靖轩

找回遗失的Message背景在CentOS7和之前的版本中，系统日志统一存储在/var/log/message 中,方便进行统一分析和整理。但在Ubuntu中，大量的日志信息按照类别和级别被分别导入到 /var/log目录下的不同文件中，提供了一些快捷功能的同时，却导致原有的日志收集和归档程序出问题了。所以，我们需要重新开启messages。 方法安装rsyslog12sudo apt install rsyslogsudo systemctl enable rsyslog --now 修改配置文件123456789101112131415vim /etc/rsyslog.d/50-default.conf----------------------------------# 编辑31行到34行，去掉注释 25 # 26 # Some "catch-all" log files. 27 # 28 #*.=debug;\ 29 # auth,authpriv.none;\ 30 # ...

背景运维组内部有一个服务器日志的离线备份需求： Filebeat将日志打到一个WindowsServer的SMB共享上，然后要通过FTP的形式在办公环境进行离线备份； 要在生产环境备份服务器上保留14天以防线下备份失效； 方案 生产环境备份服务器提供相应文件夹共享，并开放权限； 建立计划任务，定时打包实现文件备份转储以及删除超过14天的备份文件； 线下建立离线存储服务器，同步FTP数据到加密磁盘 线下磁盘的定期轮转和永久存储 脚本 基于时间的命名备份方案1234567891011121314151617181920@echo off::该脚本已被放弃，原因是备份源文件的日期和打包备份日期相差4天，导致题不对版::设置7z的命令行程序路径set zip7=C:\Program Files\7-Zip\7z.exe::设置压缩包保存路径set Save=D:\temp::当天日期，备份文件名set curdate=%date:~0,4%-%date:~5,2%-%date:~8,2%::设置要打包压缩的文件夹set...

...

批量更新Wazuh主机配置文件和漏洞库综述相比较单机版本，群集化的Wazuh需要处理的第一个问题就是如何保证ossec.conf文件和漏洞库的统一配置、统一更新、统一下发。以下将使用简单的Ansible命令和Shell脚本实现前述功能。 2021.07 摄于天津北辰·天津西站 建立共享 部署Nginx 1234# 在wazuh-master上安装Nginxyum install -y nginxmkdir -p /var/www/wazuhchown -R nginx:nginx /var/www/wazuh 下载更新 12345678910111213141516171819202122232425# 下载离线文件cd /var/www/wazuh/# 下载Ubuntu 20.04的漏洞种子wget -N https://people.canonical.com/~ubuntu-security/oval/com.ubuntu.focal.cve.oval.xml.bz2# 下载RHEL 7 8的漏洞种子文件wget...

综述在中大型网络环境中，单台Allinone的Wazuh系统或者单节点的分布式部署Wazuh系统从性能上已经无法满足日志分析和漏洞扫描的需求，因此应当采用高可用、多节点的分布式部署来满足Wazuh对CPU和存储的要求。 序号 系统描述 配置 网络地址 系统角色 1 Lvsnode1 1c/1g 192.168.79.51 LVS+KeepLived 提供VIP和负载均衡 2 Lvsnode2 1c/1g 192.168.79.52 LVS+KeepLived...

节点状态相关 检查节点是否运行 1curl -XGET http://localhost:9200 检查节点健康状态 1curl -XGET http://localhost:9200/_cluster/health\?pretty 检查群集节点状态 1curl -XGET http://192.168.248.148:9200/_cat/nodes?v 分片状态相关 检查分片健康1curl http://localhost:9200/_cat/indices 检查所有分片1curl -XGET http://localhost:9200/_cat/shards 删除分片1curl -XDELETE http://127.0.0.1:9200/wazuh-alerts-3.x-2021.05.16 设置分片数1curl -XPUT "127.0.0.1:9200/_cluster/settings" -H 'Content-Type: application/json' -d...

在运维工作中，我们经常会用到公用手机不在手边的情况。比如，我们在休假或者外出期间紧急对公司注册的云资源进行变更的时候，相关验证码必须要使用短信接收，而手机却在半个城市之外的公司办公室。还有一种情况就是每天都有人来找公用手机翻检验证码，这样对当值运维人员不胜其烦。 为了避免这种情况的蔓延，找到了使用旧安卓机进行SMS2Email改造的小程序。 具体设置如下图： 效果： 该程序名称为 TranspondSMS 官网地址为：http://tsms.allmything.com Github代码库：https://github.com/xiaoyuanhost/ 除了邮件之外，它还支持钉钉、微信机器人已经web页面等告警方式，以后会慢慢深入它的应用。

ClamAV本来是为了Postfix邮件网关而开发的防毒软件，主要目的是对邮件队列里面的邮件进行病毒查杀。然后，这个防毒模块独立出来成为一个提供病毒、恶意软件、蠕虫的查杀能力的开源软件，成为了Linux环境下实现文件安全的主要选择。� 部署ClamAV 添加EPEL源12345678910111213# ClamAV的RHEL/CentOS源是直接用epel来发布的yum cleanallyum makecacheyum install -y git python3-pipyum install -y epel-release# 添加华为云源sed -i "s/#baseurl/baseurl/g" /etc/yum.repos.d/epel.reposed -i "s/metalink/#metalink/g" /etc/yum.repos.d/epel.reposed -i "s@https\?://download.example/pub@https://repo.huaweicloud.com@g"...

本文的源于领导的一句问句，Wazuh能监控PG数据库的漏洞么？然后结合实际环境搭建了一套环境进行了测试。结论是：能，然而并不能。 使用操作系统官方软件库 安装数据库 123yum makecache# 系统自带版本为10yum install -y postgresql postgresql-server 启动数据库 123# 启动服务postgresql-setup initdbsystemctl enable postgresql.service --now 执行漏洞检测 使用数据库官方软件库 安装数据库123456# 安装PG官方源yum install -y https://download.postgresql.org/pub/repos/yum/reporpms/EL-8-x86_64/pgdg-redhat-repo-latest.noarch.rpm# 更新源，时间较长，需要确认添加那个版本PG，我们以12版本为例yum makecache# 安装数据库yum install -y postgresql12...