Snort + BarnYard2 + Snorby no Slackware 14.1

krum

Sistema de detecção de intrusão: Slackware com Snort + BarnYard2 e Snorby pelo Apache com módulo passenger e logs armazenados pelo MySQL.

[ Hits: 21.599 ]

Por: krum em 22/12/2014

3 0

Denuncie Favoritos Indicar Impressora

Configuração do Snort e Barnyard2

Feita a instalação dos pacotes, vamos para configuração e criação do banco de dados.

Crie um arquivo chamado snort.sql:

# touch snort.sql

Insira o seguinte conteúdo dentro do arquivo:

#Database SNORT/Base
CREATE DATABASE snort;
GRANT CREATE,SELECT,UPDATE,INSERT,DELETE ON snort.* TO snort@localhost;
SET password FOR snort@localhost=PASSWORD('senha_snort_mysql');
exit

Após a criação, execute o comando abaixo. Na inserção, será pedido a senha do usuario root do MySQL:

# mysql -uroot -p < snort.sql
# mysql -uroot -p < /usr/share/doc/barnyard2-1.13/schemas/create_mysql snort

Com as tabelas criadas e tudo pronto, vamos adicionar as seguintes linhas ao final do arquivo /etc/barnyard2.conf:

output database: log, mysql, user=snort password=senha_snort_mysql dbname=snort host=localhost
output alert_full: /var/log/snort/alert

Agora vamos vamos editar o /etc/snort/snort.conf.

Encontre a seguinte linha:

"ipvar HOME_NET any"

E modifique para a faixa da sua rede.

ipvar HOME_NET 192.168.1.0/24

Antes de inicializar os serviços do snort e do barnyard2, vamos executar os seguintes comandos:

# groupadd snort
# useradd -g snort -d /var/log/snort snort
# chown -R snort:snort /var/log/snort

Feito isso, vamos fazer uma modificação no arquivo /etc/rc.d/rc.snort.

Encontre a linha:

CMDLINE="/usr/bin/snort -d -D -i $IFACE"

E modifique para a seguinte, esta linha coloca o usuário snort para iniciar o serviço:

CMDLINE="/usr/bin/snort -d -D -u snort -i $IFACE"

Feitas as modificações, vamos dar permissões para os scripts de inicialização:

# chmod +x /etc/rc.d/rc.snort
# chmod +x /etc/rc.d/rc.barnyard2

Feito estes passos, incie os seguintes serviços:

# /etc/rc.d/rc.snort start
# /etc/rc.d/rc.barnyard2 start

Colocando os scripts para inicializar no boot, insira o codigo abaixo no fim de /etc/rc.d/rc.M ou /etc/rc.d/rc.local:

# Snort
if [ -x /etc/rc.d/rc.snort ]; then
. /etc/rc.d/rc.snort start
fi

# Barnyard
if [ -x /etc/rc.d/rc.barnyard2 ]; then
. /etc/rc.d/rc.barnyard2 start
fi

Página anterior Próxima página

Páginas do artigo

   1. O que é e como funciona uma ferramenta IDS
   2. Pacotes necessários e instalação
   3. Configuração do Snort e Barnyard2
   4. Instalação e configuração do Snorby
   5. Apache e Mod_passenger
   6. Instalando e configurando o Wkhtmltopdf
   7. Considerações finais

Outros artigos deste autor

Como montar imagem VDI (VirtualBox) no Linux

Leitura recomendada

Técnicas forenses para identificação da invasão e do invasor em sistemas Unix/Linux através do SSH (parte 2)

Monitoramento de redes com o Zenoss

Entendendo as permissões no Linux

Tripwire - Checando a integridade do sistema

Introdução ao Personal Firewall (PF)

Comentários