Debian Sarge + Snort + MySQL + Acidlab + Apache
Este artigo visa ensinar como montar um sistema de detecção de intrusos utilizando o MySQL para armazenar os alertas e o Apache para exibir as páginas de relatório que o Acidlab produz.
Parte 4: Configuração do Apache
Para o Apache aceitar vários tipos de páginas Index, edite o arquivo /etc/apache2/apache2.conf e modifique a linha abaixo:
DirectoryIndex index.html index.cgi index.pl index.php index.xhtml
para:
Desabilitando a leitura do PHP por default em qualquer site do APACHE2. Edite o arquivo /etc/mime.types e comente as linhas abaixo:
Edite /etc/apache2/mods-enabled/php4.conf e comente as linhas abaixo:
Agora os módulos somente serão carregados quando inseridos na declaração do site. Edite o arquivo /etc/apache2/ports.conf e adicione Listen 443 (já fica pronto para https).
Agora vamos habilitar alguns módulos no Apache modules (SSL, rewrite and suexec), se existirem os simbolical links (atalhos) não é necessário fazer.
# cd /etc/apache2/mods-enabled
# ln -s /etc/apache2/mods-available/ssl.conf ssl.conf
# ln -s /etc/apache2/mods-available/ssl.load ssl.load
# ln -s /etc/apache2/mods-available/rewrite.load rewrite.load
# ln -s /etc/apache2/mods-available/suexec.load suexec.load
Reinicie o Apache:
# /etc/init.d/apache2 restart
DirectoryIndex index.html index.cgi index.pl index.php index.xhtml
para:
DirectoryIndex index.html index.htm index.shtml index.cgi index.php index.php3 index.pl index.xhtml
Desabilitando a leitura do PHP por default em qualquer site do APACHE2. Edite o arquivo /etc/mime.types e comente as linhas abaixo:
#application/x-httpd-php phtml pht php #application/x-httpd-php-source phps #application/x-httpd-php3 php3 #application/x-httpd-php3-preprocessed php3p #application/x-httpd-php4 php4
Edite /etc/apache2/mods-enabled/php4.conf e comente as linhas abaixo:
<IfModule mod_php4.c>
# AddType application/x-httpd-php .php .phtml .php3
# AddType application/x-httpd-php-source .phps
</IfModule>
# AddType application/x-httpd-php-source .phps
</IfModule>
Agora os módulos somente serão carregados quando inseridos na declaração do site. Edite o arquivo /etc/apache2/ports.conf e adicione Listen 443 (já fica pronto para https).
Listen 80
Listen 443
Listen 443
Agora vamos habilitar alguns módulos no Apache modules (SSL, rewrite and suexec), se existirem os simbolical links (atalhos) não é necessário fazer.
# cd /etc/apache2/mods-enabled
# ln -s /etc/apache2/mods-available/ssl.conf ssl.conf
# ln -s /etc/apache2/mods-available/ssl.load ssl.load
# ln -s /etc/apache2/mods-available/rewrite.load rewrite.load
# ln -s /etc/apache2/mods-available/suexec.load suexec.load
Reinicie o Apache:
# /etc/init.d/apache2 restart
Páginas do artigo
1. Apresentação dos programas2. Preparando o sistema para as configurações
3. Criando base de dados no MYSQL para o SNORT
4. Configuração do Apache
5. Configuração do SNORT
6. Configuração do ACIDLAB no APACHE
Outros artigos deste autor
Nenhum artigo encontrado.Leitura recomendada
Fail2ban no Debian - Instalação e Configuração
Comentários
Olá!
Fiz tudo certinho, artigo excelente!
Estou achando estranho ele nao está logando no banco de dados, aonde eu posso verificar o log para encontrar aonde está o erro?
Fiz tudo certinho, artigo excelente!
Estou achando estranho ele nao está logando no banco de dados, aonde eu posso verificar o log para encontrar aonde está o erro?
faz assim:
vai no /etc/my.cnf e habilite os log do mysql neste arquivo...
Hum como habilita falhou agora googla aí...hehehehe
vai no /etc/my.cnf e habilite os log do mysql neste arquivo...
Hum como habilita falhou agora googla aí...hehehehe
Muito Bom ....parabens...funcionou legal
Uma pergunta tem alguma ferramenta para traduzir para portugues o acidlab
Outra coisa verifiquei que ususrio snort nao esta dando update na tabela do banco ceja abaixo:
Protocol: 17 (%22.222222) finds: 6 reversed: 0(%0.000000)
find_sucess: 5 find_fail: 1 percent_success: (%83.333333) new_flows: 1
database: mysql_error: Access denied for user: 'snort@localhost' to database 'snort'
SQL=UPDATE sensor SET last_cid = 0 WHERE sid = 2
database: Closing connection to database ""
Snort exiting
Outra coisa tem alguma ferramenta para testar tentiva de invasao
Uma pergunta tem alguma ferramenta para traduzir para portugues o acidlab
Outra coisa verifiquei que ususrio snort nao esta dando update na tabela do banco ceja abaixo:
Protocol: 17 (%22.222222) finds: 6 reversed: 0(%0.000000)
find_sucess: 5 find_fail: 1 percent_success: (%83.333333) new_flows: 1
database: mysql_error: Access denied for user: 'snort@localhost' to database 'snort'
SQL=UPDATE sensor SET last_cid = 0 WHERE sid = 2
database: Closing connection to database ""
Snort exiting
Outra coisa tem alguma ferramenta para testar tentiva de invasao
Aew!
Artigo porreta! Parabéns!
Ao colera fontebon:
Sugiro instalar o phpmyadmin ( vou via console do mysql mesmo ) liberar esse privilégio para o usuário snort.
abraços,
Capita
Artigo porreta! Parabéns!
Ao colera fontebon:
Sugiro instalar o phpmyadmin ( vou via console do mysql mesmo ) liberar esse privilégio para o usuário snort.
abraços,
Capita
Valeu os elogios...
Não costumo publicar tutoriais, mas já que vocês gostaram vou arranjar tempo para escrever mais alguns, mas gosto de fazer o mais completo possível, aí se o bonito for newbie não tem problema AhauhaUHAUhauahuah brincadeiras a parte a comunidade do site do vivaolinux já me ajudou bastante vou devolvendo aos poucos...
Não costumo publicar tutoriais, mas já que vocês gostaram vou arranjar tempo para escrever mais alguns, mas gosto de fazer o mais completo possível, aí se o bonito for newbie não tem problema AhauhaUHAUhauahuah brincadeiras a parte a comunidade do site do vivaolinux já me ajudou bastante vou devolvendo aos poucos...
se liga ai que o usuario snort no arquiv snort.conf na parte de data base esta com um espaco no final.. isso tava dando problema!
falow!
falow!
Parabéns, me ajudou e muito. Pois estou estudando o framework OSSIM, que possui o snort no pacote. Tchê, já fiz treinamento com você na sis....
Outra, quando tiver um tempo da uma olhada no www.ossim.net, achei muito interessante.
Abraço!
Outra, quando tiver um tempo da uma olhada no www.ossim.net, achei muito interessante.
Abraço!
Muito bom, vou testar!
CONGRATULATIONS!!!