Debian Sarge + Snort + MySQL + Acidlab + Apache

B3n0ne

Este artigo visa ensinar como montar um sistema de detecção de intrusos utilizando o MySQL para armazenar os alertas e o Apache para exibir as páginas de relatório que o Acidlab produz.

[ Hits: 73.995 ]

Por: Benone Bitencourt em 30/05/2006 | Blog: http://www.benone.com.br

0 0

Denuncie Favoritos Indicar Impressora

Configuração do Apache

Para o Apache aceitar vários tipos de páginas Index, edite o arquivo /etc/apache2/apache2.conf e modifique a linha abaixo:

DirectoryIndex index.html index.cgi index.pl index.php index.xhtml

para:

DirectoryIndex index.html index.htm index.shtml index.cgi index.php index.php3 index.pl index.xhtml

Desabilitando a leitura do PHP por default em qualquer site do APACHE2. Edite o arquivo /etc/mime.types e comente as linhas abaixo:

#application/x-httpd-php                phtml pht php
#application/x-httpd-php-source         phps
#application/x-httpd-php3               php3
#application/x-httpd-php3-preprocessed  php3p
#application/x-httpd-php4               php4

Edite /etc/apache2/mods-enabled/php4.conf e comente as linhas abaixo:

<IfModule mod_php4.c> # AddType application/x-httpd-php .php .phtml .php3
# AddType application/x-httpd-php-source .phps
</IfModule>

Agora os módulos somente serão carregados quando inseridos na declaração do site. Edite o arquivo /etc/apache2/ports.conf e adicione Listen 443 (já fica pronto para https).

Listen 80
Listen 443

Agora vamos habilitar alguns módulos no Apache modules (SSL, rewrite and suexec), se existirem os simbolical links (atalhos) não é necessário fazer.

# cd /etc/apache2/mods-enabled
# ln -s /etc/apache2/mods-available/ssl.conf ssl.conf
# ln -s /etc/apache2/mods-available/ssl.load ssl.load
# ln -s /etc/apache2/mods-available/rewrite.load rewrite.load
# ln -s /etc/apache2/mods-available/suexec.load suexec.load

Reinicie o Apache:

# /etc/init.d/apache2 restart

Página anterior Próxima página

Páginas do artigo

   1. Apresentação dos programas
   2. Preparando o sistema para as configurações
   3. Criando base de dados no MYSQL para o SNORT
   4. Configuração do Apache
   5. Configuração do SNORT
   6. Configuração do ACIDLAB no APACHE

Outros artigos deste autor

Nenhum artigo encontrado.

Leitura recomendada

Sudoers 1.8.12 - Parte IV - Manual

Carnivore e Altivore: Os predadores do FBI

Enviando e recebendo e-mails criptografados através do Thunderbird

Identificando dispositivos IoT usando Wireshark e criando uma estratégia interessante de visibilidade em Linux e Unix

Terceirização de segurança gera dúvidas em profissionais de TI

Comentários

[1] Comentário enviado por leoberbert em 30/05/2006 - 14:13h

Excelente artigo... Bem completo e eficaz... testado e aprovado!!!

CONGRATULATIONS!!!

0 0

[2] Comentário enviado por dcyrillo em 19/07/2006 - 10:59h

Olá!
Fiz tudo certinho, artigo excelente!
Estou achando estranho ele nao está logando no banco de dados, aonde eu posso verificar o log para encontrar aonde está o erro?

0 0

[3] Comentário enviado por B3n0ne em 16/08/2006 - 13:04h

faz assim:
vai no /etc/my.cnf e habilite os log do mysql neste arquivo...
Hum como habilita falhou agora googla aí...hehehehe

0 0

[4] Comentário enviado por fontebon em 07/01/2007 - 04:17h

Muito Bom ....parabens...funcionou legal
Uma pergunta tem alguma ferramenta para traduzir para portugues o acidlab
Outra coisa verifiquei que ususrio snort nao esta dando update na tabela do banco ceja abaixo:
Protocol: 17 (%22.222222) finds: 6 reversed: 0(%0.000000)
find_sucess: 5 find_fail: 1 percent_success: (%83.333333) new_flows: 1
database: mysql_error: Access denied for user: 'snort@localhost' to database 'snort'
SQL=UPDATE sensor SET last_cid = 0 WHERE sid = 2
database: Closing connection to database ""
Snort exiting

Outra coisa tem alguma ferramenta para testar tentiva de invasao

0 0

[5] Comentário enviado por duraes em 01/03/2007 - 17:20h

Aew!

Artigo porreta! Parabéns!

Ao colera fontebon:

Sugiro instalar o phpmyadmin ( vou via console do mysql mesmo ) liberar esse privilégio para o usuário snort.

abraços,

Capita

0 0

[6] Comentário enviado por b3n0ne em 05/04/2007 - 14:25h

Valeu os elogios...
Não costumo publicar tutoriais, mas já que vocês gostaram vou arranjar tempo para escrever mais alguns, mas gosto de fazer o mais completo possível, aí se o bonito for newbie não tem problema AhauhaUHAUhauahuah brincadeiras a parte a comunidade do site do vivaolinux já me ajudou bastante vou devolvendo aos poucos...

0 0

[7] Comentário enviado por epgielow em 18/10/2007 - 14:50h

se liga ai que o usuario snort no arquiv snort.conf na parte de data base esta com um espaco no final.. isso tava dando problema!

falow!

0 0

[8] Comentário enviado por celsopimentel em 06/11/2007 - 17:49h

Parabéns, me ajudou e muito. Pois estou estudando o framework OSSIM, que possui o snort no pacote. Tchê, já fiz treinamento com você na sis....
Outra, quando tiver um tempo da uma olhada no www.ossim.net, achei muito interessante.
Abraço!

0 0