SAMSB - Snort + Apache2 + MySQL + Snorby e BarnYard2 no Debian

Infosegura

Tutorial para instalação do sistema de detecção de intrusão na rede Snort logando no banco de dados MySQL através do BarnYard2 e visualizando os logs e gráficos gerenciais pelo Snorby, rodando no servidor Web Apache2, tudo isso dentro do Debian.

[ Hits: 37.175 ]

Por: Luiz Cezar em 11/08/2011

1 0

Denuncie Favoritos Indicar Impressora

Iniciando tudo

Vamos reiniciar o Snort:

# /etc/init.d/snort restart

Iniciando o Snorby:

# cd /var/www/snorby
# ruby script/delayed_job -e production

*** Os comandos acima para inicialização do Snorby deverão ser executados sempre na inicialização do sistema, sugiro colocá-los no /etc/rc.local.

Acesse o Snorby pelo navegador:

http://<ip_snorby>

Coloque o usuário e senha:

Usuário: snorby@snorby.org
Senha: snorby

A tela principal, onde o "Dashboard", é atualizado a cada 30 min e os eventos são atualizados imediatamente.

Verifique se o Snorby Worker, está funcionando clicando em:

Administration > Administrator Menu > Worker & Job Queue“

Altere a senha do administrador.

Referências

Página anterior

Páginas do artigo

   1. Instalando o MySQL, Snort e o BarnYard2
   2. Instalando o Apache2, Snorby
   3. Editando o Apache2
   4. Iniciando tudo

Outros artigos deste autor

icinga no Ubuntu 13.10 - Instalação e configuração

Leitura recomendada

Descobrindo chave WPA2 com Aircrack-ng

Ultimate Nmap

Restrição em diretórios usando o Apache2 sem mistérios

Descobrindo serviço através das portas

Implementação de WAF mod_security e integração com Graylog utilizando Filebeat e Logstash

Comentários

[1] Comentário enviado por blade_ander em 12/08/2011 - 11:35h

Excelente artigo!

Gostaria somente de deixar algumas dificuldades que tive:

- Problemas com módulo dm-active_model.
Informação: dm-active somente roda na versão maior que a informada.
Solucão: gem update --system

- Problemas no rank: undefined method `symbolize_keys' for nil:NilClass
Informação: Problemas de espaço na edição dos arquivos .yml. Verifique os espaços comparando com o original.

- Problemas no rank: uninitialized constant Rake::DSL
Informação: Necessário atualizar o RANK
Solução: gem install rank

- Problema ao executar o comando: ruby script/delayed_job -e production

Erro:
DataObjects::URI.new with arguments is deprecated, use a Hash of URI components (/usr/local/lib/ruby/gems/1.9.1/gems/dm-do-adapter-1.1.0/lib/dm-do-adapter/adapter.rb:231:in `new')
ERROR: no command given

Informação: Houve alteração do comando na nova versão.

Solução: Roda comando: ruby script/delayed_job start production

Espero que tenha ajudado.

Abs,
Anderson.

1 0

[2] Comentário enviado por imasters em 15/08/2011 - 11:53h

Oi Anderson, tudo bom?
Sou editora do iMasters, um dos nossos desenvolvedores indicou esse seu artigo. Temos interesse em republica-lo no iMasters, o que você acha? Por favor, me responda no rina.noronha@imasters.com.br

0 0

[3] Comentário enviado por volcom em 18/08/2011 - 15:15h

Cara,

Estava tudo indo tranquilo...e creio que iria até o final se não fosse o seguinte problema:

checking for pfring_open in -lpcap... no

ERROR! Libpcap library/headers (libpcap.a (or .so)/pcap.h)
not found, go get it from http://www.tcpdump.org
or use the --with-libpcap-* options, if you have it installed
in unusual place. Also check if your libpcap depends on another
shared library that may be installed in an unusual place

Instalei várias versões e tentei soluções em forums, mas na maioria baseadas em distribuições RPM...

tem alguma dica por favor?

Tks

0 0

[4] Comentário enviado por infosegura em 18/08/2011 - 15:27h

volcom, instala o libpcap-dev e veja se funciona!

0 0

[5] Comentário enviado por volcom em 18/08/2011 - 15:38h

Coisa linda!

Deu certo hehehe

Tks!

0 0

[6] Comentário enviado por fajo em 27/06/2012 - 11:11h

Amigo, estou seguindo seu tutorial a risca, mas ao chegar no comando "rake snorby:setup RAILS_ENV=production" tenho um erro:
rake aborted!
undefined method `symbolize_keys' for nil:NilClass

com --trace:
rake aborted!
undefined method `symbolize_keys' for nil:NilClass
/var/www/snorby/config/application.rb:31:in `<module:Snorby>'
/var/www/snorby/config/application.rb:13:in `<top (required)>'
<internal:lib/rubygems/custom_require>:29:in `require'
<internal:lib/rubygems/custom_require>:29:in `require'
/var/www/snorby/Rakefile:4:in `<top (required)>'
/usr/local/lib/ruby/gems/1.9.1/gems/rake-0.9.2/lib/rake/rake_module.rb:25:in `load'
/usr/local/lib/ruby/gems/1.9.1/gems/rake-0.9.2/lib/rake/rake_module.rb:25:in `load_rakefile'
/usr/local/lib/ruby/gems/1.9.1/gems/rake-0.9.2/lib/rake/application.rb:495:in `raw_load_rakefile'
/usr/local/lib/ruby/gems/1.9.1/gems/rake-0.9.2/lib/rake/application.rb:78:in `block in load_rakefile'
/usr/local/lib/ruby/gems/1.9.1/gems/rake-0.9.2/lib/rake/application.rb:129:in `standard_exception_handling'
/usr/local/lib/ruby/gems/1.9.1/gems/rake-0.9.2/lib/rake/application.rb:77:in `load_rakefile'
/usr/local/lib/ruby/gems/1.9.1/gems/rake-0.9.2/lib/rake/application.rb:61:in `block in run'
/usr/local/lib/ruby/gems/1.9.1/gems/rake-0.9.2/lib/rake/application.rb:129:in `standard_exception_handling'
/usr/local/lib/ruby/gems/1.9.1/gems/rake-0.9.2/lib/rake/application.rb:59:in `run'
/usr/local/lib/ruby/gems/1.9.1/gems/rake-0.9.2/bin/rake:32:in `<top (required)>'
/usr/local/bin/rake:19:in `load'
/usr/local/bin/rake:19:in `<main>'

vc poderia me informar qual o problema?
uso o Debian Squeeze.

Grato.

0 0

[7] Comentário enviado por euriam em 17/08/2012 - 13:00h

Prezado,

Estou necessitando da sua ajuda:
Na parte final da instalação e ocorre a seguinte mensagem:

/var/www/snorby# bundle install

Fetching gem metadata from http://rubygems.org/.....">http://rubygems.org/......
Fetching gem metadata from http://rubygems.org/..
Updating http://github.com/Snorby/delayed_job_data_mapper.git

error: The requested URL returned error: 403

fatal: Could not parse object '6f1c4a8c3ad62e4ef6baafec9a2a9914d0643085'.

Git error: command `git reset --hard 6f1c4a8c3ad62e4ef6baafec9a2a9914d0643085` in directory /var/www/snorby/vendor/bundle/ruby/1.9.1/bundler/gems/delayed_job_data_mapper-6f1c4a8c3ad6 has failed.

If this error persists you could try removing the cache directory '/var/www/snorby/vendor/bundle/ruby/1.9.1/cache/bundler/git/delayed_job_data_mapper-431f00851d1c0120050c4c484e6372165f307abc'

Parabéns pelo artigo!

0 0

[8] Comentário enviado por RRafael em 11/04/2017 - 14:17h

Esse problema acontece por que os dois arquivos criados "snorby_config" e ou "database.yml" esta incorreto !!
Para resolver você pode ;

git clone git://github.com/Snorby/snorby.git
sudo cp -r snorby/ /var/www
cd /var/www/snorby/
bundle install

cp /var/www/snorby/config/database.yml.example /var/www/snorby/config/database.yml
vim /var/www/snorby/config/database.yml
colocar a senha root do mysql
cp /var/www/snorby/config/snorby_config.yml.example /var/www/snorby/config/snorby_config.yml
sed -i s/"\/usr\/local\/bin\/wkhtmltopdf"/"\/usr\/bin\/wkhtmltopdf"/g /var/www/snorby/config/snorby_config.yml

sudo bundle exec rake snorby:setup

E pronto !! Ele vai instalar !!

0 0