security onion gedit설치,환경설정 등 설명

(gedit 설치)

 

 

sudo apt-get update

 

sudo apt-get install gedit

 

 

 

 

 

 

 

cd /etc/nsm              보안 양파의 기본설정파일

 

 

ls -al 

 

 

 

cd /et/nsm/tak-virtual-machine-eth1

              (onion-virtual-machine-eth1)           이파일이 가장중요하다 

                                                              우리가 추가했던 eth1은 span 이기때문이다

                                                              모든 트래픽의방향은 span(eth1)으로 들어온다

 

 

 

 

 

 

 

 

 

 

cd /var/log/nsm                   중요한 파일위치 ,시스템 로그가 저장되는거

 

                                         var 파일에는 로그기록

                                         log 라는 메모장? 파일안에 계속 기록을하는데

                                         log 라는 메모장파일은 사라지지 않는다

 

 

                                          /var 과 /tmp               임시파일을 저장하는 폴더

                                          /var                          하나의 변수 int a=123; 이런것처럼 하나의변수가  저장하는곳

 

                                          /tmp                         프로그래밍을 비유했을떄 새로운 변수a를 만들고 a를지우고

                                                                         새로운 변수 b 를 만들고 b를지우고

 

 

cd /nsm                              보안양파를 설치할때 서비스라던지  파일들 존재

                                           

                                          elsa                        패킷분석하여 사용해주는것 , wireshark랑은 좀다르다

 

 

 

 

 

 

 

 

 

 

cd /etc/nsm/tak-virtual-machine-eth1                       

ls -al

                                                         conf 라는 파일들이많다

                                                          cont = config 확장자의 의미가 없음

 

 

 

gedit snort.conf                                     snort 설정파일 들어가기

 

 

 

 

 

 

&HOME_NET                                사설 IP 대역이 써있다.

&EXTERNAL_NET                           우리가 어떤 ip를 쓸지를모르니까 any 라고되있다(외부에서오는 소스를 검사한다

 

                                                 라우터 - 방화벽 (NAT) - 스위치 - 호스트

                                                 [external_net            ]  [home net      ]

 

 

 

 

 

 

                                     이런식으로 home_net을수정을 할수가있다. 

 

 

 

 

                                         

                                        home_net을 반전시켜 any 대신 ![!HOME_NET] 으로 수정을할수가있다(보통 any씀)

 

참고로 저장하지마세요~ 이런게 있다고 알려드립니다

                                          

 

 

 

 

 

 

 

 

                                  포트 번호와 마찬가지고 다른 포트를 지정해서 사용하고싶다그러면 여기에다 쓰면됩니다            

 

 

 

 

 

 

 

                             

 

 

isp 업체에서 2.2.2.0~2.2.3.0 ip 사왔다고 가정했을떄

2.2.2.3 을 통해서 모든 트래픽이 통과한다고 가정했을떄

 

&HOME_NET [2.2.2.0/24,2.2.3.0/24]

&EXTERNAL_NET [2.2.2.3/24], [any]

이렇게 설정을한다

 

 

 

-------------------------------------------------------

40기가 환경에맞춰서 용량이얼마나 차면 주기를 삭제하는지 한번설정해보겠다.

 

 

 

cd ..

cd /etc/nsm

ls -al                                                security onion을 수정한다

 

 

 

 

 

sudo gedit securotyonion.conf                          설정파일 열기

 

 

 

 몇일동안저장할것이냐     =3      으로 바꾸기

 

#첫번쨰는 여기 용량이 80 프로차면 사용자에게 알려주는기능

 

# 두번째는 여기 용량이 90프로 넘어가면 모르는 파일부터 지우는것이다

 

이두개는 냅둔다

 

 

---ctrl+s ctrl+q 진행하기(저장하는것)

 

 

 

 

 

 

 

power manager

   화면잠금

 

 

 

 

-----------------------------------------------------------------

 

 

 

 

---------------------------

 

 

- 옵션

-- 세부옵션

max-depth=1 : 디렉터리 용량까지 확인

 

 

 

sudo sguil-db-purge

 

 

du                        사용량확인

 

 

 

 

 

sudo du --max-depth=1 -h /nsm/sensor_data/*

 

 

 

 

 

sudo du --max-depth=1 -h /var/lib/mysql

 

 

 

 

 

sudo du --max-depth=1 -h /sm/elsa/data