1. sbk_install.sh腳本有八個主要配置參數,配置文件決定了Sebek收集什麼樣的信息及發送信息的目的地等信息。
INTERFACE/接口:決定記錄某個端口的數據,該接口不需要配IP地址。默認值是eth0。
DESTINATION IP/目標IP:指定Sebek生成的數據包中的目的IP地址。因爲Sebek服務端在收集數據包的時候
並不查看數據包的目的地址,所以這裏沒有不要配置成Sebek服務端的IP地址。如果我們配置成服務端的IP地址,
在入侵者發現這些數據包的時候,很容易被入侵者看出AGSSH模型的網關。
DESTINATION MAC/目標MAC地址:由於Sebek不使用ARP協議,所以這個選項必須使用網關的MAC地址。
在測試的時候,可以把它設置成FF:FF:FF:FF:FF:FF,通過局域網廣播到每臺主機。
MAGIC VALUE/Magic值:結合目的端口號一起確定蜜罐系統上需要隱藏的數據包。一般情況下,同局域網上的
所有Sebek客戶端配置成同樣的Magic值和目的端口號。
DESTINATION UDP PORT/目標UDP端口:指定Sebek數據包的目的UDP端口號,與MAGIC值一起決定了隱藏何種數據包。
SOURCE UDP PORT/源UDP端口:定義了Sebek數據包的源UDP端口號。
KEYSTROKES ONLY/擊鍵情況:這個選項只能設置成1或0。如果是1,那麼Sebek只收集擊鍵記錄。如果是0,
則記錄系統所有的read數據。
TESTING/測試:二進制測試標識,如果設置了該標識,將會發生兩種情況:內核模塊不會隱藏;模塊中附加的debug
調試信息會被激活,並且debug信息會被記錄到syslog。