Debian Sarge + Snort + MySQL + Acidlab + Apache

B3n0ne

Este artigo visa ensinar como montar um sistema de detecção de intrusos utilizando o MySQL para armazenar os alertas e o Apache para exibir as páginas de relatório que o Acidlab produz.

[ Hits: 75.764 ]

Por: Benone Bitencourt em 30/05/2006 | Blog: http://www.benone.com.br

0 0

Denuncie Favoritos Indicar Impressora

Preparando o sistema para as configurações

Removendo e instalando algumas coisinhas. Antes de qualquer operação de pacotes, vamos conferir nosso repositório e atualizá-lo. Obtive bons resultados com o FTP da Debian no Brasil:

# apt-setup

Escolha o FTP --> BRASIL --> ftp.br.debian.org ou ftp.us.debian.org, pode comentar os demais mirrors em /etc/apt/sources.list e manter apenas os novos dacftp.br.debian.org ou ftp.us.debian.org e da security.debian, após isso atualize:

# apt-get update

A intenção aqui é fornecer um exemplo de remoção de softwares desnecessários e instalação dos necessários bem como edição do inet.

# apt-get install wget bzip2 unzip zip ncftp nmap openssl lynx fileutils
# apt-get remove lpr nfs-common portmap pidentd pcmcia-cs pppoe pppoeconf ppp pppconfig
# update-rc.d -f exim remove
# update-inetd --remove daytime
# update-inetd --remove telnet
# update-inetd --remove time
# update-inetd --remove finger
# update-inetd --remove talk
# update-inetd --remove ntalk
# update-inetd --remove ftp
# update-inetd --remove discard

Instalando o Apache2 com suporte a PHP4 e mais uns "trequinhos":

# apt-get install apache2 apache2-doc # apt-get install libapache2-mod-php4 libapache2-mod-perl2 php4 php4-cli php4-common php4-curl php4-dev php4-domxml php4-gd php4-imap php4-ldap php4-mcal php4-mhash php4-mysql php4-odbc php4-pear php4-xslt curl libwww-perl imagemagick

Página anterior Próxima página

Páginas do artigo

   1. Apresentação dos programas
   2. Preparando o sistema para as configurações
   3. Criando base de dados no MYSQL para o SNORT
   4. Configuração do Apache
   5. Configuração do SNORT
   6. Configuração do ACIDLAB no APACHE

Outros artigos deste autor

Nenhum artigo encontrado.

Leitura recomendada

Elastic SIEM - Instalação e Configuração do LAB (Parte I)

Replicação com OpenLDAP

Capturando e-mails da rede com Mailsnarf

Automatizando as atualizações no Linux

KNOCK + SSH

Comentários

[1] Comentário enviado por leoberbert em 30/05/2006 - 14:13h

Excelente artigo... Bem completo e eficaz... testado e aprovado!!!

CONGRATULATIONS!!!

0 0

[2] Comentário enviado por dcyrillo em 19/07/2006 - 10:59h

Olá!
Fiz tudo certinho, artigo excelente!
Estou achando estranho ele nao está logando no banco de dados, aonde eu posso verificar o log para encontrar aonde está o erro?

0 0

[3] Comentário enviado por B3n0ne em 16/08/2006 - 13:04h

faz assim:
vai no /etc/my.cnf e habilite os log do mysql neste arquivo...
Hum como habilita falhou agora googla aí...hehehehe

0 0

[4] Comentário enviado por fontebon em 07/01/2007 - 04:17h

Muito Bom ....parabens...funcionou legal
Uma pergunta tem alguma ferramenta para traduzir para portugues o acidlab
Outra coisa verifiquei que ususrio snort nao esta dando update na tabela do banco ceja abaixo:
Protocol: 17 (%22.222222) finds: 6 reversed: 0(%0.000000)
find_sucess: 5 find_fail: 1 percent_success: (%83.333333) new_flows: 1
database: mysql_error: Access denied for user: 'snort@localhost' to database 'snort'
SQL=UPDATE sensor SET last_cid = 0 WHERE sid = 2
database: Closing connection to database ""
Snort exiting

Outra coisa tem alguma ferramenta para testar tentiva de invasao

0 0

[5] Comentário enviado por duraes em 01/03/2007 - 17:20h

Aew!

Artigo porreta! Parabéns!

Ao colera fontebon:

Sugiro instalar o phpmyadmin ( vou via console do mysql mesmo ) liberar esse privilégio para o usuário snort.

abraços,

Capita

0 0

[6] Comentário enviado por b3n0ne em 05/04/2007 - 14:25h

Valeu os elogios...
Não costumo publicar tutoriais, mas já que vocês gostaram vou arranjar tempo para escrever mais alguns, mas gosto de fazer o mais completo possível, aí se o bonito for newbie não tem problema AhauhaUHAUhauahuah brincadeiras a parte a comunidade do site do vivaolinux já me ajudou bastante vou devolvendo aos poucos...

0 0

[7] Comentário enviado por epgielow em 18/10/2007 - 14:50h

se liga ai que o usuario snort no arquiv snort.conf na parte de data base esta com um espaco no final.. isso tava dando problema!

falow!

0 0

[8] Comentário enviado por celsopimentel em 06/11/2007 - 17:49h

Parabéns, me ajudou e muito. Pois estou estudando o framework OSSIM, que possui o snort no pacote. Tchê, já fiz treinamento com você na sis....
Outra, quando tiver um tempo da uma olhada no www.ossim.net, achei muito interessante.
Abraço!

0 0