Snort + MySQL + Guardian - Instalação e configuração
Neste artigo aprenderemos, passo a passo, como instalar e configurar o Snort com suporte a MySQL e integrado com o Guardian.
Parte 3: Guardian
Primeiro baixaremos o Guardian:
# cd /opt
# wget -cv http://www.chaotic.org/guardian/guardian-1.7.tar.gz
Agora iremos descompactar:
# tar -xvzf guardian-1.7.tar.gz
# cd guardian-1.7
Editar o arquivo "guardian.conf":
# pico guardian.conf
Informar o IP do servidor na linha HostIpAddr:
Informe a interface na linha Interface:
Na linha "AlertFile", informe o caminho do arquivo "alert":
Salve o arquivo e copie para o /etc/:
# cp guardian.conf /etc/
Crie o arquivo /etc/guardian.ignore e nele informe os IPs que serão ignorados pelo Guardian. No caso, pode colocar o IP do servidor:
# pico /etc/guardian.ignore
Copiaremos os scripts de bloqueio e desbloqueio:
# cd scripts
# cp iptables_block.sh /sbin/guardian_block.sh
# cp iptables_unblock.sh /sbin/guardian_unblock.sh
Caso seu sistema esteja em português, edite o arquivo "guardian.pl":
# cd /opt/guardian-1.7
# pico guardian.pl
Procure pela linha que contém "inet addr" (linha 320) e mude para:
Salve o arquivo e copie para o /sbin/:
# cp guardian.pl /sbin
Crie o arquivo de log do Guardian:
# touch /var/log/guardian.log
Criaremos o script para o Guardian ser executado automaticamente durante o boot:
# pico /etc/init.d/guardian
Dê permissão de execução para o script:
# chmod 755 /etc/init.d/guardian
Agora pode iniciar o Guardian com o comando:
# /etc/init.d/guardian start
E parar com o:
# /etc/init.d/guardian stop
Habilite o Guardian para ser executado durante o boot com o assistente rcconf:
# aptitude install rcconf
# rcconf
Marque a opção do Guardian e dê OK.
Pessoal, é isso aí. Espero que tenham gostado do post. Adiante postarei um artigo de instalação e configuração do Snort com o Barnyard2 mais o Guardian e suporte ao MySQL.
Até a próxima.
Artigo também publicado em: Guia do TI: Instalando e Configurando Snort-Mysql + Guardian
# cd /opt
# wget -cv http://www.chaotic.org/guardian/guardian-1.7.tar.gz
Agora iremos descompactar:
# tar -xvzf guardian-1.7.tar.gz
# cd guardian-1.7
Editar o arquivo "guardian.conf":
# pico guardian.conf
Informar o IP do servidor na linha HostIpAddr:
HostIpAddr 192.168.0.1
Informe a interface na linha Interface:
Interface eth0
Na linha "AlertFile", informe o caminho do arquivo "alert":
AlertFile /var/log/snort/alert
Salve o arquivo e copie para o /etc/:
# cp guardian.conf /etc/
Crie o arquivo /etc/guardian.ignore e nele informe os IPs que serão ignorados pelo Guardian. No caso, pode colocar o IP do servidor:
# pico /etc/guardian.ignore
192.168.0.1
Copiaremos os scripts de bloqueio e desbloqueio:
# cd scripts
# cp iptables_block.sh /sbin/guardian_block.sh
# cp iptables_unblock.sh /sbin/guardian_unblock.sh
Caso seu sistema esteja em português, edite o arquivo "guardian.pl":
# cd /opt/guardian-1.7
# pico guardian.pl
Procure pela linha que contém "inet addr" (linha 320) e mude para:
inet end
Salve o arquivo e copie para o /sbin/:
# cp guardian.pl /sbin
Crie o arquivo de log do Guardian:
# touch /var/log/guardian.log
Criaremos o script para o Guardian ser executado automaticamente durante o boot:
# pico /etc/init.d/guardian
#!/bin/bash
test -f /sbin/guardian.pl || exit 0
case "$1" in
start)
guardian.pl -c /etc/guardian.conf
;;
stop)
kill -9 $(pgrep guardian.pl)
;;
*)
echo "Opção invalida. Use start ou stop."
exit 2
;;
esac
exit 0
test -f /sbin/guardian.pl || exit 0
case "$1" in
start)
guardian.pl -c /etc/guardian.conf
;;
stop)
kill -9 $(pgrep guardian.pl)
;;
*)
echo "Opção invalida. Use start ou stop."
exit 2
;;
esac
exit 0
Dê permissão de execução para o script:
# chmod 755 /etc/init.d/guardian
Agora pode iniciar o Guardian com o comando:
# /etc/init.d/guardian start
E parar com o:
# /etc/init.d/guardian stop
Habilite o Guardian para ser executado durante o boot com o assistente rcconf:
# aptitude install rcconf
# rcconf
Marque a opção do Guardian e dê OK.
Conclusão
Agora é só fazer os testes e ver se está tudo OK. O Guardian está bloqueando ataques, você pode usar o mesmo teste antes de executar o Nmap como mostrado acima e ver se o Guardian vai bloquear o IP do atacante.Pessoal, é isso aí. Espero que tenham gostado do post. Adiante postarei um artigo de instalação e configuração do Snort com o Barnyard2 mais o Guardian e suporte ao MySQL.
Até a próxima.
Artigo também publicado em: Guia do TI: Instalando e Configurando Snort-Mysql + Guardian