Snort + BarnYard2 + Snorby no Slackware 14.1

Sistema de detecção de intrusão: Slackware com Snort + BarnYard2 e Snorby pelo Apache com módulo passenger e logs armazenados pelo MySQL.

[ Hits: 21.200 ]

Por: krum em 22/12/2014


Configuração do Snort e Barnyard2



Feita a instalação dos pacotes, vamos para configuração e criação do banco de dados.

Crie um arquivo chamado snort.sql:

# touch snort.sql

Insira o seguinte conteúdo dentro do arquivo:

#Database SNORT/Base
CREATE DATABASE snort;
GRANT CREATE,SELECT,UPDATE,INSERT,DELETE ON snort.* TO snort@localhost;
SET password FOR snort@localhost=PASSWORD('senha_snort_mysql');
exit

Após a criação, execute o comando abaixo. Na inserção, será pedido a senha do usuario root do MySQL:

# mysql -uroot -p < snort.sql
# mysql -uroot -p < /usr/share/doc/barnyard2-1.13/schemas/create_mysql snort

Com as tabelas criadas e tudo pronto, vamos adicionar as seguintes linhas ao final do arquivo /etc/barnyard2.conf:

output database: log, mysql, user=snort password=senha_snort_mysql dbname=snort host=localhost
output alert_full: /var/log/snort/alert

Agora vamos vamos editar o /etc/snort/snort.conf.

Encontre a seguinte linha:

"ipvar HOME_NET any"

E modifique para a faixa da sua rede.

ipvar HOME_NET 192.168.1.0/24

Antes de inicializar os serviços do snort e do barnyard2, vamos executar os seguintes comandos:

# groupadd snort
# useradd -g snort -d /var/log/snort snort
# chown -R snort:snort /var/log/snort

Feito isso, vamos fazer uma modificação no arquivo /etc/rc.d/rc.snort.

Encontre a linha:

CMDLINE="/usr/bin/snort -d -D -i $IFACE"

E modifique para a seguinte, esta linha coloca o usuário snort para iniciar o serviço:

CMDLINE="/usr/bin/snort -d -D -u snort -i $IFACE"

Feitas as modificações, vamos dar permissões para os scripts de inicialização:

# chmod +x /etc/rc.d/rc.snort
# chmod +x /etc/rc.d/rc.barnyard2

Feito estes passos, incie os seguintes serviços:

# /etc/rc.d/rc.snort start
# /etc/rc.d/rc.barnyard2 start

Colocando os scripts para inicializar no boot, insira o codigo abaixo no fim de /etc/rc.d/rc.M ou /etc/rc.d/rc.local:

# Snort
if [ -x /etc/rc.d/rc.snort ]; then
. /etc/rc.d/rc.snort start
fi

# Barnyard
if [ -x /etc/rc.d/rc.barnyard2 ]; then
  . /etc/rc.d/rc.barnyard2 start
fi

Página anterior     Próxima página

Páginas do artigo
   1. O que é e como funciona uma ferramenta IDS
   2. Pacotes necessários e instalação
   3. Configuração do Snort e Barnyard2
   4. Instalação e configuração do Snorby
   5. Apache e Mod_passenger
   6. Instalando e configurando o Wkhtmltopdf
   7. Considerações finais
Outros artigos deste autor

Como montar imagem VDI (VirtualBox) no Linux

Leitura recomendada

Segurança extrema com LIDS: novos recursos

ClamAV, o kit de ferramentas antivírus

Instalando o PFSense em uma máquina virtual

Fundamentos da criptografia assimétrica

Netcat - O canivete suíco do TCP/IP

  
Comentários
[1] Comentário enviado por fabio em 22/12/2014 - 13:27h

Excelente artigo, meus parabéns!

[2] Comentário enviado por danniel-lara em 22/12/2014 - 13:50h

Bah , que baita Artigo
já esta no favoritos


Contribuir com comentário




Patrocínio

Site hospedado pelo provedor RedeHost.
Linux banner

Destaques

Artigos

Dicas

Tópicos

Top 10 do mês

Scripts