5.Dash: dash, как показано ниже, содержат по умолчанию три иконки. Как только вы начинаете использовать приложения, они начинают добавляться в dash, так как там отображаются самые используемые из них. Также вы можете сами добавлять что-либо в dash из application viewer (обзор приложений).
6.Обзор приложений: мне действительно нравится обзор приложений, к которому есть доступ из вертикальной панели на левой стороне рабочего стола GNOME (смотреть картинку ниже). Рабочий стол GNOME обычно пуст до момента запуска ПО, так что надо будет нажать на Activities (операции) на верхней панели, затем на квадрат из девяти точек в нижней части dash, который и откроет обзор.
Обзор представляет собой матрицу из иконок установленных приложений. Под матрицей есть две особые кнопки Frequent (часто используемые) и All (все). Нажмите на Fequent и вам будут показаны только те приложения, которые вы чаще всего используете. Используйте прокрутку для нахождения нужного приложения. Приложения располагаются в алфавитном порядке.
Больше информации об обзоре приложений вы можете найти на сайте GNOME и во встроенном помощнике.
7.Оповещения приложений: вверху экрана в GNOME есть удобные оповещения о новых открытых окнах приложений. Для перехода к нужному окну просто нажмите на соответствующее оповещение. Это действительно позволяет получить дополнительное время, которое в ином случае было бы затрачено на поиск только что открытых приложений, что случается на некоторых других рабочих столах.
8.Показ приложений: для того чтобы получить доступ ко всем запущенным приложениям, не доступным глазу, надо нажать на меню активности. Это отобразит на рабочем столе в виде матрицы все запущенные приложения. Для того чтобы вывести приложение на передний план нажмите на него. Хотя текущее приложение отображено в верхней панели, остальных приложений вы там не увидите.
9.Минимум оформления окон: открытые окна рабочего стола выглядят очень просто. Единственная кнопка в заголовке окна эта "Х", и она предназначена для закрытия окна. Иные функции типа сворачивания, разворачивания, перевода на другой рабочий стол и т.д. доступны по нажатию правой кнопкой мыши на заголовке.
10.Новые среды рабочего стола создаются автоматически: следующий рабочий стол создается автоматически, если предыдущий занят. Это значит что под ваши нужды всегда будет один свободный рабочий стол. На всех других рабочих столах, которыми мне приходилось пользоваться, можно было также настраивать количество рабочих столов, в то время как один был активен, но это нужно было делать в ручную через настройки системы.
11.Совместимость: приложения, созданные на иных рабочих столах, корректно работают на GNOME, как и в других рабочих средах. Эта особенность позволила мне протестировать все рабочие столы, после чего я смог написать о них.
Итог
GNOME не похож на что-либо, что я использовал ранее. "Простота" - это его главная цель. Все остальное отходит на второй план. Если начать разбираться с туториала, то понять как пользоваться GNOME можно за очень короткий срок. Это не значит что GNOME ущербен. Он мощен и гибок, и эти отличительные черты с ним уже очень давно.
Устанавливаем в виртуальную машину Ubuntu Server Запускаем виртуальную машину. Выбираем пункт Подключить образ диска Дополнений гостевой ОС… в меню Устройства окна виртуальной машины:
Соглашаемся на автоматическое скачивание образа с сервера VirtualBox.
После окончания процесса скачивания, входим в виртуальную машину и выполняем от пользователя root: apt-get install build-essential
mount /dev/cdrom /media/cdrom/
Проверяем, что диск примонтировался ( ответ команды должен быть не пустой ): ls -l /media/cdrom/
После окончания процесса выключаем виртуальную машину: shutdown -h now
В окне VirtualBox щёлкаем правой клавишей мышки на нужной виртуальной машине и выбираем пункт Настроить… или просто нажимаем на клавиатуре Ctrl+S ( ^+S ) после выбора нужной виртуальной машины из списка щелчком левой клавиши мышки.
Выбираем раздел Общие папки и щёлкаем на кнопку с иконкой папки и плюса в правой части окна. Настраиваем путь к директории на host-машине ( поле Путь к папке ), а так же Alias ( поле Имя папки ), который будет передан в виртуальную машину ( автоматическое подключение работать не будет, так что его можно не выбирать ): Сохраняем настройки, щёлкнув в обеих окнах на кнопку OK.
Включаем виртуальную машину и проходим аутентификацию. Выполняем (от root): mkdir /home/developer/mount
chown developer:developer /home/developer/mount
mount -t vboxsf mount /home/developer/mount # В этой команде после vboxsf идёт Alias, заданный в настройках в предыдущем пункте
Уже давно не секрет что пользователи мобильных телефонов «лакомый кусочёк» для киберпреступников. Раньше телефон использовался только для осуществления звонков и отправки СМС. Сейчас с его помощью люди могут управлять счетом в банке или электронным кошельком. Поэтому получив доступ к чужому телефону равно тоже самое что получить доступ к счетам пользователя. Также у злоумышленников могут быть мотивы к доступу к личным данным самого пользователя, либо к самому телефону как к элементу какой-нибудь системы вроде ботнета.
С такими целями преступники создают новые программы и эксплоиты, функция которых это взлом защиты телефона. По мнению специалистов из IT компаний появление новых зловредов для Android имеет частоту 5 программ в минуту. С такой интенсивностью количество malware программ может достичь до 3,5 миллионов.
По мнению экспертов в отрасли кибербезопасности наибольшей уязвимости подвергаются устройства которые не получают регулярных обновлений. Хотя и постоянные обновления также не гарантирует полную безопасность, но шансы что устройство не взломают возрастают во много раз. Если не обновлять телефон то он останется на той версии ОС, уязвимости которой хорошо известны киберпреступникам. Конечно же, эти уязвимости очень активно используются.
Интенсивность роста количества зловредов для Android просто невероятная. В 2015 году было обнаружено примерно 2,3 миллионов зараженных приложений. Годом позже — 3,2 миллиона. В этом году , как уже упоминалось ранее, это число может возрасти до 3,5 миллионов или больше.
Эксперты с G Data считают что чаще всего злоумышленники пользуются уязвимостями Android Lollipop и Marshmallow. Именно для этих версий используется треть всего мобильного malware.
Так выглядит процентное соотношение зловредов для разных версий Android (также стоит упомянуть, что некоторые из них имеют свойство вредить не одной, а нескольким ОС):
Gingerbread (2.3 – 2.3.7): 0.9%;
Ice Cream Sandwich (4.0.3 – 4.0.4): 0.9%;
Jelly Bean (4.1.x – 4.3): 10.1%;
KitKat (4.4): 20.0%;
Lollipop (5.0 – 5.1): 32.0%;
Marshmallow (6.0): 31.2%;
Nougat (7.0 – 7.1): 4.9%.
Если учесть тот факт, что 90% мобильных телефонов работают на ОС Android, то становится понятным почему злоумышленники выбирают именно эту ОС. Эти данные были подсчитаны в конце прошлого года.
В сравнении с другими ОС Android получил 87,5% рынка мобильных устройств и продолжает удерживать свои позиции. За 3 квартал прошлого года было продано 328 миллионов устройств на Android. В то же время компания Apple от грузила примерно 45 миллионов своих Iphone-нов, уменьшив свой показатель около 5,2% за год. Но сейчас Iphone 7 продаются хорошо, то ситуация показатели для Apple возросли.
Конечно, если бы количество людей использующих Apple IOS было равно количеству Android, то злоумышленники активно ломали эту систему также активно.
Версия на Android выпущена в августе 2016 года Android 7 считается наиболее защищенной для этих ОС. Но число людей использующих эту версию составляет всего лишь 4,9%, а на шестой версии уже 20% пользователей. Проблема заключается в том, что производители мобильных телефонов слишком быстро прекращают техническую поддержку даже для своих ведущих продуктов. Выходы из сложившейся ситуации таковы: пользоваться тем, что есть; установить другие решения; купить телефон с новой версией ОС.
Эта ситуация имеет большое отличие от, например, устройств на OS Windows. Компания Microsoft в сравнении не так давно прекратила техническую поддержку для Windows XP и Vista, но для корпоративных пользователей некая поддержка еще сохраняется. А для Windows 10 корпорация Microsoft прекратит техподдержку только в октябре 2025 года.
Что могут посоветовать эксперты по кибребезопасности? Купить лицензионный антивирус ESET http://eset-endpoint.kiev.ua/ или Касперский http://antivirus-kaspersky.com.ua/, не скачивать неизвестные подозрительные приложения и вовремя обновлять свою систему. Еще желательно скачивать программы с Google Play и Apple Store, но тут тоже существует вероятность того, что софт который будет скачан может быть зараженным, или программа будет иметь свои скрытые возможности, которым обычный пользователь вряд ли будет рад.
Процессор - это основной компонент компьютера, без него ничего работать не будет. С момента выпуска первого процессора эта технология развивается семимильными темпами. Менялись архитектуры и поколения процессоров AMD и Intel.
В одной из предыдущих статей мы рассматривали архитектуры процессора Intel, в это статье мы рассмотрим поколения процессоров AMD, рассмотрим из чего все начиналось, и как совершенствовалось пока процессоры не стали такими, как они есть сейчас. Иногда очень интересно понять как развивалась технология.
Поколения процессоров AMD
Как вы уже знаете, изначально, компанией, которая выпускала процессоры для компьютера была Intel. Но правительству США не нравилось, что такая важная для оборонной промышленности и экономики страны деталь выпускается только одной компанией. С другой стороны, были и другие желающие выпускать процессоры.
Была основана компания AMD, Intel поделилась с ними всеми своими наработками и разрешила AMD использовать свою архитектуру для выпуска процессоров. Но продлилось это недолго, спустя несколько лет Intel перестала делиться новыми наработками и AMD пришлось улучшать свои процессоры самим. Под понятием архитектура мы будем подразумевать микроархитектуру, расположение транзисторов на печатной плате.
Первые архитектуры процессоров
Сначала кратко рассмотрим первые процессоры, выпускаемые компанией. Самым первым был AM980, он был полным восьмиразрядного процессора Intel 8080.
Следующим процессором был AMD 8086, клон Intel 8086, который выпускался по контракту с IBM, из-за которого Intel была вынуждена лицензировать эту архитектуру конкуренту. Процессор был 16-ти разрядным, имел частоту 10 МГц, а для его изготовления использовался техпроцесс 3000 нм.
Следующим процессором был клон Intel 80286- AMD AM286, по сравнению с устройством от Intel, он имел большую тактовую частоту, до 20 МГц. Техпроцесс уменьшился до 1500 нм.
Дальше был процессор AMD 80386, клон Intel 80386, Intel была против выпуска этой модели, но компании удалось выиграть иск в суде. Здесь тоже была поднята частота до 40 МГц, тогда как у Intel она была только 32 МГц. Техпроцесс - 1000 нм.
AM486 - последний процессор, выпущенный на основе наработок Intel. Частота процессора была поднята до 120 МГц. Дальше, из-за судебных разбирательств AMD больше не смогла использовать технологии Intel и им пришлось разрабатывать свои процессоры.
Пятое поколение - K5
AMD выпустила свой первый процессор в 1995 году. Он имел новую архитектуру, которая основывалась на ранее разработанной архитектуре RISC. Обычные инструкции перекодировались в микроинструкции, что помогло очень сильно поднять производительность. Но тут AMD не смогла обойти Intel. Процессор имел тактовую частоту 100 МГц, тогда как Intel Pentium уже работал на частоте 133 МГц. Для изготовления процессора использовался техпроцесс 350 нм.
Шестое поколение - K6
AMD не стала разрабатывать новую архитектуру, а решила приобрести компанию NextGen и использовать ее наработки Nx686. Хотя эта архитектура очень отличалась, здесь тоже использовалось преобразование инструкций в RISC, и она тоже не обошла Pentium II. Частота процессора была 350 МГц, потребляемая мощность - 28 Ватт, а техпроцесс 250 нм.
Архитектура K6 имела несколько улучшений в будущем, в K6 II было добавлено несколько наборов дополнительных инструкций, улучшивших производительность, а в K6 III добавлен кєш L2.
Седьмое поколение - K7
В 1999 году появилась новая микроархитектура процессоров AMD Athlon. Здесь была значительно увеличена тактовая частота, до 1 ГГц. Кэш второго уровня был вынесен на отдельный чип и имел размер 512 кб, кэш первого уровня - 64 Кб. Для изготовления использовался техпроцесс 250 нм.
Было выпущено еще несколько процессоров на архитектуре Athlon, в Thunderbird кэш второго уровня вернулся на основную интегральную схему, что позволило увеличить производительность, а техпроцесс был уменьшен до 150 нм.
В 2001 году были выпущены процессоры на основе архитектуры процессоров AMD Athlon Palomino c тактовой частотой 1733 МГц, кэшем L2 256 Мб и техпроцессом 180 нм. Потребляемая мощность достигала 72 Ватт.
Улучшение архитектуры продолжалось и в 2002 году компания выпустила на рынок процессоры Athlon Thoroughbred, которые использовали техпроцесс 130 нм и работали на тактовой частоте 2 ГГц. В следующем улучшении Barton была увеличена тактовая частота до 2,33 ГГц и увеличен в два раза размер кэша L2.
В 2003 году AMD выпустила архитектуру K7 Sempron, которая имела тактовую частоту 2 ГГц тоже с техпроцессом 130 нм, но уже дешевле.
Восьмое поколение - K8
Все предыдущие поколения процессоров были 32 битной разрядности и только архитектура K8 начала поддерживать технологию 64 бит. Архитектура притерпела много изменений, теперь процессоры теоретически могли работать с 1 Тб оперативной памяти, контроллер памяти переместили в процессор, что улучшило производительность по сравнению с K7. Также здесь была добавлена новая технология обмена данными HyperTransport.
Первые процессоры на архитектуре K8 были Sledgehammer и Clawhammer, они имели частоту 2,4-2,6 ГГц и тот же техпроцесс 130 нм. Потребляемая мощность - 89 Вт. Дальше, как и с архитектурой K7 компания выполняла медленное улучшение. В 2006 году были выпущены процессоры Winchester, Venice, San Diego, которые имели тактовую частоту до 2,6 ГГц и техпроцесс 90 нм.
В 2006 году вышли процессоры Orleans и Lima, которые имели тактовую частоту 2,8 ГГц, Последний уже имел два ядра и поддерживал память DDR2.
Наряду с линейкой Athlon, AMD выпустила линейку Semron в 2004 году. Эти процессоры имели меньшую частоту и размер кэша, но были дешевле. Поддерживалась частота до 2,3 ГГц и кэш второго уровня до 512 Кб.
В 2006 году продолжилось развитие линейки Athlon. Были выпущены первые двухъядерные процессоры Athlon X2: Manchester и Brisbane. Они имели тактовую частоту до 3,2 ГГц, техпроцесс 65 нм и потребляемую мощность 125 Вт. В том же году была представлена бюджетная линейка Turion, с тактовой частотой 2,4 ГГц.
Десятое поколение - K10
Следующей архитектурой от AMD была K10, она похожа на K8, но получила много усовершенствований, среди которых увеличение кэша, улучшение контроллера памяти, механизма IPC, а самое главное - это четырехъядерная архитектура.
Первой была линейка Phenom, эти процессоры использовались в качестве серверных, но они имели серьезную проблему, которая приводила к зависанию процессора. Позже AMD исправили ее программно, но это снизило производительность. Также были выпущены процессоры в линейках Athlon и Operon. Процессоры работали на частоте 2,6 ГГц, имели 512 кб кэша второго уровня, 2 Мб кэша третьего уровня и были изготовлены по техпроцессу 65 нм.
Следующим улучшением архитектуры была линейка Phenom II, в которой AMD выполнила переход техпроцесс на 45 нм, чем значительно снизила потребляемую мощность и расход тепла. Четырехъядерные процессоры Phenom II имели частоту до 3,7 ГГц, кэш третьего уровня до 6 Мб. Процессор Deneb уже поддерживал память DDR3. Затем были выпущены двухъядерные и трех ядерные процессоры Phenom II X2 и X3, которые не набрали большой популярности и работали на более низких частотах.
В 2009 году были выпущены бюджетные процессоры AMD Athlon II. Они имели тактовую частоту до 3.0 ГГц, но для уменьшения цены был вырезан кэш третьего уровня. В линейке был четырехъядерный процессор Propus и двухъядерный Regor. В том же году была обновлена линейка продуктов Semton. Они тоже не имели кэша L3 и работали на тактовой частоте 2,9 ГГц.
В 2010 были выпущены шести ядерный Thuban и четырехъядерный Zosma, которые могли работать с тактовой частотой 3,7 ГГц. Частота процессора могла меняться в зависимости от нагрузки.
Пятнадцатое поколение - AMD Bulldozer
В октябре 2011 года на замену K10 пришла новая архитектура - Bulldozer. Здесь компания пыталась использовать большое количество ядер и высокую тактовую частоту чтобы опередить Sandy Bridge от Intel. Первый чип Zambezi не смог даже превзойти Phenom II, уже не говоря про Intel.
Через год после выпуска Bulldozer, AMD выпустила улучшенную архитектуру, под кодовым именем Piledriver. Здесь была увеличена тактовая частота и производительность примерно на 15% без увеличения потребляемой мощности. Процессоры имели тактовую частоту до 4,1 ГГц, потребляли до 100 Вт и для их изготовления использовался техпроцесс 32 нм.
Затем была выпущена линейка процессоров FX на этой же архитектуре. Они имели тактовую частоту до 4,7 ГГц (5 ГГц при разгоне), были версии на четыре, шесть и восемь ядер, и потребляли до 125 Вт.
Следующее улучшение Bulldozer - Excavator, вышло в 2015 году. Здесь техпроцесс был уменьшен до 28 нм. Тактовая частота процессора составляет 3,5 ГГц, количество ядер - 4, а потребление энергии - 65 Вт.
Шестнадцатое поколение - Zen
Это новое поколение процессоров AMD. Архитектура Zen была разработана компанией с нуля. Процессоры выйдут в этом году, ожидается что весной. Для их изготовления будет использоваться техпроцесс 14 нм.
Процессоры будут поддерживать память DDR4 и выделять тепла 95 Ватт энергии. Процессоры будут иметь до 8 ядер, 16 потоков, работать с тактовой частотой 3,4 ГГц. Также была улучшена эффективность потребления энергии и была заявлена возможность автоматического разгона, когда процессор подстраивается в под возможности вашего охлаждения.
После запуска компьютера, как правило, нам приходится запускать некоторые программы. которыми мы пользуемся чаще всего. Также после запуска системы нам может понадобиться выполнить какие-либо специфичные действия, например, создать нужные файлы или установить некоторые параметры. Очень неудобно делать это вручную. Для решения таких задач существует автозагрузка.
В этой статье мы рассмотрим как работает автозагрузка Linux, как добавить программы автозагрузки, куда их будет более правильно добавить, а также какие виды автозагрузки бывают в этой операционной системы.
Как работает автозагрузка?
Чтобы понять как работает автозагрузка, сначала нужно вспомнить, что происходит во время процесса загрузки Linux. Как только ядро завершит свою инициализацию и будет готово к дальнейшей работе, оно передаст управление системе инициализации. Система инициализации - это основной процесс, именно он запускает все другие процессы в системе.
Есть процессы, которые система инициализации, например, systemd, запускает по умолчанию, но также вы можете настроить чтобы она запускала нужные вам процессы. Также многими дочерними процессами выполняются файлы скриптов или имеется та или иная возможность запускать необходимые вам программы. Такая возможность есть и у большинства окружений рабочего стола.
Рассмотрим основные уровни автозагрузки которые вы можете использовать:
Автозагрузка на уровне ядра - вы можете указать любую программу, которая будет запускаться после старта ядра вместо системы инициализации;
Автозагрузка системы инициализации - запуск основных системных сервисов, дополнительных сервисов, а также ваших скриптов на этапе инициализации системы;
Автозагрузка rc.local - устаревший метод загрузки скриптов, выполняется перед запуском графического окружения;
Автозагрузка менеджера входа - вы можете выполнять свои скрипты или команды после запуска менеджера входа, но перед запуском окружения;
Автозагрузка X сервера - запуск нужных программ или скрпитов сразу после старта X сервера;
Автозагрузка окружения - большинство окружений поддерживают автозагрузку программ, там даже можно настроить отложенный запуск и другие параметры;
Автозагрузка bash - самый последний вариант - это автозагрузка на уровне отдельной командной оболочки, вы можете выполнять нужные команды автоматически, как только будет запущен терминал.
Дальше мы рассмотрим более подробно как использовать каждый из пунктов для автозагрузки программ, скриптов или выполнения команд в Linux.
Автозагрузка на уровне ядра
Автозагрузка на уровне ядра вряд ли будет вам очень полезной для повседневного применения, но я решил о ней упомянуть, поскольку такая возможность есть. С помощью параметра ядра init вы можете указать какую программу стоит запускать сразу после завершения инициализации ядра. Например, вы можете загрузить оболочку Bash вместо Systemd. Для этого достаточно подправить строку запуска ядра в конфигурационном файле Grub или во время запуска. Добавьте в конец параметр init:
$ sudo vi /boot/grub2/grub.cfg
linux /vmlinuz-4.8.0-22-generic root=/dev/mapper/systems-ubuntu ro quiet init=/bin/bash
Но, обычно, удобнее изменить это значение временно, в меню Grub. Читайте подробнее об этом в статье параметры ядра Linux. Так не выполняется автозагрузка программы linux, но, тем не менее, иногда может быть полезно.
Автозагрузка в системе инициализации
Чаще всего, когда говорится автозагрузка Linux, подразумевается именно автозагрузка сервисов с помощью системы инициализации. В systemd очень продвинутая система управления службами. Здесь поддерживается разрешение зависимостей, параллельный запуск, отсрочка запуска и перезапуск при ошибке. В терминологии Systemd все запускаемые программы представлены файлами юнитов, в каждом юните описаны параметры программы, ее исполняемый файл, а также дополнительные требования к запуску.
Для добавления или удаления служб из автозапуска используется команда systemctl. Чтобы добавить службу в автозапуск выполните:
$ sudo systemctl enable имя_службы
А чтобы отключить ее автозапуск linux:
$ sudo systemctl disable имя_службы
Например, если вы хотите добавить в автозагрузку Apache, то нужно выполнить:
$ sudo systemctl enable apache
Также вы можете проверить добавлена ли уже служба в автозагрузку:
$ sudo systemctl is-enabled httpd
Если вы не знаете точное имя файла сервиса, но знаете его первую букву, то можно использовать автодополнение, как и в любом другом месте терминала с помощью кнопки Tab:
Также вы можете посмотреть все сервисы, которые были добавлены в автозагрузку с помощью команды:
$ systemctl list-unit-files | grep enabled
Автозагрузка скриптов в Linux
Раньше было принято размещать все скрипты, которые запускаются по умолчанию в файле /etc/rc.local. Этот файл все еще существует, но это пережиток системы инициализации SysVinit и теперь он сохраняется только для совместимости. Скрипты же нужно загружать только с помощью Systemd.
Для этого достаточно создать простой юнит-файл и добавить его в автозагрузку, как любой другой сервис. Сначала создадим этот файл:
$ sudo vi /lib/systemd/system/runscript.service
[Unit] Description=My Script Service After=multi-user.target
В секции Unit мы даем краткое описание нашему файлу и говорим с помощью опции After, что нужно запускать этот скрипт в многопользовательском режиме (multi-user). Секция Service самая важная, здесь мы указываем тип сервиса - idle, это значит, что нужно просто запустить и забыть, вести наблюдение нет необходимости, а затем в параметре ExecStart указываем полный путь к нашему скрипту.
После следующей перезагрузки этот скрипт будет запущен автоматически. Обратите внимание, что для каждого скрипта, который вы собираетесь запускать должны быть правильно выставлены права, а именно нужно установить флаг выполнения. Для этого используйте команду chmod:
$ sudo chmod u+x /usr/local/bin/script
В параметрах мы передаем утилите адрес файла скрипта. Исполняемость - это обязательный параметр для всех способов.
Автозагрузка X сервера
Часто, в легких окружениях рабочего стола и оконных менеджеров для автозагрузки программ используется автозагрузка на уровне X сервера. Все запускаемые, таким образом, скрипты будут стартовать после запуска X сервера. Чтобы настроить такую автозагрузку Linux вам будет достаточно добавить путь к нужному скрипту в файл ~/.xinitrc или /etc/X11/xinit/xinitrc. Синтаксис добавляемой строки таков:
exec путь_к_скрипту&
Если файла ~/.xinitrc еще не существует, то его нужно создать:
$ cp /etc/X11/xinit/xinitrc ~/.xinitrc
Затем, чтобы добавить в автозагрузку linux скрипт, отредактируйте файл так, как вам нужно. Например, будем запускать Firefox:
$ vi ~/.xinitrc
exec /usr/bin/firefox &
Готово. Осталось сохранить изменения. При следующем запуске X сервера сработает автозапуск Linux и выполняется эта команда. Таким же способом может выполняться автозапуск приложений linux.
Автозагрузка окружения рабочего стола
Такие мощные окружения рабочего стола как Gnome и KDE имеют свои приложения для автозагрузки. Например, в Gnome программа называется "Запускаемые автоматически приложения". Вы можете запустить ее из главного меню системы:
Здесь вы видите все программы, которые уже добавлены в автозагрузку. Вы можете отключить каждую из них просто сняв галочку.
Чтобы добавить новую программу или скрипт в автозагрузку нажмите кнопку "Добавить":
Тут вам нужно заполнить три поля:
Имя - произвольное имя для команды, по которому вы сможете ее найти;
Команда - полный путь к исполняемому файлу программы;
Дальше нажмите "Добавить" ваша программа появится в списке. При следующей загрузке системы, будет выполняться автозагрузка программ linux.
Автозагрузка Bash
Самый простой автозапуск скрипта linux - это запуск с помощью bashrc. Ваш скрипт или команда будет выполняться каждый раз, когда запускается новая сессия терминала. Для этого добавьте адрес нужного скрипта в файл ~/.bashrc:
$ vi ~/.bashrc
/usr/bin/local/script export MYWAR=test
Здесь вы можете запускать на выполнение любые скрипты или команды. Часто такой подход используется для создания псевдонимов команд, объявления новых переменных и собственных функций.
В этой статье мы рассмотрели добавление в автозагрузку linux, а также как работает автозагрузка и ее виды.
Окружение рабочего стола Gnome используется очень в различных дистрибутивах по умолчанию и очень популярно среди многих пользователей. Уже сразу, после установки система выглядит очень красиво, так что в большинстве случаев сразу после установки окружения вы можете начать с ним работать. Изначально, разработчики Gnome рассчитывали на то, что бы предоставить максимального готовое и красивое окружение с минимумом необходимых настроек.
Но несмотря на это, вы можете захотеть изменить некоторые параметры, настроить их под себя и всячески улучшить ваше окружение. В этой статье мы рассмотрим как выполняется настройка Gnome 3, какие утилиты для этого нужны, а также что можно изменить в этом окружении. Начнем с самых простых задач.
Настройка Gnome 3 после установки
Не будем долго расписывать преимущества этого окружения, для этого и так уже есть много статей, сразу перейдем к делу.
1. Фон рабочего стола
Первое что мы сделаем в новой системе - это изменим фон рабочего стола. Для этого кликните павой кнопкой по любому месту на рабочем столе и выберите "Изменить фон".
Затем выберите "Фон":
Тут вы можете выбрать одну из понравившихся картинок или загрузить свою на вкладке "Изображение":
Дальше вам осталось нажать выбрать и фон будет изменен. Также можно настроить картинку для экрана блокировки в этом же окне.
2. Раскладка клавиатуры
По умолчанию в Gnome для русского языка есть русская и английская раскладки, они переключаются сочетанием клавиш Super+Пробел. Но иногда нужно добавить новую раскладку, например, украинский язык. Откройте утилиту "Параметры", затем выберите "Язык и ввод":
В разделе "Источник ввода" вы можете добавить новый язык с помощью кнопки "+", например, украинский:
После добавления он появится в списке.
Не все привыкли переключать язык по Super+Пробел, я до сих пор пользуюсь Alt+Shift. Сменить клавишу для переключения очень просто. Для этого откройте утилиту "Параметры", затем "Клавиатура":
На вкладке "Ввод" можно изменить клавишу для переключения раскладки. Только не пытайтесь менять Super+Пробел, так оно не сработает. Вам нужен пункт "Клавиша модификатор переключает источник ввода". Нажмите напротив этого пункта, затем нажмите нужное сочетание:
3. Тачпад и мышь
В некоторых дистрибутивах по умолчанию прокрутка двумя пальцами на тачпаде работает наоборот, т е вы крутите вниз, а содержимое подымается в верх. Это не привычно и неудобно. Вы можете изменить такое поведение в утилите "Параметры", "Мышь и сенсорная панель". Найдите и отключите пункт "Естественная прокрутка" для сенсорной панели:
4. Сетевые аккаунты Gnome
Gnome позволяет интегрировать рабочее окружение с различными сетевыми службами. Вы сможете работать прямо с документами, сохраненными на Google диск, получать уведомления от Facebook, получать почту Gmail, Outlock и многое другое. Чтобы связать систему с нужными аккаунтами откройте параметры и в разделе "Сетевые учетные записи" выберите "Добавить аккаунт":
Здесь вам нужно выбрать тип аккаунта, затем авторизироваться и разрешить к нему доступ приложению Gnome:
Точно так вы можете добавить любой другой поддерживаемый аккаунт к системе.
5. Тема Gnome
Не всем нравится тема Gnome по умолчанию, вы можете заменить ее на любую, доступную в интернете. Но только для этого нам понадобиться стороннее приложение Gnome Tweak Tool. Если программа еще не установлена, вы можете ее установить:
$ sudo apt install gnome-tweak-tool
Теперь программу можно запустить из главного меню, она называется дополнительные настройки:
Для настройки темы перейдите на вкладку "Внешний вид". Тут вы можете настроить несколько тем, это тема GTK, которая отвечает за поведение окон, их цвет, грани и так далее, тема иконок, а также тема оболочки, которая отвечает за внешний вид оболочки в целом, панелей, и так далее. Здесь вы можете выбрать одну из доступных тем:
Устанавливать новые темы можно с помощью пакетного менеджера, например, в Ubuntu:
$ sudo apt install numix-gtk-theme
Также вы можете просто скопировать папку с темой, загруженной из интернета в ~/.themes/. Добавленная тема появится в списке. Для ее активации достаточно выбрать тему.
6. Расширения оболочки Gnome
В Gnome есть поддержка расширений, которые могут улучшать оболочку и дополнять ее новыми функциями. Настройка расширений выполняется тоже с помощью Gnome Tweak Tool. Просто перейдите на вкладку "Расширения". Тут вы можете выбрать и активировать некоторые из стандартных расширений:
Вот основные предустановленные расширения Gnome 3:
Alternatetab - переключение окон по Alt+Tab в красивом стиле;
Appmenu - классическое меню приложений в верхнем правом углу;
Places - добавляет индикатор "Места" на панель;
User Themes - позволяет использовать пользовательские темы для Shell. Вы, наверное видели, что пункт "Тема Shell" отключен, это расширение включает его;
WindowList - добавляет список открытых окон на рабочий стол Gnome 3 внизу экрана.
Вы можете установить множество других расширений из интернета. Все они размещены на сайте extensions.gnome.org. Но для работы с ними сначала нужно установить программу для интеграции браузера со средой, в Ubuntu это можно сделать таким способом:
Также нужно установить расширение для браузера GNOME Shell Integration:
После этого вы можете открыть сайт и установить любое расширение, просто переключив нужный включатель:
Все установленные расширения появятся в списке Gnome Tweak Tool. Хотите найти интересные расширения? Смотрите статью лучшие расширения Gnome 3.
7. Шрифты Gnome
В отличие от других окружений, даже по умолчанию шрифты в Gnome выглядят превосходно. Но вы можете захотеть поменять шрифты на другие или изменить их размер. Все это делается с помощью утилиты Gnome Tweak Tool. Откройте утилиту, затем перейдите на вкладку "Шрифты":
Здесь вы можете настроить шрифты Gnome 3 для основных компонентов окружения, настроить сглаживание, хайтинг, а также изменить коэффициент масштабирования шрифта для всей системы, это очень полезная настройка Gnome 3.
8. Значки рабочего стола
Многие пользователи еще со времен Windows привыкли, что рабочий стол Gnome 3 должен содержать значки домашней папки, компьютера и так далее. Их можно очень просто добавить. Для этого в той же утилите перейдите на вкладку "Рабочий стол", включите переключатель "Показывать значки на рабочем столе" и отметьте нужное галочками:
Настройка интерфейса Gnome 3 завершена, как видите, здесь есть не так много параметров, которые так уж необходимо указать.
OSSIM (Open Source Security Information Management) — система управления, контроля и обеспечения информационной безопасности. OSSIM «из коробки» включает в себя такой функционал как:
Сбор, анализ и корреляция событий — SIEM
Хостовая система обнаружения вторжений (HIDS) — OSSEC
Сетевая система обнаружения вторжений (NIDS) — Suricata
Беспроводная система обнаружения вторжений (WIDS) — Kismet
Мощнейшая система обмена информацией об угрозах между пользователями OSSIM — OTX
Более 200 плагинов для парсинга и корреляции логов со всевозможных внешних устройств и служб
Предисловие
В данной статье речь пойдёт в первую очередь об установке, первичной настройке и конфигурации OSSIM, всю информацию о возможностях и функционале можно взять с официального сайта, или посмотреть в этом ролике:
Стоит заметить, у AlienVault есть 2 продукта, бесплатный OSSIM и более продвинутая версия — USM, различия можно посмотреть по этой ссылке. В качестве бонуса последней главой статьи выложил информацию об интеграции OSSIM с SIEM системой ArcSight.
Установка open source SIEM системы осуществляется с помощью готового установочного образа, содержащего в себе операционную систему Debian и все необходимые предустановленные компоненты и модули. Для установки OSSIM, необходимо открыть ссылку, после чего сразу-же начнётся загрузка последней версии дистрибутива OSSIM. Установку мы будем проводить на VMware ESXi.
Настройка ESXi
Для начала необходимо сконфигурировать сам ESXi, а именно настроить интерфейс, работающий в «неразборчивом» режиме (Promiscuous mode). Данный режим нам нужен для настройки мониторинга сети. В OSSIM эту роль выполняет Suricata. Для этого откроем настройки хоста, и делаем всё, как на анимации ниже: На этом настройка закончена, теперь добавим виртуальную машину. На скриншотах ниже только те пункты настройки, которые мы меняем. Многие службы в OSSIM умеют работать в многопоточном режиме, поэтому желательно установить несколько ядер. Оперативной памяти, желательно, поставить больше. Минимальный размер, до которого всё работает более-менее стабильно и без подтормаживаний – 3GB. 1 интерфейс для управления OSSIM, 1 для Network IDS Suricata, один для OpenVAS (не обязательный). На этом конфигурация виртуальной машины закончена.
Установка
Включим виртуальную машину и подключим к ней, загруженный нами ранее, установочный образ OSSIM. Теперь установим OSSIM. Установка ничем не отличается от установки Debian, только пунктов в установке гораздо меньше. Настройка совсем проста, поэтому для краткости некоторые скриншоты в анимации опущены. После ввода всех настроек начнётся установка. На этапе «Запуск cdsetup…» установка может зависнуть на некоторое время, так и должно быть. По окончанию появится консоль: Заходим по ссылке, указанной в консоли и вводим учётные данные: На этом установка закончена.
Настройка OSSIM
Для настройки OSSIM были сконфигурированы 3 операционные системы: Windows server 2008 R2, Windows 7 SP1, Ubuntu 14.04 LTS, которые мы, непосредственно и будем подключать к мониторингу. Помимо этого, мы настроим беспроводную IDS систему, основанную на Kismet, используя в качестве «сенсора» хост с предустановленной ОС Debian 6.
Мастер настройки
Вводим учётные данные, указанные в предыдущем пункте настройки: И перед нами открывается окно мастера настройки: Конфигурируем интерфейсы: На следующем пункте OSSIM автоматически просканирует сеть и предложит указать тип найденных узлов, в нашем случае удалено всё, что не относится к тестовому стенду: На следующем этапе можно автоматически установить хостовую систему обнаружения вторжений (OSSEC). Попробуем установить её для Windows Server. Вводим учётные данные и нажимаем «DEPLOY»: Производить то же самое для Linux не рекомендую, т.к. в этом случае OSSEC будет работать без агента (Agentless). На следующем этапе нам предлагают настроить мониторинг логов, этот пункт мы пропускаем и вернёмся к нему позже, в соответствующей главе: На последнем пункте нам предложат присоедениться к OTX, если есть желание, регистрируемся по ссылке www.alienvault.com/my-account/customer/signup и вводим токен: Далее видим всплывающее окно следующего содержания: Нажимаем Explore Alienvault OSSIM и на этом работа менеджера настройки закончена.
Настройка почтовых уведомлений
В OSSIM есть раздел «Alarm», в котором отображены скоррелированные события безопасности, однако по таким событиям получать уведомления не получится. Зато в системе есть раздел «Tickets», в котором по каждому событию или событиям можно открыть задачу. «Тикеты» могут создаваться вручную специалистом или автоматически при попадании событий из логов «Security Events (SIEM)» в «Alarms», в случае автоматического открытия «тикета», OSSIM может автоматически отправлять уведомления, чего мы сейчас и настроим. Настройка почтовых уведомлений проходит в 2 этапа, во первых необходимо настроить postfix, во вторых включить отправку уведомлений. Открываем SSH и подключаемся к OSSIM: Выбираем пункт Jailbreak System и попадаем в консоль, вводим:
sed -i -e"s@mailserver_relay=no@mailserver_relay=my.corporate.mail.server@" /etc/ossim/ossim_setup.conf
echo relayhost = my.corporate.mail.server:25 >> /etc/postfix/main.cf
service postfix restart
Примечание: вместо my.corporate.mail.server укажите свой почтовый сервер, при необходимости настройки любых других параметров postfix (авторизвция, защищённое соединение и т.п.) – смотрите документацию по postfix. Теперь открываем настройки и в разделе администрирования включаем автоматическую отправку уведомлений: После данной манипуляции, любое скоррелированное событие будет автоматически создавать тикет и уведомлять администратора.
Настройка HIDS
В роли хостовой системы предотвращения вторжений в OSSIM выступает не безызвестный OSSEC, настройку которого мы разберём далее. Для настройки HIDS переходим в Environment -> Detection -> HIDS -> Agents и видим 2 хоста, первый непосредственно сам AlienVault, второй – Windows Server, который мы установили на пункте «Deploy HIDS» в разделе «Мастера настройки». Заходим в меню агентов HIDS: Добавим Windows 7 и Ubuntu:
Windows
Для установки HIDS можно использовать режим автоматической установки или скачать готовый exe файл . Установка в автоматическом режиме не отличается от той, что мы уже делали: При установке в ручном режиме, с помощью exe файла, OSSEC агент установится в «1 клик», без ввода каких-либо дополнительных параметров: В случае успеха мы увидим:
Ubuntu
Теперь настроим Ubuntu, подключаемся по SSH и установим OSSEC:
Примечание: через wget загрузка не работает, на стороне сервера ossec.net проверяется User-Agent.
tar xzf ossec-hids-2.8.1.tar.gz
cd ossec-hids-2.8/
/bin/bash ./install.sh
Примечание: пункт 3.4, режим активной защиты (IPS вместо IDS) включайте осторожно, в данном случае мы используем только режим детектирования, поэтому оставляет «n» вместо «y». Теперь получим ключ, для этого возвращаемся обратно в меню агентов HIDS и кликаем на : Запустим настройку с помощью утилиты /var/ossec/bin/manage_agents, нажимаем I, вводим ключ и выходим(Q): Перезагрузим OSSEC:
service ossec restart
В случае успеха мы увидим «Active» напротив хоста: Если какой-либо агент не появился, как активный в списке, можно перезагрузить OSSEC, для этого подключаемся по SSH к OSSIM и производим следующие действия: На этом установка HIDS закончена, теперь на закладке Environment -> Detection можно увидеть логи OSSEC:
Настройка WIDS
Установку WIDS мы будем осуществлять следующим образом:
Создадим хост с ОС Debian 6
Подключим к нему и настроим Wi-Fi карту
Установим и настроим kismet
Настроим на OSSIM OpenVPN сервер
Сконфигурируем связь между OSSIM и Debian 6
Настроим отправку и запись логов в rsyslog
Включим плагин kismet
Настроим импорт по крону логов в формате XML из kismet-а
Добавим новый сенсор в OSSIM
Проверим работоспособность решения
Настройка виртуальной машины
Для установки беспроводной IDS системы нам потребуется хост с предустановленным Debian 6. Создаём новую виртуальную машину на ESXi и добавляем туда USB контроллер и USB Wi-Fi карту: В данном примере используется USB Wi-Fi карта TOTOLink N500UD.
Установка и настройка Debian
Устанавливаем Debian 6. Все настройки на своё усмотрение, установка Debian стандартная, поэтому в этом мануале опущена. После установки ОС, подключаемся к SSH и установим драйвера сетевой карты:
IP адрес не меняйте, он таким и должен быть. Это IP адрес OpenVPN сервера, который будет впоследствии поднят в OSSIM. Теперь создадим скрипт /etc/init.d/wids_alienvault.sh следующего содержания:
Изменим путь к файлу, из которого плагин будет забирать логи:
sed –i –e "s@/var/log/syslog@/var/log/kismet.log@" /etc/ossim/agent/plugins/kismet.cfg
Теперь включим плагин, который будет обрабатывать логи kismet, для этого командой exit выходим в меню OSSIM и включаем плагин: Если всё сделано верно, мы увидим логи в «Analysis -> Security Events (SIEM)»:
Настройка импорта XML логов
Теперь осталось настроить импорт логов формата XML из Debian. Это необходимо для того, чтобы OSSIM мог получить не только алерты, а все доступные данные о Wi-Fi клиентах и сетях по близости, которые в последствии будут отражены в Environment -> Detection -> Wireless IDS. Настроим авторизацию SSH без пароля, для того, чтобы скрипт, получающий XML отчёты и чистящий их с сенсора правильно работал. В OSSIM выполним:
ssh-keygen
ssh-copy-id This email address is being protected from spambots. You need JavaScript enabled to view it.
Теперь создадим файл /etc/cron.hourly/kismet следующего содержания:
Теперь перейдём в веб интерфейс: Добавим новый сенсор: Статус сенсора будет с красным крестиком, так и должно быть: Теперь переходим в Environment -> Detection -> Wireless IDS и добавляем расположение и сенсор: После выполним команду:
И в случае успеха получим: И после этого действия в пункте Environment -> Detection -> Wireless IDS появятся данные:
Настройка сбора системных логов
Настроим сбор логов с VMware ESXi, Windows сервера и Ubuntu. Для сбора логов нам необходимо произвести следующие действия:
Настроить отправку логов с хостов в OSSIM
Посмотреть, из какого файла плагин OSSIM, обрабатывающий события, считывает логи
Настроить запись логов с хостов в отдельные файлы, через конфигурацию rsyslog
Включить плагин
Проверить работоспособность
VMware
Сначала настроим отправку логов в ESXi, для этого открываем расширенные настройки: И включаем отправку логов по UDP: После посмотрим, откуда плагин ESXi будет забирать логи
echoif \$fromhost-ip == \'10.1.193.76\'then -/var/log/vmware-esxi.log >> /etc/rsyslog.d/esxi.conf
service rsyslog restart
Теперь включим плагин, подключаемся по SSH к OSSIM: Открываем Analysis -> Security Events (SIEM) и проверяем:
Windows Server
Для отправки логов с Windows, нам потребуется программа Snare, которая позволяет отправлять системные логи в формате syslog-а. Скачиваем и запускаем: Включаем web доступ: Завершаем установку: Открываем в браузере адрес: localhost:6161 Вводим логин snare, пароль тот, который указывали во время установки, переходим в «Network configuration» и указываем: После сохраняем настройки, открываем консоль и перезагружаем snare:
Теперь настроим rsyslog. В настройках rsyslog уже есть предустановленный конфиг snare(zzzzz_snare.conf), который мы сейчас немного исправим, руководствуясь форумом OSSIM, заменив всего 1 параметр:
sed -i -e"s@msg@rawmsg@" /etc/rsyslog.d/zzzzz_snare.conf
service rsyslog restart
Теперь настроим плагин, по аналогии с настройкой VMware, за исключением выбора самого плагина: После перезапуска проверим в Analysis -> Security Events (SIEM):
Ubuntu
Для настройки Ubuntu мы будем использовать rsyslog. Подключаемся к Ubuntu по SSH и настраиваем отправку логов в OSSIM:
echo *.* @10.1.193.123 > /etc/rsyslog.d/alienvault.conf
service rsyslog restart
Проверяем, откуда плагин берёт логи:
cat /etc/ossim/agent/plugins/syslog.cfg
Меняем путь к файлу логов:
sed –i –e "s@/var/log/syslog@/var/log/ubuntusyslog.log@" /etc/ossim/agent/plugins/syslog.cfg
Теперь настроим rsyslog в OSSIM:
echoif \$fromhost-ip == \'10.1.193.77\'then -/var/log/ubuntusyslog.log >> /etc/rsyslog.d/ubuntu.conf
service rsyslog restart
Включаем плагин, по аналогии с предыдущими пунктами, только в списке плагинов выбираем нужный: Применяем и проверяем:
Примечание
Если после выбора пункта «Apply changes» вы не увидели окно «AlienVault Reconfig» Перезагрузите OSSIM (в последней версии 4.15.2 периодически появляется такой баг) Для решения проблем с парсингом логов в кодировке cp1251 (кириллица) необходимо выполнить следующее: В файле /usr/share/alienvault/ossim-agent/ParserDatabase.py в строку 288 после:
if len(ret) > 0:
#We have to think about event order when processing
cVal = ret[len(ret) - 1][ref]
for e in ret:
Вставить:
e=list(e)
x=[x.decode('cp1251').encode('utf8') if isinstance(x, basestring) else x for x in e] ## change for encoding cp1251
e=x
e=tuple(e)
В файле /usr/share/alienvault/ossim-agent/TailFollowBookmark.py в строку 163 после:
def _open_file(self, fromrotate=False):
"""
Opens the file and seeks to the specified position based on
the keyword arguments: offset and whence. Furthermore, the
_current_file attribute is set as a side-effect.
fromrotate: Indicates if the file is opened when a
log rotation is detected
"""
Вставить:
if «alerts.log» in self.filename:
self.encode='cp1251'else:
self.encode='utf8'
Ссылка на форум, где велось обсуждение проблемы с кодировкой. За информацию о решении данного бага большое спасибо пользователю dolph2005
Интеграция с ArcSight
Теперь попробуем настроить интеграцию OSSIM с SIEM системой ArcSight. Подобная связка может сэкономить десятки миллионов на лицензиях ArcSight, если кроме основного офиса у компании есть десятки небольших филиалов, которые необходимо защищать и мониторить. Цель данного раздела – отправлять в ArcSight уже скоррелированные OSSIM-ом логи, а не коррелировать их на стороне ArcSight, увеличивая нагрузку. Для этого необходимо установить коннектор (тип коннектора Syslog), добавить следующий FlexAgent:
В папку коннектора и далее в «user\agent\flexagent\syslog». Название файла сделать «ossim.sdkrfilereader.properties» В файле agent.properties изменить строчку agents[0].customsubagentlist, дописав туда «ossim», пример: agents[0].customsubagentlist= ossim|ciscopix_syslog|netscreen_syslog|… И строчку agents[0].usecustomsubagentlist поставить true. Далее зайти в настройки OSSIM: И включить отправку alarm в syslog: После настроить отправку логов в rsyslog OSSIM. В файле /etc/rsyslog.conf добавить строчку: *.* ip.вашего.Flex.агента После этого в коннекторе ArcSight появится уже распарсенные, скоррелированные логи:
Проверим таблицу выданных IP-адресов на роутере:
или скачать готовый exe файл 
.
:
Добавим новый сенсор: 
И включить отправку alarm в syslog:
