Snort + ACID + MySQL no Slackware
Esse artigo aborda a implantação do SNORT trabalhando juntamente com o MySQL, que é onde os logs serão gravados e o ACID (Analysis Console for Intrusion Databases), que é quem mostrará as tentativas de invasão numa interface WEB.
Parte 4: Configuração do SNORT
O arquivo de configuração do SNORT encontra-se na pasta /etc. Você deverá editá-lo de acordo com suas necessidades. Alguns campos devem ser alterados obrigatoriamente, para isso siga as instruções abaixo:
# vi snort.conf
Altere o campo var HOME_NET para o IP da máquina ou rede que irá monitorar e também o campo var DNS_SERVERS para o endereço do seu DNS, evitando assim que o SNORT crie alertas com os acessos vindos do mesmo.
Procure a linha abaixo e deixe-a descomentada.
# vi snort.conf
Altere o campo var HOME_NET para o IP da máquina ou rede que irá monitorar e também o campo var DNS_SERVERS para o endereço do seu DNS, evitando assim que o SNORT crie alertas com os acessos vindos do mesmo.
Procure a linha abaixo e deixe-a descomentada.
output database: log, mysql, user=snort password=12345 dbname=snort host=localhost
Essa linha faz com que todos os logs do SNORT sejam gravados no banco de dados, para que posteriormente sejam mostrados pelo ACID.
Feito isso salve e saia do arquivo (:wq!).