Escolar Documentos
Profissional Documentos
Cultura Documentos
http://linuxfacil.org/wiki/doku.php?id=howtos:sno...
Snort-mysql + Acidbase
Este howto vai mostrar a instalao do sistema detector de intruso snort fazendo logs em um banco de dados mysql. O Acidbase uma interface web que serve para ver os logs gerados no banco. Distro usada: Ubuntu 10.04 LTS
Instalao
Instale os pacotes:
apt-get install mysql-server mysql-client
Apache + php
Apt-get install apache2 php5 php5-mysql
Snort
apt-get install snort-mysql
perguntas,
apenas
aperte
ENTER
para
continuar.
Pois
configuraremos
Escreva as prximas linhas no incio do arquivo, ou logo aps o fim dos comentrios:
CREATE DATABASE snort; GRANT ALL PRIVILEGES ON snort.* TO snort IDENTIFIED BY '123456'; FLUSH PRIVILEGES; use snort;
Troque 123456 pela senha que desejar. Precisamos executar nosso script snort registrar:
1 of 3
27-06-2011 15:35
http://linuxfacil.org/wiki/doku.php?id=howtos:sno...
Pronto, preparamos o banco para o snort. Agora vamos configura-lo para utilizar o banco. preciso apagar um arquivo para isso:
rm /etc/snort/db-pending-config
Responda todas as perguntas o padro. Preste ateno na pergunta da interface de rede e no endereo IP de rede que ele deve escutar. Para verificar que foi configurado corretamente, execute o seguinte:
grep grep "output database" /etc/snort/snort.conf cat /etc/snort/snort.debian.conf
O primeiro comando precisa mostrar uma linha que no est comentada sem # no incio informando as configuraes do banco. O segundo comando mostrar as outras configuraes respondidas na instalao. Caso no tenha dado certo, reveja os passos. Inicie o servio:
/etc/init.d/snort start
Pronto, seu snort j est funcionando e fuando a rede que ele participa. Para ver os registros de atividade dele vamos instalar o acidbase.
ACIDBASE
Para instalar:
apt-get install acidbase
O Acidbase mais astuto que o snort na instalao. Ele pede primeiro a senha do usurio root, depois a senha do usurio que ele vai criar pra ele e modifica o banco automaticamente. Ele tambm j configura seu prprio site no apache. Isso pdoe ser conferido checando os arquivos dentro de /etc/acidbse e o link simblico que ele cria dentro de /etc/apache2/conf.d Por padro o acidbase pode ser acessado apenas pelo prprio host. Voc pode liberar o acidbase para o mundo, para sua rede ou ainda restringir por senha. Neste exemplo vou liberar para nossa rede: Editar a linha 10 do arquivo /etc/acidbase/apache.conf e trocar para o seguinte exemplo (caso a rede seja 10.0.0.0/24)
2 of 3
27-06-2011 15:35
http://linuxfacil.org/wiki/doku.php?id=howtos:sno...
Recarregue o apache:
/etc/init.d/apache2 reload
Acesse o acidbase em http://seuip/acidbase [http://seuip/acidbase] Clique em criar o database. Clique em voltar para a pgina inicial. Pronto voc poder ver o que o snort fareja por essa interface web.
Exceto onde for informado ao contrrio, o contedo neste wiki est sob a seguinte licena:CC Attribution-Noncommercial-Share Alike 3.0 Unported [http://creativecommons.org/licenses/by-ncsa/3.0/]
3 of 3
27-06-2011 15:35