前言 Security Onion (以下称安全洋葱)是一款免费且开源的,用于威胁发现、企业安全监视和日志管理的 Linux 发行版本。
目前,安全洋葱已经迭代至 2.X,与 1.X 版本不同,2.X 版本基于容器开发,实现了将各个组件和服务容器化,更易于使用者部署和定制。
本篇并不涉及系统的调优,如果你此前已经安装并部署了安全洋葱,可以跳过此章节。
安全洋葱的安装较为简单,网络上也有诸多的 ALL IN ONE 的安装教程,但考虑到这些部署方式不太适合生产环境使用,所以本篇主要讲述如何在生产环境分布式部署安全洋葱系统。
本文中使用的安全洋葱版本为 v2.3.30(截至本文编写时)。
准备工作 官方文档建议采用标准的分布式部署方式进行部署安全洋葱,至少以下三个节点:
节点类型 说明 manager node 主要节点,负责接收采集到的原始数据 forward node 流量分析节点,也叫 sensor-node search-node 搜索节点,存储 ES 数据 我部署了 4 个节点,大家根据实际情况进行扩展:
节点 IP 配置 security-manager 10.10.0.1 8 cores, 16g memory, 200g disk security-sensor 10....
古人云:贵有恒,何必三更眠五更起;最无益,只怕一日曝十日寒”
无他言,开更。
前言 如今网络上有很多关于如何自建NAS、搭建家庭私有云的教程,但基本都止步于文件共享和多媒体服务。
作为一个半吊子的码农,这显然不能满足我的需求。
所以,结合着自己需求搞了一套自己的私有云方案,在各种大坑小坑中坚持了近大半年后,发现该方案极大的提高了自己的工作效率。
以下的方案不一定完全适合你,你可能需要根据自己的实际需求进行适当更改。
...
背景 前一段时间,在ESXI上部署了一台Plex服务器。解决了一些恼人的问题后,用得还算满意,但是TMDb搜刮器在匹配电影信息时,总会丢失一些Poster海报信息。
最终发现,The Movie Database (TMDb) 这个地址被和谐社会了。
由于Plex不支持设置代理,且手动设置HTTP_PROXY后还是无效,所以决定把Plex这台服务器加入透明代理网络中。
参考以前的文章《Openwrt上使用dnsmasq和ipset实现域名分流》,将网关、DNS设置为192.168.0.254
因为之前重新部署了ESXI环境,所以Openwrt这台虚拟机不幸丢失,所以只能大侠请重新来过。
由于之前的方案在实际使用中还有一些不足,在综合了网络上现有的一些方案后,设计出一份改进版的方案。
网络上原始的方案 安装软件 shadowsocks-libev和luci-app-shadowsocks(提供ss-rules) 依赖iptables-mod-tproxy和ip chinadns和luci-app-chinadns 配置 使用luci-app配置shadowsocks 开启端口转发,设置本地端口为5300,用于DNS查询 被忽略IP列表选择ChinaDNS路由表(/etc/chinadns_chnroute.txt) 使用luci-app配置ChinaDNS 设置本地端口为5353 设置上游服务器为114.114.114.114,127.0.0.1:5300 使用luci-app配置DHCP/DNS 设置DNS转发为127.0.0.1#5353 勾选忽略解析文件 这样一来,你拥有了:
一个无污染的DNS服务器,端口为53 国内DNS解析出国内IP,国外DNS解析出国外IP 一个透明代理的网关 如果请求IP在ChinaDNS路由表中,则走正常流量 如果请求IP不在ChinaDNS路由表中,则走代理流量 改进版方案 尽管上面的方案已经能够实现透明代理,但是还有以下问题(附上解决方案):
在某些ISP下使用ss-tunnel(即端口转发)不稳定, 导致DNS查询时间过长或超时 解决方案: 使用dnscrypt-proxy提供的DNS查询服务 ChinaDNS有时会出现误判,导致访问国内站点时走代理 解决方案: 在dnsmasq中配置chinalist,指定国内域名使用国内DNS进行解析 不在列表中的站点交由ChinaDNS判断 只能定义强制走代理的IP,而不能是域名,维护起来比较麻烦 解决方案: 归功于ss-rules的实现,ipset集合ss_spec_dst_fw中存放强制走代理的IP 在dnsmasq中配置my-list(自定义域名)列表,将my-list的查询结果保存到ss_spec_dst_fw中 额外安装以下软件: 安装dnsmasq-full 需要先卸载自带的dnsmasq 安装dnscrypt-proxy 提供安全不受污染的DNS服务器 更新配置 使用luci-app配置shadowsocks 关闭端口转发 配置dnscrypt-proxy 修改监听端口为127....
准备工具 一张富士通D2607-A11阵列卡 一个U盘 一台PC机(支持UEFI启动) 准备工作 制作DOS启动盘 将U盘格式化成FAT32,刷入dos系统 下载刷机工具包点击下载 拷贝刷机所需工具 megarec软件 sas2flash软件 9211-8i固件 拷贝efi shell支持文件 在U盘根目录下,创建\efi\boot目录 复制shell_v1.efi到\efi\boot目录,重命名为bootx64.efi 开始刷固件 插上D2607-A11阵列卡 启动PC,选择U盘引导,进入DOS命令行 备份阵列卡信息
>dir >megarec -readsbr 0 sbrbak.bin 使用xdd查看sbrbak.bin的数据,在000000d0行500X XXXX XXXX XXXX为阵列卡的地址 强烈建议进行这个操作,尽管我当时忘了 刷入sbr 刷入fj版sbr >megarec -writesbr 0 sbrfj.bin 清空flash >megarec -cleanflash 0 重启PC,选择UEFI版U盘引导,进入efi shell 刷固件 刷入9211 8i固件...