28 Nisan 2007

Pardus ve honeyd...

Uzun zamandır (herhalde 2 seneye yakın olmuştur) Linux Gezegeni'ni takip eden biri olarak yazıları çıkan kişileri ismen tanıyordum. Hatta zamanında öğrencim daha sonra çalışma arkadaşım olan Emre ile takip ediyorduk. Ancak çok gezen biri olmadığımdan hiçbiri ile tanışma fırsatım olmamıştı. AB 2007 de birkaçını görme fırsatım oldu ama tanışma fırsatım olmadı. Bu arada Ümran'ın üstünde gördüğüm tişörtten bende istiyom. Kendime ve oğluma. Satılıyor ise almak isterim. Konuyu dağıtmayayım. Ulaknet Çalıştayı'nda da Necdet Hoca ile tanışma fırsatım oldu. Hemde bi kavanoz bal sayesinde :) Eh boşuna dememişler tatlı yiyelim tatlı konuşalım diye. Hocam sağolsun bana honeyd için gereken pisi paketlerini sağladı. Tabi ki bu paketleri yapan Cem Sönmez e ayrıca teşekkür ederim. Pisi paketlerini aldım. Sildiğim pardus u yeniden kurdum. Güncellemelerini yaptım. Ardından "pisi install libunwind-0.99_alpha1-1.pisi libdnet-1.11-1.pisi libdnsres-0.1a-1.pisi honeyd-1.5b-1.pisi arpd-0.2-1.pisi" ile paketler topluca kurulmak istendi. Ancak bu hınzır arpd paketi gene sorun çıkardı. Bu seferde iproute2 paketi ile bereber daha önceden gelmiş meğerse. Honeyd ile ilgili okuduğum tüm dökümanlarda arpd kullanılıyordu ama bana nasip olmayacak herhalde. Dökümanlarda olduğu gibi nedense kullanamadım. Sağolsun linux, gene iş "arp" komutu ile statik olarak ekleme ile halloldu.

Honeyd Linux Toolkit i de yükledikten sonra, içinden çıkan örnek "honeyd.conf" u modifiye ederek kullandım. Hatta toolkit in içinde "start-honeyd.sh" betiği güzel olmuş. Uzun uzun yazmaktansa kolaylık sağlıyor. Bu arada betik içindeki satırın son kısmındaki network adreslerini kaldırıp yerine "-i eth0" yazmak daha kolaylık sağlıyor. Yani komut satırı;
./honeyd -f honeyd.conf -p nmap.prints -x xprobe2.conf -a nmap.assoc -0 pf.os -l /var/log/honeyd.log -i eth0
olarak çalıştırdım. İki günlükte log tutturdum. Gayet güzel ve rahat çalıştı. Aslında bu noktadan sonra "Honeyview" e biraz asılıp log analizine dalmak lazım.

Lafı fazla uzatmadan, söz verdiğim belge yüksek ihtimalle bu haftasonu çıkacak. Geç olcak ama güç olmayacak.

Dipnot: Dört yıldır Emre ile "gidelim, gidecez" diye diye gidemeden kaldığımız Linux Şenliği'ne kafaya koyup bu sene gideceğim demiştim. Hatta yetişmiş olsaydı Honeyd için bile bir sunum yapayım demiştim. Ama bu iş bize nasip olmayacak herhal. O haftasonu CNAP kurslarım var. Umarım geçen seneki gibi önemli sunumların video kayıtları olur da hiç değilse bu şekilde üzüntümüzü azaltırız.

5 yorum:

Necdet Yücel dedi ki...

İşlerin yolunda gitmesine sevindim.

Şimdi bir de "Honeyd Linux Toolkit" ve "Honeyview" paketlerini yapması lazım demek ki Cem'in.

Şenlikde görüşebilmeyi isterdim ama başka sefere artık.

KoRaY dedi ki...

Hocam, "Honeyd Linux Toolkit" ve "Honeyview" için acele etmeyelim. Toolkit i Cem arkadaşımız incelerse, içerisinden honeypotlar için kullandığımız betikler ile binary olarak hazırlanmış honeyd ve arpd çıkıyor. Benim fikrim, bu iki binary dışında kalanları (betikler, fingerprintler ve 2 güzel döküman) pardus için hazırladığımız honeyd paketi içine gömebilirseniz herşey el altında hazır olmuş olur.

Honeyview ise mysql ve php gereksinimli olduğundan biraz daha karışık olabilir. Kurup çalıştırmadan bir fikir veremeyeceğim.

Emre KARAOĞLU dedi ki...

Hocam, şenlikteyim... :)
4 yılın sonunda ben bu yıl şeytanın bacağını kırıyorum. Aslında geçen haftaya kadar belki demeye devam ediyordum fakat geçen hafta Cumartesi saat 11:15'e aldığım bir seminer sayesinde kesinleştirmiş oldum :) Gelebilmeni çok isterdim, aslında şu CNAP'i bu hafta için birilerine satabilsen tam süper olurdu... :)
Sevgiyle...

Necdet Yücel dedi ki...

Aslında istediklerinizi Cem'e yazsanız da daha işe yarar paketler ortaya çıksa ne güzel olur.

Şenlikte görüşmek üzere

Cem Sönmez dedi ki...

Evet, özellikle sanırım Honeyd üzerine yapılabilecek bayağı bir paket var. İhtiyaç duyduğunuz paketlerin yapımı için bana haber verirseniz sanırım yardımcı olabilirim.