Instalando e configurando o ACIDLAB
# apt-get install acidlab acidlab-doc acidlab-mysql libphp-adodb libphp-phplot wwwconfig-common
OBS: Instalando o acilab-mysql e o acidlab-doc, o apt instala os demais como dependências.
Agora, vamos configurar o ACIDLAB. Primeiro, vamos criar um arquivo para declarar o site para o ACIDLAB no APACHE2:
# cd /etc/apache2/sites-avaliable
# touch acidlab
Agora vamos aproveitar a declaração pronta do acidalab para publicar o site no Apache2:
# vi acidlab
No vi, em modo comando (sem dar insert) digite ":r /etc/acidlab/apache.conf".
Veja que ele carrega os módulos de php3 e php4 sendo que temos que carregar individualmente, pois retiramos anteriormente da configuração geral.
Digite fora do insert :x ou :wq que o VI grava e sai.
Publicamos o novo site.
# a2ensite acidlab
Restartamos o Apache:
# /etc/init.d/./apache2 restart
Agora vamos configurar o ACIDLAB:
# vi /etc/acidlab/acid_conf.php
No VI, digite :32 você vai direto para a linha 32 onde começamos a alterar o seguinte trecho:
$alert_dbname = "snort_log";
$alert_host = "localhost";
$alert_port = "";
$alert_user = "root";
$alert_password = "mypassword";
/* Archive DB connection parameters */
$archive_dbname = "snort_archive";
$archive_host = "localhost";
$archive_port = "";
$archive_user = "root";
$archive_password = "mypassword";
Para:
$alert_dbname = "snort ";
$alert_host = "localhost";
$alert_port = "";
$alert_user = "acid";
$alert_password = "senha_do_acid";
/* Archive DB connection parameters */
$archive_dbname = "snort ";
$archive_host = "localhost";
$archive_port = "";
$archive_user = "snort";
$archive_password = "senha_do_snort";
Pronto, acesse http://localhost/acidlab utilizando algum browser (navegador). Vai parecer um erro, mas é normal na primeira vez a página que aparece, clique no link setup page que se encontra no texto da página.Depois no botão Create_ACID_AG.
E finalmente em home agora basta aguardar que começa a logar com o tempo e aparecer aí pode demorar algum tempo se sua rede tem pouco tráfego, o que você pode fazer é descomentar as rules que comentei anteriormente que causam fake positive para ver atividade no acidlab atualizando a página após reiniciar o snort:
# /etc/init.d/./snort restart
Depois comente as regras novamente e reinicie o snort novamente, pois não queremos falsos positivos.
Bom, era isso, estava devendo isso para vários alunos e se alguém da comunidade open aproveitar melhor ainda. Open source na veia! E espero que tenham gostado, poderia ter ficado melhor, mas "A preguiça é inimiga da perfeição".
Qualquer coisa entrem em contato.
Benone "E1 To5c0" Bitencourt