Pular para o conteúdo

Debian Sarge + Snort + MySQL + Acidlab + Apache

Este artigo visa ensinar como montar um sistema de detecção de intrusos utilizando o MySQL para armazenar os alertas e o Apache para exibir as páginas de relatório que o Acidlab produz.
Benone Bitencourt B3n0ne

Por Benone Bitencourt em 30/05/2006

Hits: 76.479 Categoria: Linux Subcategoria: Segurança
  • Indicar
  • Impressora
  • Denunciar

Parte 2: Preparando o sistema para as configurações

Removendo e instalando algumas coisinhas. Antes de qualquer operação de pacotes, vamos conferir nosso repositório e atualizá-lo. Obtive bons resultados com o FTP da Debian no Brasil:

# apt-setup

Escolha o FTP --> BRASIL --> ftp.br.debian.org ou ftp.us.debian.org, pode comentar os demais mirrors em /etc/apt/sources.list e manter apenas os novos dacftp.br.debian.org ou ftp.us.debian.org e da security.debian, após isso atualize:

# apt-get update

A intenção aqui é fornecer um exemplo de remoção de softwares desnecessários e instalação dos necessários bem como edição do inet.

# apt-get install wget bzip2 unzip zip ncftp nmap openssl lynx fileutils
# apt-get remove lpr nfs-common portmap pidentd pcmcia-cs pppoe pppoeconf ppp pppconfig
# update-rc.d -f exim remove
# update-inetd --remove daytime
# update-inetd --remove telnet
# update-inetd --remove time
# update-inetd --remove finger
# update-inetd --remove talk
# update-inetd --remove ntalk
# update-inetd --remove ftp
# update-inetd --remove discard

Instalando o Apache2 com suporte a PHP4 e mais uns "trequinhos":

# apt-get install apache2 apache2-doc # apt-get install libapache2-mod-php4 libapache2-mod-perl2 php4 php4-cli php4-common php4-curl php4-dev php4-domxml php4-gd php4-imap php4-ldap php4-mcal php4-mhash php4-mysql php4-odbc php4-pear php4-xslt curl libwww-perl imagemagick

Páginas do artigo

   1. Apresentação dos programas
   2. Preparando o sistema para as configurações
   3. Criando base de dados no MYSQL para o SNORT
   4. Configuração do Apache
   5. Configuração do SNORT
   6. Configuração do ACIDLAB no APACHE

Outros artigos deste autor

Nenhum artigo encontrado.

Leitura recomendada

Instalando Apache, MariaDB e PHP com HTTPS no Arch Linux

Fscrypt: protegendo arquivos do seu usuário sem a lentidão padrão de criptograr o disco

Gerenciando certificados A1 fornecidos pelo ICB-Brasil no navegador Chrome sobre Linux

Como saber se houve uma invasão

Analisando arquivos de registro (log)

Comentários

#1 Comentário enviado por leoberbert em 30/05/2006 - 14:13h
Excelente artigo... Bem completo e eficaz... testado e aprovado!!!

CONGRATULATIONS!!!
#2 Comentário enviado por dcyrillo em 19/07/2006 - 10:59h
Olá!
Fiz tudo certinho, artigo excelente!
Estou achando estranho ele nao está logando no banco de dados, aonde eu posso verificar o log para encontrar aonde está o erro?
#3 Comentário enviado por B3n0ne em 16/08/2006 - 13:04h
faz assim:
vai no /etc/my.cnf e habilite os log do mysql neste arquivo...
Hum como habilita falhou agora googla aí...hehehehe

#4 Comentário enviado por fontebon em 07/01/2007 - 04:17h
Muito Bom ....parabens...funcionou legal
Uma pergunta tem alguma ferramenta para traduzir para portugues o acidlab
Outra coisa verifiquei que ususrio snort nao esta dando update na tabela do banco ceja abaixo:
Protocol: 17 (%22.222222) finds: 6 reversed: 0(%0.000000)
find_sucess: 5 find_fail: 1 percent_success: (%83.333333) new_flows: 1
database: mysql_error: Access denied for user: 'snort@localhost' to database 'snort'
SQL=UPDATE sensor SET last_cid = 0 WHERE sid = 2
database: Closing connection to database ""
Snort exiting

Outra coisa tem alguma ferramenta para testar tentiva de invasao
#5 Comentário enviado por duraes em 01/03/2007 - 17:20h
Aew!

Artigo porreta! Parabéns!

Ao colera fontebon:

Sugiro instalar o phpmyadmin ( vou via console do mysql mesmo ) liberar esse privilégio para o usuário snort.

abraços,

Capita
#6 Comentário enviado por b3n0ne em 05/04/2007 - 14:25h
Valeu os elogios...
Não costumo publicar tutoriais, mas já que vocês gostaram vou arranjar tempo para escrever mais alguns, mas gosto de fazer o mais completo possível, aí se o bonito for newbie não tem problema AhauhaUHAUhauahuah brincadeiras a parte a comunidade do site do vivaolinux já me ajudou bastante vou devolvendo aos poucos...
#7 Comentário enviado por epgielow em 18/10/2007 - 14:50h
se liga ai que o usuario snort no arquiv snort.conf na parte de data base esta com um espaco no final.. isso tava dando problema!

falow!
#8 Comentário enviado por celsopimentel em 06/11/2007 - 17:49h
Parabéns, me ajudou e muito. Pois estou estudando o framework OSSIM, que possui o snort no pacote. Tchê, já fiz treinamento com você na sis....
Outra, quando tiver um tempo da uma olhada no www.ossim.net, achei muito interessante.
Abraço!
#9 Comentário enviado por durama em 08/06/2008 - 19:17h
Muito bom, vou testar!

Contribuir com comentário

Entre na sua conta para comentar.