2017年9月25日 星期一

Ubuntu 16.04 安裝ntopng


將 Switch 之流量,以Port Mirror方式監視網路流量



網卡ens192即為Port Mirror的Port,將enp 192 設為up,IP可設或是不設。


可以使用tcpdump設測試是否有封包進來

 # wget http://apt-stable.ntop.org/16.04/all/apt-ntop-stable.deb
 # dpkg -i apt-ntop-stable.deb
 # apt-get clean all
 # apt-get update
 # apt-get install ntopng                         安裝ntopng
 # systemctl start ntopng.service            啟動ntopng 

使用瀏覽器開啟 http://< ntopng IP>:3000 
第一次預設燈入帳號admin 密碼 admin     












系統提示第一次登入,更改admin的密碼














即可看到Dashboard











PS. 要記得將Interfaces指定為Port Mirror的網卡,才收得到網路流量。




2017年9月22日 星期五

VNXe 1600 IOPS 測試使用Oracle Orion

測試環境
ESXi                5.5
gues OS:         ubuntu 16.04

Datasotre:       主機內接SAS  Disk  v.s.  VNXe 1600 v.s 內接SSD Disk

sda          SASII Disk *4 (Raid 5)
sdc          vnxe 1600  (Raid 5)               
sdd          內接NVMeSSD硬碟           




# mkfs.ext4 /dev/sdc1
# mkfs.ext4 /dev/sdd1
# mkdir /vnx-lun  /ssd-lun


# gzip -d orion_linux_x86-64.gz

執行時可能會發生libaio.so.1這Library沒有
# ./orion_linux_x86-64
./orion_linux_x86-64: error while loading shared libraries: libaio.so.1: cannot open shared object file: No such file or directory

安裝libaio.so.1
# apt-get install libaio1

編輯要測試的Disk,分別為內接硬碟、VNXe、內接SSD

# cat internal.lun vnxe1600.lun ssd.lun
/dev/sda1
/dev/sdc1
/dev/sdd1

# ./oracle_linu_x86_64 -run oltp -testname vnxe1600

Oracle Orion 測試結果:

IOPS 部份-

VNXe 1600 RAID 5 IOPS與內接SSD差不多,大概都有18萬左右。






Latency部份-






PS. 1. VNXe1600 內有兩顆200G SSD為Cache
       2. VNXe1600 及 內接SSD 僅切出Lun,沒有資料在內。







2017年9月7日 星期四

Ubuntu 16.04 LTS Audit 設定


 auditctl    (控制系統核心的稽核功能,其中包含新增與刪除稽核項目)
 ausearch  (條件式查詢稽核的記錄內容)
 aureport  (稽核報告清單檢視)

# apt-get install auditd audispd-plugins
# auditctl -l
No rules 

# useradd kitty
# passwd kitty
Enter new UNIX password:
Retype new UNIX password:
passwd: password updated successfully

# ausearch -f /etc/passwd


# cat /etc/passwd | grep kitty
kitty:x:1001:1001::/home/kitty:

設定特定User kitty 存取的audit
# auditctl -a exit,always -F arch=x86_64 -S open -F auid=1001

# auditctl -l
-w /etc/passwd -p wa
-a always,exit -F arch=b64 -S open -F auid=1001

以帳號kitty登入,並執行下列指令
$ mkdir 123
$ top

ausearch --start today --loginuid 1001 > /tmp/kitty.audit
# vi /tmp/kitty.audit




監控特定目錄/var/www/html/public
-w /var/www/html/public/ -p wa -k WebPageChange

在/usr/share/doc/auditd/examples目錄下有幾個國際規範範例
capp.rules.gz
lspp.rules.gz
nispom.rules.gz
stig.rules.gz

以設定CAPP規範為例
# cp /usr/share/doc/auditd/examples/capp.rules.gz /etc/audit
# gzip -d  /etc/audit/capp.rules.gz


# auditctl -R /etc/audit/capp.rules
或是
# cp /etc/audit/capp.rules  audit.ruels
# systemctl restart auditd                       重啟auditd服務
## auditctl -l
-a always,exit -F arch=b32 -S stime,settimeofday,adjtimex -F key=time-change
-a always,exit -F arch=b64 -S adjtimex,settimeofday -F key=time-change
-a always,exit -F arch=b32 -S clock_settime -F a0=0x0 -F key=time-change
-a always,exit -F arch=b64 -S clock_settime -F a0=0x0 -F key=time-change
-w /etc/localtime -p wa -k time-change
-w /etc/group -p wa -k identity
-w /etc/passwd -p wa -k identity
-w /etc/gshadow -p wa -k identity
-w /etc/shadow -p wa -k identity
-w /etc/security/opasswd -p wa -k identity
-a always,exit -F arch=b32 -S sethostname,setdomainname -F key=system-locale
-a always,exit -F arch=b64 -S sethostname,setdomainname -F key=system-locale
-w /etc/issue -p wa -k system-locale
-w /etc/issue.net -p wa -k system-locale
-w /etc/hosts -p wa -k system-locale

Audit Report的簡單使用
# ausearch -ua 1001 -i                                                     在Audit Log上屬於uid 1001的User紀錄
# aureport --start 12/22/2018 00:00:00 --end 12/28/2018 00:00:00      一段時間內的Summary Report