Você está na página 1de 3

howtos:snort-mysql [LinuxFcil - howtos, docs, co...

http://linuxfacil.org/wiki/doku.php?id=howtos:sno...

Snort-mysql + Acidbase
Este howto vai mostrar a instalao do sistema detector de intruso snort fazendo logs em um banco de dados mysql. O Acidbase uma interface web que serve para ver os logs gerados no banco. Distro usada: Ubuntu 10.04 LTS

Instalao
Instale os pacotes:
apt-get install mysql-server mysql-client

Escolha uma senha para o usurio root no banco.

Apache + php
Apt-get install apache2 php5 php5-mysql

Snort
apt-get install snort-mysql

Para todas as posteriormente.

perguntas,

apenas

aperte

ENTER

para

continuar.

Pois

configuraremos

Criando o banco de dados:


cd zcat /usr/share/doc/snort-mysql/create_mysql.gz > cria_mysql.sql vim cria_mysql.sql

Escreva as prximas linhas no incio do arquivo, ou logo aps o fim dos comentrios:
CREATE DATABASE snort; GRANT ALL PRIVILEGES ON snort.* TO snort IDENTIFIED BY '123456'; FLUSH PRIVILEGES; use snort;

Troque 123456 pela senha que desejar. Precisamos executar nosso script snort registrar:

cria_mysql.sql no mysql para criao do banco que o

1 of 3

27-06-2011 15:35

howtos:snort-mysql [LinuxFcil - howtos, docs, co...

http://linuxfacil.org/wiki/doku.php?id=howtos:sno...

cat cria_mysql.sql | mysql -u root -p

Pronto, preparamos o banco para o snort. Agora vamos configura-lo para utilizar o banco. preciso apagar um arquivo para isso:
rm /etc/snort/db-pending-config

Execute o comando abaixo para receber novamente as perguntas feitas na instalao:


dpkg-reconfigure snort-mysql

Responda todas as perguntas o padro. Preste ateno na pergunta da interface de rede e no endereo IP de rede que ele deve escutar. Para verificar que foi configurado corretamente, execute o seguinte:
grep grep "output database" /etc/snort/snort.conf cat /etc/snort/snort.debian.conf

O primeiro comando precisa mostrar uma linha que no est comentada sem # no incio informando as configuraes do banco. O segundo comando mostrar as outras configuraes respondidas na instalao. Caso no tenha dado certo, reveja os passos. Inicie o servio:
/etc/init.d/snort start

Pronto, seu snort j est funcionando e fuando a rede que ele participa. Para ver os registros de atividade dele vamos instalar o acidbase.

ACIDBASE
Para instalar:
apt-get install acidbase

O Acidbase mais astuto que o snort na instalao. Ele pede primeiro a senha do usurio root, depois a senha do usurio que ele vai criar pra ele e modifica o banco automaticamente. Ele tambm j configura seu prprio site no apache. Isso pdoe ser conferido checando os arquivos dentro de /etc/acidbse e o link simblico que ele cria dentro de /etc/apache2/conf.d Por padro o acidbase pode ser acessado apenas pelo prprio host. Voc pode liberar o acidbase para o mundo, para sua rede ou ainda restringir por senha. Neste exemplo vou liberar para nossa rede: Editar a linha 10 do arquivo /etc/acidbase/apache.conf e trocar para o seguinte exemplo (caso a rede seja 10.0.0.0/24)

2 of 3

27-06-2011 15:35

howtos:snort-mysql [LinuxFcil - howtos, docs, co...

http://linuxfacil.org/wiki/doku.php?id=howtos:sno...

allow from 10.0.0.0/255.255.255.0

Recarregue o apache:
/etc/init.d/apache2 reload

Acesse o acidbase em http://seuip/acidbase [http://seuip/acidbase] Clique em criar o database. Clique em voltar para a pgina inicial. Pronto voc poder ver o que o snort fareja por essa interface web.

howtos/snort-mysql.txt ltima modificao: 22/12/2010 17:57 por Eden Caldas

Exceto onde for informado ao contrrio, o contedo neste wiki est sob a seguinte licena:CC Attribution-Noncommercial-Share Alike 3.0 Unported [http://creativecommons.org/licenses/by-ncsa/3.0/]

3 of 3

27-06-2011 15:35

Você também pode gostar