Debian Sarge + Snort + MySQL + Acidlab + Apache

Este artigo visa ensinar como montar um sistema de detecção de intrusos utilizando o MySQL para armazenar os alertas e o Apache para exibir as páginas de relatório que o Acidlab produz.

[ Hits: 71.599 ]

Por: Benone Bitencourt em 30/05/2006 | Blog: http://www.benone.com.br


Criando base de dados no MYSQL para o SNORT



Instalando o MySQL


# apt-get install mysql-server mysql-client libmysqlclient12-dev

Configurando a senha do root do MySQL:

# mysqladmin -u root password senhaparaorootdomysql

Quando você rodar:

# netstat -tap

deverá aparecer uma linha parecida com esta:

tcp        0      0 localhost.localdo:mysql *:*                     LISTEN     2449/mysqld

Isto significa que o MySQL está acessível na porta 3306. Se você não visualizar esta linha, edite o arquivo /etc/mysql/my.cnf e comente "skip-networking":

# skip-networking

Se você tiver que editar /etc/mysql/my.cnf, restarte o MySQL:

# /etc/init.d/mysql restart

Criando a base de dados do SNORT no MySQL:

Executados os passos acima, agora vamos passar para a preparação do mesmo para trabalhar com o snort.

# mysql -u root -p
Já no shell do MySQL:

CREATE DATABASE snort;
GRANT insert, select ON snort.* TO snort@localhost IDENTIFIED BY 'senha_do_snort';
GRANT insert, select, delete, update, create ON snort.* TO acid@localhost IDENTIFIED BY 'senha_do_acid';
QUIT


Agora, vamos instalar o SNORT e criar as suas estruturas da database:

# apt-get install snort-mysql snort-rules-default
# cd /usr/share/doc/snort-mysql
# gzip -d create_mysql.gz
# mysql -u root -p snort < create_mysql


Ambos os processos criarão a base de dados dentro do MySQL. Preparado o MySQL, agora vamos passar para o snort. Porque compilamos primeiro o mysql? Bom, porque o snort precisará de alguns cabeçalhos do MySQL que estarão presentes no sistema somente após o mesmo estar instalado e também porque o SNORT utiliza a estrutura de banco de dados do MYSQL. A libcap tem que estar instalada.

Página anterior     Próxima página

Páginas do artigo
   1. Apresentação dos programas
   2. Preparando o sistema para as configurações
   3. Criando base de dados no MYSQL para o SNORT
   4. Configuração do Apache
   5. Configuração do SNORT
   6. Configuração do ACIDLAB no APACHE
Outros artigos deste autor
Nenhum artigo encontrado.
Leitura recomendada

Labrador, um detector de intrusos

Configurando o IDS - Snort / Honeypot (parte 1)

Política de Segurança para Dispositivos Móveis

Enjaulamento de usuário no sistema operacional

Snort - The Open Source Network Intrusion Detection System

  
Comentários
[1] Comentário enviado por leoberbert em 30/05/2006 - 14:13h

Excelente artigo... Bem completo e eficaz... testado e aprovado!!!

CONGRATULATIONS!!!

[2] Comentário enviado por dcyrillo em 19/07/2006 - 10:59h

Olá!
Fiz tudo certinho, artigo excelente!
Estou achando estranho ele nao está logando no banco de dados, aonde eu posso verificar o log para encontrar aonde está o erro?

[3] Comentário enviado por B3n0ne em 16/08/2006 - 13:04h

faz assim:
vai no /etc/my.cnf e habilite os log do mysql neste arquivo...
Hum como habilita falhou agora googla aí...hehehehe


[4] Comentário enviado por fontebon em 07/01/2007 - 04:17h

Muito Bom ....parabens...funcionou legal
Uma pergunta tem alguma ferramenta para traduzir para portugues o acidlab
Outra coisa verifiquei que ususrio snort nao esta dando update na tabela do banco ceja abaixo:
Protocol: 17 (%22.222222) finds: 6 reversed: 0(%0.000000)
find_sucess: 5 find_fail: 1 percent_success: (%83.333333) new_flows: 1
database: mysql_error: Access denied for user: 'snort@localhost' to database 'snort'
SQL=UPDATE sensor SET last_cid = 0 WHERE sid = 2
database: Closing connection to database ""
Snort exiting

Outra coisa tem alguma ferramenta para testar tentiva de invasao

[5] Comentário enviado por duraes em 01/03/2007 - 17:20h

Aew!

Artigo porreta! Parabéns!

Ao colera fontebon:

Sugiro instalar o phpmyadmin ( vou via console do mysql mesmo ) liberar esse privilégio para o usuário snort.

abraços,

Capita

[6] Comentário enviado por b3n0ne em 05/04/2007 - 14:25h

Valeu os elogios...
Não costumo publicar tutoriais, mas já que vocês gostaram vou arranjar tempo para escrever mais alguns, mas gosto de fazer o mais completo possível, aí se o bonito for newbie não tem problema AhauhaUHAUhauahuah brincadeiras a parte a comunidade do site do vivaolinux já me ajudou bastante vou devolvendo aos poucos...

[7] Comentário enviado por epgielow em 18/10/2007 - 14:50h

se liga ai que o usuario snort no arquiv snort.conf na parte de data base esta com um espaco no final.. isso tava dando problema!

falow!

[8] Comentário enviado por celsopimentel em 06/11/2007 - 17:49h

Parabéns, me ajudou e muito. Pois estou estudando o framework OSSIM, que possui o snort no pacote. Tchê, já fiz treinamento com você na sis....
Outra, quando tiver um tempo da uma olhada no www.ossim.net, achei muito interessante.
Abraço!

[9] Comentário enviado por durama em 08/06/2008 - 19:17h

Muito bom, vou testar!


Contribuir com comentário




Patrocínio

Site hospedado pelo provedor RedeHost.
Linux banner
Linux banner
Linux banner

Destaques

Artigos

Dicas

Tópicos

Top 10 do mês

Scripts