SAMSB - Snort + Apache2 + MySQL + Snorby e BarnYard2 no Debian
Tutorial para instalação do sistema de detecção de intrusão na rede Snort logando no banco de dados MySQL através do BarnYard2 e visualizando os logs e gráficos gerenciais pelo Snorby, rodando no servidor Web Apache2, tudo isso dentro do Debian.
[ Hits: 37.431 ]
Por: Luiz Cezar em 11/08/2011
Editando o Apache2
Instalando o módulo passenger:
# gem install --no-ri --no-rdoc --version 3.0.3 passenger
# cd /usr/local/lib/ruby/gems/1.9.1/gems/passenger-3.0.3/bin
# ./passenger-install-apache2-module -a
Vamos criar o arquivo do módulo para o Apache2:
# vi /etc/apache2/mods-available/passenger.load
Adicione no arquivo:
Vamos habilitar o módulo:
# vi /etc/apache2/mods-available/passenger.conf
Adicione no arquivo:
Instalando o módulo:
# a2enmod passenger
# a2enmod rewrite
# a2enmod ssl
Reinicie o apache2:
# /etc/init.d/apache2 restart
Edite o arquivo /etc/apache2/sites-available/default:
Reinicie o apache2:
# /etc/init.d/apache2 restart
# gem install --no-ri --no-rdoc --version 3.0.3 passenger
# cd /usr/local/lib/ruby/gems/1.9.1/gems/passenger-3.0.3/bin
# ./passenger-install-apache2-module -a
Vamos criar o arquivo do módulo para o Apache2:
# vi /etc/apache2/mods-available/passenger.load
Adicione no arquivo:
LoadModule passenger_module /usr/local/lib/ruby/gems/1.9.1/gems/passenger-3.0.3/ext/apache2/mod_passenger.so
Vamos habilitar o módulo:
# vi /etc/apache2/mods-available/passenger.conf
Adicione no arquivo:
<IfModule mod_passenger.c>
PassengerRoot /usr/local/lib/ruby/gems/1.9.1/gems/passenger-3.0.3
PassengerRuby /usr/local/bin/ruby
</IfModule>
PassengerRoot /usr/local/lib/ruby/gems/1.9.1/gems/passenger-3.0.3
PassengerRuby /usr/local/bin/ruby
</IfModule>
Instalando o módulo:
# a2enmod passenger
# a2enmod rewrite
# a2enmod ssl
Reinicie o apache2:
# /etc/init.d/apache2 restart
Edite o arquivo /etc/apache2/sites-available/default:
<Virtualhost *:80>
# ServerName infosegura
DocumentRoot /var/www/snorby/public/
<Directory /var/www/snorby/public>
RailsBaseURI /
Options +ExecCGI FollowSymLinks -MultiViews
AllowOverride all
Order allow,deny
Allow from all
</Directory>
# ServerName infosegura
DocumentRoot /var/www/snorby/public/
<Directory /var/www/snorby/public>
RailsBaseURI /
Options +ExecCGI FollowSymLinks -MultiViews
AllowOverride all
Order allow,deny
Allow from all
</Directory>
Reinicie o apache2:
# /etc/init.d/apache2 restart
Páginas do artigo
1. Instalando o MySQL, Snort e o BarnYard22. Instalando o Apache2, Snorby
3. Editando o Apache2
4. Iniciando tudo
Outros artigos deste autor
icinga no Ubuntu 13.10 - Instalação e configuração
Leitura recomendada
Analizando os logs do IPTables
Hardening, se adequando as normas ISO 27000
Enviando alertas do Snort por SMS
Segurança da Informação na Internet
Não precisamos de antivírus, eles sim
Comentários
[1] Comentário enviado por blade_ander em 12/08/2011 - 11:35h
Excelente artigo!
Gostaria somente de deixar algumas dificuldades que tive:
- Problemas com módulo dm-active_model.
Informação: dm-active somente roda na versão maior que a informada.
Solucão: gem update --system
- Problemas no rank: undefined method `symbolize_keys' for nil:NilClass
Informação: Problemas de espaço na edição dos arquivos .yml. Verifique os espaços comparando com o original.
- Problemas no rank: uninitialized constant Rake::DSL
Informação: Necessário atualizar o RANK
Solução: gem install rank
- Problema ao executar o comando: ruby script/delayed_job -e production
Erro:
DataObjects::URI.new with arguments is deprecated, use a Hash of URI components (/usr/local/lib/ruby/gems/1.9.1/gems/dm-do-adapter-1.1.0/lib/dm-do-adapter/adapter.rb:231:in `new')
ERROR: no command given
Informação: Houve alteração do comando na nova versão.
Solução: Roda comando: ruby script/delayed_job start production
Espero que tenha ajudado.
Abs,
Anderson.
Excelente artigo!
Gostaria somente de deixar algumas dificuldades que tive:
- Problemas com módulo dm-active_model.
Informação: dm-active somente roda na versão maior que a informada.
Solucão: gem update --system
- Problemas no rank: undefined method `symbolize_keys' for nil:NilClass
Informação: Problemas de espaço na edição dos arquivos .yml. Verifique os espaços comparando com o original.
- Problemas no rank: uninitialized constant Rake::DSL
Informação: Necessário atualizar o RANK
Solução: gem install rank
- Problema ao executar o comando: ruby script/delayed_job -e production
Erro:
DataObjects::URI.new with arguments is deprecated, use a Hash of URI components (/usr/local/lib/ruby/gems/1.9.1/gems/dm-do-adapter-1.1.0/lib/dm-do-adapter/adapter.rb:231:in `new')
ERROR: no command given
Informação: Houve alteração do comando na nova versão.
Solução: Roda comando: ruby script/delayed_job start production
Espero que tenha ajudado.
Abs,
Anderson.
[2] Comentário enviado por imasters em 15/08/2011 - 11:53h
Oi Anderson, tudo bom?
Sou editora do iMasters, um dos nossos desenvolvedores indicou esse seu artigo. Temos interesse em republica-lo no iMasters, o que você acha? Por favor, me responda no rina.noronha@imasters.com.br
Oi Anderson, tudo bom?
Sou editora do iMasters, um dos nossos desenvolvedores indicou esse seu artigo. Temos interesse em republica-lo no iMasters, o que você acha? Por favor, me responda no rina.noronha@imasters.com.br
[3] Comentário enviado por volcom em 18/08/2011 - 15:15h
Cara,
Estava tudo indo tranquilo...e creio que iria até o final se não fosse o seguinte problema:
checking for pfring_open in -lpcap... no
ERROR! Libpcap library/headers (libpcap.a (or .so)/pcap.h)
not found, go get it from http://www.tcpdump.org
or use the --with-libpcap-* options, if you have it installed
in unusual place. Also check if your libpcap depends on another
shared library that may be installed in an unusual place
Instalei várias versões e tentei soluções em forums, mas na maioria baseadas em distribuições RPM...
tem alguma dica por favor?
Tks
Cara,
Estava tudo indo tranquilo...e creio que iria até o final se não fosse o seguinte problema:
checking for pfring_open in -lpcap... no
ERROR! Libpcap library/headers (libpcap.a (or .so)/pcap.h)
not found, go get it from http://www.tcpdump.org
or use the --with-libpcap-* options, if you have it installed
in unusual place. Also check if your libpcap depends on another
shared library that may be installed in an unusual place
Instalei várias versões e tentei soluções em forums, mas na maioria baseadas em distribuições RPM...
tem alguma dica por favor?
Tks
[4] Comentário enviado por infosegura em 18/08/2011 - 15:27h
volcom, instala o libpcap-dev e veja se funciona!
volcom, instala o libpcap-dev e veja se funciona!
[6] Comentário enviado por fajo em 27/06/2012 - 11:11h
Amigo, estou seguindo seu tutorial a risca, mas ao chegar no comando "rake snorby:setup RAILS_ENV=production" tenho um erro:
rake aborted!
undefined method `symbolize_keys' for nil:NilClass
com --trace:
rake aborted!
undefined method `symbolize_keys' for nil:NilClass
/var/www/snorby/config/application.rb:31:in `<module:Snorby>'
/var/www/snorby/config/application.rb:13:in `<top (required)>'
<internal:lib/rubygems/custom_require>:29:in `require'
<internal:lib/rubygems/custom_require>:29:in `require'
/var/www/snorby/Rakefile:4:in `<top (required)>'
/usr/local/lib/ruby/gems/1.9.1/gems/rake-0.9.2/lib/rake/rake_module.rb:25:in `load'
/usr/local/lib/ruby/gems/1.9.1/gems/rake-0.9.2/lib/rake/rake_module.rb:25:in `load_rakefile'
/usr/local/lib/ruby/gems/1.9.1/gems/rake-0.9.2/lib/rake/application.rb:495:in `raw_load_rakefile'
/usr/local/lib/ruby/gems/1.9.1/gems/rake-0.9.2/lib/rake/application.rb:78:in `block in load_rakefile'
/usr/local/lib/ruby/gems/1.9.1/gems/rake-0.9.2/lib/rake/application.rb:129:in `standard_exception_handling'
/usr/local/lib/ruby/gems/1.9.1/gems/rake-0.9.2/lib/rake/application.rb:77:in `load_rakefile'
/usr/local/lib/ruby/gems/1.9.1/gems/rake-0.9.2/lib/rake/application.rb:61:in `block in run'
/usr/local/lib/ruby/gems/1.9.1/gems/rake-0.9.2/lib/rake/application.rb:129:in `standard_exception_handling'
/usr/local/lib/ruby/gems/1.9.1/gems/rake-0.9.2/lib/rake/application.rb:59:in `run'
/usr/local/lib/ruby/gems/1.9.1/gems/rake-0.9.2/bin/rake:32:in `<top (required)>'
/usr/local/bin/rake:19:in `load'
/usr/local/bin/rake:19:in `<main>'
vc poderia me informar qual o problema?
uso o Debian Squeeze.
Grato.
Amigo, estou seguindo seu tutorial a risca, mas ao chegar no comando "rake snorby:setup RAILS_ENV=production" tenho um erro:
rake aborted!
undefined method `symbolize_keys' for nil:NilClass
com --trace:
rake aborted!
undefined method `symbolize_keys' for nil:NilClass
/var/www/snorby/config/application.rb:31:in `<module:Snorby>'
/var/www/snorby/config/application.rb:13:in `<top (required)>'
<internal:lib/rubygems/custom_require>:29:in `require'
<internal:lib/rubygems/custom_require>:29:in `require'
/var/www/snorby/Rakefile:4:in `<top (required)>'
/usr/local/lib/ruby/gems/1.9.1/gems/rake-0.9.2/lib/rake/rake_module.rb:25:in `load'
/usr/local/lib/ruby/gems/1.9.1/gems/rake-0.9.2/lib/rake/rake_module.rb:25:in `load_rakefile'
/usr/local/lib/ruby/gems/1.9.1/gems/rake-0.9.2/lib/rake/application.rb:495:in `raw_load_rakefile'
/usr/local/lib/ruby/gems/1.9.1/gems/rake-0.9.2/lib/rake/application.rb:78:in `block in load_rakefile'
/usr/local/lib/ruby/gems/1.9.1/gems/rake-0.9.2/lib/rake/application.rb:129:in `standard_exception_handling'
/usr/local/lib/ruby/gems/1.9.1/gems/rake-0.9.2/lib/rake/application.rb:77:in `load_rakefile'
/usr/local/lib/ruby/gems/1.9.1/gems/rake-0.9.2/lib/rake/application.rb:61:in `block in run'
/usr/local/lib/ruby/gems/1.9.1/gems/rake-0.9.2/lib/rake/application.rb:129:in `standard_exception_handling'
/usr/local/lib/ruby/gems/1.9.1/gems/rake-0.9.2/lib/rake/application.rb:59:in `run'
/usr/local/lib/ruby/gems/1.9.1/gems/rake-0.9.2/bin/rake:32:in `<top (required)>'
/usr/local/bin/rake:19:in `load'
/usr/local/bin/rake:19:in `<main>'
vc poderia me informar qual o problema?
uso o Debian Squeeze.
Grato.
[7] Comentário enviado por euriam em 17/08/2012 - 13:00h
Prezado,
Estou necessitando da sua ajuda:
Na parte final da instalação e ocorre a seguinte mensagem:
/var/www/snorby# bundle install
Fetching gem metadata from http://rubygems.org/.....">http://rubygems.org/......
Fetching gem metadata from http://rubygems.org/..
Updating http://github.com/Snorby/delayed_job_data_mapper.git
error: The requested URL returned error: 403
fatal: Could not parse object '6f1c4a8c3ad62e4ef6baafec9a2a9914d0643085'.
Git error: command `git reset --hard 6f1c4a8c3ad62e4ef6baafec9a2a9914d0643085` in directory /var/www/snorby/vendor/bundle/ruby/1.9.1/bundler/gems/delayed_job_data_mapper-6f1c4a8c3ad6 has failed.
If this error persists you could try removing the cache directory '/var/www/snorby/vendor/bundle/ruby/1.9.1/cache/bundler/git/delayed_job_data_mapper-431f00851d1c0120050c4c484e6372165f307abc'
Parabéns pelo artigo!
Prezado,
Estou necessitando da sua ajuda:
Na parte final da instalação e ocorre a seguinte mensagem:
/var/www/snorby# bundle install
Fetching gem metadata from http://rubygems.org/.....">http://rubygems.org/......
Fetching gem metadata from http://rubygems.org/..
Updating http://github.com/Snorby/delayed_job_data_mapper.git
error: The requested URL returned error: 403
fatal: Could not parse object '6f1c4a8c3ad62e4ef6baafec9a2a9914d0643085'.
Git error: command `git reset --hard 6f1c4a8c3ad62e4ef6baafec9a2a9914d0643085` in directory /var/www/snorby/vendor/bundle/ruby/1.9.1/bundler/gems/delayed_job_data_mapper-6f1c4a8c3ad6 has failed.
If this error persists you could try removing the cache directory '/var/www/snorby/vendor/bundle/ruby/1.9.1/cache/bundler/git/delayed_job_data_mapper-431f00851d1c0120050c4c484e6372165f307abc'
Parabéns pelo artigo!
[8] Comentário enviado por RRafael em 11/04/2017 - 14:17h
[6] Comentário enviado por fajo em 27/06/2012 - 11:11h
Amigo, estou seguindo seu tutorial a risca, mas ao chegar no comando "rake snorby:setup RAILS_ENV=production" tenho um erro:
rake aborted!
undefined method `symbolize_keys' for nil:NilClass
com --trace:
rake aborted!
undefined method `symbolize_keys' for nil:NilClass
/var/www/snorby/config/application.rb:31:in `<module:Snorby>'
/var/www/snorby/config/application.rb:13:in `<top (required)>'
<internal:lib/rubygems/custom_require>:29:in `require'
<internal:lib/rubygems/custom_require>:29:in `require'
/var/www/snorby/Rakefile:4:in `<top (required)>'
/usr/local/lib/ruby/gems/1.9.1/gems/rake-0.9.2/lib/rake/rake_module.rb:25:in `load'
/usr/local/lib/ruby/gems/1.9.1/gems/rake-0.9.2/lib/rake/rake_module.rb:25:in `load_rakefile'
/usr/local/lib/ruby/gems/1.9.1/gems/rake-0.9.2/lib/rake/application.rb:495:in `raw_load_rakefile'
/usr/local/lib/ruby/gems/1.9.1/gems/rake-0.9.2/lib/rake/application.rb:78:in `block in load_rakefile'
/usr/local/lib/ruby/gems/1.9.1/gems/rake-0.9.2/lib/rake/application.rb:129:in `standard_exception_handling'
/usr/local/lib/ruby/gems/1.9.1/gems/rake-0.9.2/lib/rake/application.rb:77:in `load_rakefile'
/usr/local/lib/ruby/gems/1.9.1/gems/rake-0.9.2/lib/rake/application.rb:61:in `block in run'
/usr/local/lib/ruby/gems/1.9.1/gems/rake-0.9.2/lib/rake/application.rb:129:in `standard_exception_handling'
/usr/local/lib/ruby/gems/1.9.1/gems/rake-0.9.2/lib/rake/application.rb:59:in `run'
/usr/local/lib/ruby/gems/1.9.1/gems/rake-0.9.2/bin/rake:32:in `<top (required)>'
/usr/local/bin/rake:19:in `load'
/usr/local/bin/rake:19:in `<main>'
vc poderia me informar qual o problema?
uso o Debian Squeeze.
Grato.
Esse problema acontece por que os dois arquivos criados "snorby_config" e ou "database.yml" esta incorreto !!
Para resolver você pode ;
git clone git://github.com/Snorby/snorby.git
sudo cp -r snorby/ /var/www
cd /var/www/snorby/
bundle install
cp /var/www/snorby/config/database.yml.example /var/www/snorby/config/database.yml
vim /var/www/snorby/config/database.yml
colocar a senha root do mysql
cp /var/www/snorby/config/snorby_config.yml.example /var/www/snorby/config/snorby_config.yml
sed -i s/"\/usr\/local\/bin\/wkhtmltopdf"/"\/usr\/bin\/wkhtmltopdf"/g /var/www/snorby/config/snorby_config.yml
sudo bundle exec rake snorby:setup
E pronto !! Ele vai instalar !!
[6] Comentário enviado por fajo em 27/06/2012 - 11:11h
Amigo, estou seguindo seu tutorial a risca, mas ao chegar no comando "rake snorby:setup RAILS_ENV=production" tenho um erro:
rake aborted!
undefined method `symbolize_keys' for nil:NilClass
com --trace:
rake aborted!
undefined method `symbolize_keys' for nil:NilClass
/var/www/snorby/config/application.rb:31:in `<module:Snorby>'
/var/www/snorby/config/application.rb:13:in `<top (required)>'
<internal:lib/rubygems/custom_require>:29:in `require'
<internal:lib/rubygems/custom_require>:29:in `require'
/var/www/snorby/Rakefile:4:in `<top (required)>'
/usr/local/lib/ruby/gems/1.9.1/gems/rake-0.9.2/lib/rake/rake_module.rb:25:in `load'
/usr/local/lib/ruby/gems/1.9.1/gems/rake-0.9.2/lib/rake/rake_module.rb:25:in `load_rakefile'
/usr/local/lib/ruby/gems/1.9.1/gems/rake-0.9.2/lib/rake/application.rb:495:in `raw_load_rakefile'
/usr/local/lib/ruby/gems/1.9.1/gems/rake-0.9.2/lib/rake/application.rb:78:in `block in load_rakefile'
/usr/local/lib/ruby/gems/1.9.1/gems/rake-0.9.2/lib/rake/application.rb:129:in `standard_exception_handling'
/usr/local/lib/ruby/gems/1.9.1/gems/rake-0.9.2/lib/rake/application.rb:77:in `load_rakefile'
/usr/local/lib/ruby/gems/1.9.1/gems/rake-0.9.2/lib/rake/application.rb:61:in `block in run'
/usr/local/lib/ruby/gems/1.9.1/gems/rake-0.9.2/lib/rake/application.rb:129:in `standard_exception_handling'
/usr/local/lib/ruby/gems/1.9.1/gems/rake-0.9.2/lib/rake/application.rb:59:in `run'
/usr/local/lib/ruby/gems/1.9.1/gems/rake-0.9.2/bin/rake:32:in `<top (required)>'
/usr/local/bin/rake:19:in `load'
/usr/local/bin/rake:19:in `<main>'
vc poderia me informar qual o problema?
uso o Debian Squeeze.
Grato.
Esse problema acontece por que os dois arquivos criados "snorby_config" e ou "database.yml" esta incorreto !!
Para resolver você pode ;
git clone git://github.com/Snorby/snorby.git
sudo cp -r snorby/ /var/www
cd /var/www/snorby/
bundle install
cp /var/www/snorby/config/database.yml.example /var/www/snorby/config/database.yml
vim /var/www/snorby/config/database.yml
colocar a senha root do mysql
cp /var/www/snorby/config/snorby_config.yml.example /var/www/snorby/config/snorby_config.yml
sed -i s/"\/usr\/local\/bin\/wkhtmltopdf"/"\/usr\/bin\/wkhtmltopdf"/g /var/www/snorby/config/snorby_config.yml
sudo bundle exec rake snorby:setup
E pronto !! Ele vai instalar !!
Patrocínio
Site hospedado pelo provedor RedeHost.
Destaques
Artigos
Criar entrada (menuentry) ISO no Grub
Como gerar qualquer emoji ou símbolo unicode a partir do seu teclado
Dicas
Instalar o VIM 9.1 no Debian 12
Como saber o range de um IP público?
Muitas dificuldades ao instalar distro Linux em Notebook Sony Vaio PCG-6131L (VPCEA24FM)
Slackpkg+ (Slackpkg Plus) está de volta!
Como dividir duas janelas igualmente e lado-a-lado na sua tela
Tópicos
compilação samba 4.22 rock linux 9.5 (4)
Problemas com SQL em objeto TLabel ... [RESOLVIDO] (3)
Top 10 do mês
-
Xerxes
1° lugar - 85.241 pts -
Fábio Berbert de Paula
2° lugar - 62.143 pts -
Buckminster
3° lugar - 24.197 pts -
Mauricio Ferrari
4° lugar - 20.117 pts -
Alberto Federman Neto.
5° lugar - 17.397 pts -
Daniel Lara Souza
6° lugar - 17.043 pts -
Diego Mendes Rodrigues
7° lugar - 16.571 pts -
edps
8° lugar - 15.741 pts -
Alessandro de Oliveira Faria (A.K.A. CABELO)
9° lugar - 14.521 pts -
Andre (pinduvoz)
10° lugar - 13.016 pts
Scripts
A maior comunidade GNU/Linux da América Latina! Artigos, dicas, tutoriais, fórum, scripts e muito mais. Ideal para quem busca auto-ajuda.
Site hospedado por:
