Posts

前言 Security Onion （以下称安全洋葱）是一款免费且开源的，用于威胁发现、企业安全监视和日志管理的 Linux 发行版本。 目前，安全洋葱已经迭代至 2.X，与 1.X 版本不同，2.X 版本基于容器开发，实现了将各个组件和服务容器化，更易于使用者部署和定制。 本篇并不涉及系统的调优，如果你此前已经安装并部署了安全洋葱，可以跳过此章节。 安全洋葱的安装较为简单，网络上也有诸多的 ALL IN ONE 的安装教程，但考虑到这些部署方式不太适合生产环境使用，所以本篇主要讲述如何在生产环境分布式部署安全洋葱系统。 本文中使用的安全洋葱版本为 v2.3.30（截至本文编写时）。 准备工作 官方文档建议采用标准的分布式部署方式进行部署安全洋葱，至少以下三个节点： 节点类型 说明 manager node 主要节点，负责接收采集到的原始数据 forward node 流量分析节点，也叫 sensor-node search-node 搜索节点，存储 ES 数据 我部署了 4 个节点，大家根据实际情况进行扩展： 节点 IP 配置 security-manager 10.10.0.1 8 cores, 16g memory, 200g disk security-sensor 10....

古人云：贵有恒，何必三更眠五更起；最无益，只怕一日曝十日寒” 无他言，开更。

前言 如今网络上有很多关于如何自建NAS、搭建家庭私有云的教程，但基本都止步于文件共享和多媒体服务。 作为一个半吊子的码农，这显然不能满足我的需求。 所以，结合着自己需求搞了一套自己的私有云方案，在各种大坑小坑中坚持了近大半年后，发现该方案极大的提高了自己的工作效率。 以下的方案不一定完全适合你，你可能需要根据自己的实际需求进行适当更改。 ...

背景 前一段时间，在ESXI上部署了一台Plex服务器。解决了一些恼人的问题后，用得还算满意，但是TMDb搜刮器在匹配电影信息时，总会丢失一些Poster海报信息。 最终发现，The Movie Database (TMDb) 这个地址被和谐社会了。 由于Plex不支持设置代理，且手动设置HTTP_PROXY后还是无效，所以决定把Plex这台服务器加入透明代理网络中。 参考以前的文章《Openwrt上使用dnsmasq和ipset实现域名分流》，将网关、DNS设置为192.168.0.254 因为之前重新部署了ESXI环境，所以Openwrt这台虚拟机不幸丢失，所以只能大侠请重新来过。 由于之前的方案在实际使用中还有一些不足，在综合了网络上现有的一些方案后，设计出一份改进版的方案。 网络上原始的方案 安装软件 shadowsocks-libev和luci-app-shadowsocks（提供ss-rules） 依赖iptables-mod-tproxy和ip chinadns和luci-app-chinadns 配置 使用luci-app配置shadowsocks 开启端口转发，设置本地端口为5300，用于DNS查询 被忽略IP列表选择ChinaDNS路由表（/etc/chinadns_chnroute.txt） 使用luci-app配置ChinaDNS 设置本地端口为5353 设置上游服务器为114.114.114.114,127.0.0.1:5300 使用luci-app配置DHCP/DNS 设置DNS转发为127.0.0.1#5353 勾选忽略解析文件 这样一来，你拥有了: 一个无污染的DNS服务器，端口为53 国内DNS解析出国内IP，国外DNS解析出国外IP 一个透明代理的网关 如果请求IP在ChinaDNS路由表中，则走正常流量 如果请求IP不在ChinaDNS路由表中，则走代理流量 改进版方案 尽管上面的方案已经能够实现透明代理，但是还有以下问题(附上解决方案)： 在某些ISP下使用ss-tunnel（即端口转发）不稳定, 导致DNS查询时间过长或超时 解决方案: 使用dnscrypt-proxy提供的DNS查询服务 ChinaDNS有时会出现误判，导致访问国内站点时走代理 解决方案: 在dnsmasq中配置chinalist，指定国内域名使用国内DNS进行解析 不在列表中的站点交由ChinaDNS判断 只能定义强制走代理的IP，而不能是域名，维护起来比较麻烦 解决方案: 归功于ss-rules的实现，ipset集合ss_spec_dst_fw中存放强制走代理的IP 在dnsmasq中配置my-list(自定义域名)列表，将my-list的查询结果保存到ss_spec_dst_fw中 额外安装以下软件: 安装dnsmasq-full 需要先卸载自带的dnsmasq 安装dnscrypt-proxy 提供安全不受污染的DNS服务器 更新配置 使用luci-app配置shadowsocks 关闭端口转发 配置dnscrypt-proxy 修改监听端口为127....

准备工具 一张富士通D2607-A11阵列卡 一个U盘 一台PC机（支持UEFI启动） 准备工作 制作DOS启动盘 将U盘格式化成FAT32，刷入dos系统 下载刷机工具包点击下载 拷贝刷机所需工具 megarec软件 sas2flash软件 9211-8i固件 拷贝efi shell支持文件 在U盘根目录下，创建\efi\boot目录 复制shell_v1.efi到\efi\boot目录，重命名为bootx64.efi 开始刷固件 插上D2607-A11阵列卡 启动PC，选择U盘引导，进入DOS命令行 备份阵列卡信息 >dir >megarec -readsbr 0 sbrbak.bin 使用xdd查看sbrbak.bin的数据，在000000d0行500X XXXX XXXX XXXX为阵列卡的地址 强烈建议进行这个操作，尽管我当时忘了 刷入sbr 刷入fj版sbr >megarec -writesbr 0 sbrfj.bin 清空flash >megarec -cleanflash 0 重启PC，选择UEFI版U盘引导，进入efi shell 刷固件 刷入9211 8i固件...