Instalando o MySQL

No terminal:

# apt-get install mysql-server-5.1 mysql-client libmysqlclient12-dev

Durante a instalação será pedido a senha para o usuário root do MySQL, mas se houver algum problema configure a senha do root do MySQL com o comando:

# mysqladmin -u root password senharootdomysql

Vamos criar o banco de dados e o usuário para acessá-lo:

# mysql -u root -p

Já no shell do MySQL:

mysql> CREATE DATABASE snort;
mysql> GRANT all privileges ON snort.* TO snort@localhost IDENTIFIED BY 'senha_snort_mysql';
mysql> QUIT

Instalando o SNORT

No terminal:

# apt-get install snort-mysql snort-rules-default

Criando as tabelas para o Snort:

# zcat /usr/share/doc/snort-mysql/create_mysql.gz | mysql -u snort -h localhost -p snort

Agora vamos configurar o Snort editando o arquivo /etc/snort/snort.debian.conf.

Primeiro, configure a rede interna no parâmetro já existente:


Interface usada:


Vamos dizer para o Snort usar o banco de dados do MySQL. Edite o arquivo /etc/snort/database.conf e coloque:


Reinicie o Snort e pronto, já está funcionando e registrando no MySQL:

# /etc/init.d/snort restart

Instalando o BarnYard2

Baixe o BanrYard2 e instale:

# tar xvf barnyard2-1.8.tar.gz
# cd barnyard2-1.8
# ./configure --with-mysql
# make
# make install
# cd etc
# cp barnyard2.conf /etc/snort

Vamos configurar o arquivo /etc/snort/snort.conf. Comente com "#" a linha que diz respeito ao MySQL:


Adicione a linha:


Agora vamos editar o arquivo /etc/snort/barnyard2.conf:


Acrescente a linha:


Vamos criar as pastas para o uso do BarnYard2:

# mkdir /var/log/barnyard2
# mkdir /var/barnyard2

Reiniciar o Snort:

# /etc/init.d/snort restart

Iniciando o BarnYard2:

# cd /etc/snort
# barnyard2 -d /var/log/snort -f snort.out

*** Os comandos acima para inicialização do BarnYard2 deverão ser executados sempre na inicialização do sistema, sugiro colocá-los no /etc/rc.local.

[1] Comentário enviado por blade_ander em 12/08/2011 - 11:35h:

Excelente artigo!

Gostaria somente de deixar algumas dificuldades que tive:

- Problemas com módulo dm-active_model.
Informação: dm-active somente roda na versão maior que a informada.
Solucão: gem update --system

- Problemas no rank: undefined method `symbolize_keys' for nil:NilClass
Informação: Problemas de espaço na edição dos arquivos .yml. Verifique os espaços comparando com o original.

- Problemas no rank: uninitialized constant Rake::DSL
Informação: Necessário atualizar o RANK
Solução: gem install rank

- Problema ao executar o comando: ruby script/delayed_job -e production

Erro:
DataObjects::URI.new with arguments is deprecated, use a Hash of URI components (/usr/local/lib/ruby/gems/1.9.1/gems/dm-do-adapter-1.1.0/lib/dm-do-adapter/adapter.rb:231:in `new')
ERROR: no command given

Informação: Houve alteração do comando na nova versão.

Solução: Roda comando: ruby script/delayed_job start production


Espero que tenha ajudado.

Abs,
Anderson.

[2] Comentário enviado por imasters em 15/08/2011 - 11:53h:

Oi Anderson, tudo bom?
Sou editora do iMasters, um dos nossos desenvolvedores indicou esse seu artigo. Temos interesse em republica-lo no iMasters, o que você acha? Por favor, me responda no rina.noronha@imasters.com.br

[3] Comentário enviado por volcom em 18/08/2011 - 15:15h:

Cara,

Estava tudo indo tranquilo...e creio que iria até o final se não fosse o seguinte problema:

checking for pfring_open in -lpcap... no

ERROR! Libpcap library/headers (libpcap.a (or .so)/pcap.h)
not found, go get it from http://www.tcpdump.org
or use the --with-libpcap-* options, if you have it installed
in unusual place. Also check if your libpcap depends on another
shared library that may be installed in an unusual place


Instalei várias versões e tentei soluções em forums, mas na maioria baseadas em distribuições RPM...

tem alguma dica por favor?

Tks

[4] Comentário enviado por infosegura em 18/08/2011 - 15:27h:

volcom, instala o libpcap-dev e veja se funciona!

[5] Comentário enviado por volcom em 18/08/2011 - 15:38h:

Coisa linda!

Deu certo hehehe

Tks!