Snort + BarnYard2 + Snorby no Slackware 14.1

krum

Sistema de detecção de intrusão: Slackware com Snort + BarnYard2 e Snorby pelo Apache com módulo passenger e logs armazenados pelo MySQL.

[ Hits: 21.819 ]

Por: krum em 22/12/2014

3 0

Denuncie Favoritos Indicar Impressora

Configuração do Snort e Barnyard2

Feita a instalação dos pacotes, vamos para configuração e criação do banco de dados.

Crie um arquivo chamado snort.sql:

# touch snort.sql

Insira o seguinte conteúdo dentro do arquivo:

#Database SNORT/Base
CREATE DATABASE snort;
GRANT CREATE,SELECT,UPDATE,INSERT,DELETE ON snort.* TO snort@localhost;
SET password FOR snort@localhost=PASSWORD('senha_snort_mysql');
exit

Após a criação, execute o comando abaixo. Na inserção, será pedido a senha do usuario root do MySQL:

# mysql -uroot -p < snort.sql
# mysql -uroot -p < /usr/share/doc/barnyard2-1.13/schemas/create_mysql snort

Com as tabelas criadas e tudo pronto, vamos adicionar as seguintes linhas ao final do arquivo /etc/barnyard2.conf:

output database: log, mysql, user=snort password=senha_snort_mysql dbname=snort host=localhost
output alert_full: /var/log/snort/alert

Agora vamos vamos editar o /etc/snort/snort.conf.

Encontre a seguinte linha:

"ipvar HOME_NET any"

E modifique para a faixa da sua rede.

ipvar HOME_NET 192.168.1.0/24

Antes de inicializar os serviços do snort e do barnyard2, vamos executar os seguintes comandos:

# groupadd snort
# useradd -g snort -d /var/log/snort snort
# chown -R snort:snort /var/log/snort

Feito isso, vamos fazer uma modificação no arquivo /etc/rc.d/rc.snort.

Encontre a linha:

CMDLINE="/usr/bin/snort -d -D -i $IFACE"

E modifique para a seguinte, esta linha coloca o usuário snort para iniciar o serviço:

CMDLINE="/usr/bin/snort -d -D -u snort -i $IFACE"

Feitas as modificações, vamos dar permissões para os scripts de inicialização:

# chmod +x /etc/rc.d/rc.snort
# chmod +x /etc/rc.d/rc.barnyard2

Feito estes passos, incie os seguintes serviços:

# /etc/rc.d/rc.snort start
# /etc/rc.d/rc.barnyard2 start

Colocando os scripts para inicializar no boot, insira o codigo abaixo no fim de /etc/rc.d/rc.M ou /etc/rc.d/rc.local:

# Snort
if [ -x /etc/rc.d/rc.snort ]; then
. /etc/rc.d/rc.snort start
fi

# Barnyard
if [ -x /etc/rc.d/rc.barnyard2 ]; then
. /etc/rc.d/rc.barnyard2 start
fi

Página anterior Próxima página

Páginas do artigo

   1. O que é e como funciona uma ferramenta IDS
   2. Pacotes necessários e instalação
   3. Configuração do Snort e Barnyard2
   4. Instalação e configuração do Snorby
   5. Apache e Mod_passenger
   6. Instalando e configurando o Wkhtmltopdf
   7. Considerações finais

Outros artigos deste autor

Como montar imagem VDI (VirtualBox) no Linux

Leitura recomendada

Configurando uma VPN IPSec Openswan no SUSE Linux 9.3

Trilhas de Certificação em Segurança da Informação - Qual caminho seguir?

Certificados e OpenSSL - A Sopa de Letras

Instalando e configurando Nagios no Linux Fedora 8

Instalação do Fail2Ban no CentOS 7

Comentários