Snort + MySQL + Guardian - Instalação e configuração
Neste artigo aprenderemos, passo a passo, como instalar e configurar o Snort com suporte a MySQL e integrado com o Guardian.
[ Hits: 46.230 ]
Por: Rick em 07/02/2013 | Blog: http://www.guiadoti.com
Guardian
# cd /opt
# wget -cv http://www.chaotic.org/guardian/guardian-1.7.tar.gz
Agora iremos descompactar:
# tar -xvzf guardian-1.7.tar.gz
# cd guardian-1.7
Editar o arquivo "guardian.conf":
# pico guardian.conf
Informar o IP do servidor na linha HostIpAddr:
Informe a interface na linha Interface:
Na linha "AlertFile", informe o caminho do arquivo "alert":
Salve o arquivo e copie para o /etc/:
# cp guardian.conf /etc/
Crie o arquivo /etc/guardian.ignore e nele informe os IPs que serão ignorados pelo Guardian. No caso, pode colocar o IP do servidor:
# pico /etc/guardian.ignore
Copiaremos os scripts de bloqueio e desbloqueio:
# cd scripts
# cp iptables_block.sh /sbin/guardian_block.sh
# cp iptables_unblock.sh /sbin/guardian_unblock.sh
Caso seu sistema esteja em português, edite o arquivo "guardian.pl":
# cd /opt/guardian-1.7
# pico guardian.pl
Procure pela linha que contém "inet addr" (linha 320) e mude para:
Salve o arquivo e copie para o /sbin/:
# cp guardian.pl /sbin
Crie o arquivo de log do Guardian:
# touch /var/log/guardian.log
Criaremos o script para o Guardian ser executado automaticamente durante o boot:
# pico /etc/init.d/guardian
test -f /sbin/guardian.pl || exit 0
case "$1" in
start)
guardian.pl -c /etc/guardian.conf
;;
stop)
kill -9 $(pgrep guardian.pl)
;;
*)
echo "Opção invalida. Use start ou stop."
exit 2
;;
esac
exit 0
Dê permissão de execução para o script:
# chmod 755 /etc/init.d/guardian
Agora pode iniciar o Guardian com o comando:
# /etc/init.d/guardian start
E parar com o:
# /etc/init.d/guardian stop
Habilite o Guardian para ser executado durante o boot com o assistente rcconf:
# aptitude install rcconf
# rcconf
Marque a opção do Guardian e dê OK.
Conclusão
Agora é só fazer os testes e ver se está tudo OK. O Guardian está bloqueando ataques, você pode usar o mesmo teste antes de executar o Nmap como mostrado acima e ver se o Guardian vai bloquear o IP do atacante.Pessoal, é isso aí. Espero que tenham gostado do post. Adiante postarei um artigo de instalação e configuração do Snort com o Barnyard2 mais o Guardian e suporte ao MySQL.
Até a próxima.
Artigo também publicado em: Guia do TI: Instalando e Configurando Snort-Mysql + Guardian
2. Snort
3. Guardian
Servidor proxy com Squid - Instalação e configuração
storage FreeNas 9.2.1.6 - Instalação e configuração
Redmine 2.1.4 no Debian Squeeze - Instalação e configuração
Snort em modo defensivo com Flex Response 2
Configurando uma VPN IPSec Openswan no SUSE Linux 9.3
Elastic SIEM - Instalação e Configuração do LAB (Parte I)
Muito bom o Artigo. Segui a risca, e me sai super bem; graças as boas explicações dadas por ti. Obrigado!
Só um pequeno detalhe. Não consegui achar esse arquivo: /etc/snort/database.conf. Mas está funcionando tudo certinho!
Oi c4rnivor3, estranho não ter o arquivo database.conf, mas enfim se ta tudo funcionando é o que importa, mas se fosse você faria um teste em uma maquina virtual pra ver, derrepente foi algum problema na hora da instalação.
Não estou conseguindo monitorar o host pelo nmap, estou executando o nmap em uma maquina Windows mais ele me retorna com essa mensagem:
Starting Nmap 6.40 ( http://nmap.org ) at 2013-09-24 10:56 Hora oficial do Brasil
Nmap scan report for 192.168.0.8
Host is up (0.0064s latency).
All 1000 scanned ports on 192.168.0.8 are closed
MAC Address: 42:61:83:D1:6A:10 (Unknown)
Nmap done: 1 IP address (1 host up) scanned in 10.49 seconds
Gostaria de saber se é essa realmente a informação que ele deve me passar ou se tem algo de errado, muito obrigado desde já.
Muito obrigado pelo excelente tutorial. Segui a risca e instalou direitinho.
Grato.
cara muito bom, salvou meu tcc... mais nao consigo baixar o guardian..diz que o nome ou serviço chaotic.org desconhecido
Patrocínio
Destaques
Artigos
Compartilhando a tela do Computador no Celular via Deskreen
Como Configurar um Túnel SSH Reverso para Acessar Sua Máquina Local a Partir de uma Máquina Remota
Configuração para desligamento automatizado de Computadores em um Ambiente Comercial
Dicas
Como renomear arquivos de letras maiúsculas para minúsculas
Imprimindo no formato livreto no Linux
Vim - incrementando números em substituição
Efeito "livro" em arquivos PDF
Como resolver o erro no CUPS: Unable to get list of printer drivers
Tópicos
Não to conseguindo resolver este problemas ao instalar o playonelinux (1)
Excluir banco de dados no xampp (1)
Top 10 do mês
-
Xerxes
1° lugar - 64.571 pts -
Fábio Berbert de Paula
2° lugar - 50.304 pts -
Buckminster
3° lugar - 17.367 pts -
Mauricio Ferrari
4° lugar - 15.138 pts -
Alberto Federman Neto.
5° lugar - 13.652 pts -
Diego Mendes Rodrigues
6° lugar - 13.476 pts -
Daniel Lara Souza
7° lugar - 12.834 pts -
Andre (pinduvoz)
8° lugar - 10.193 pts -
edps
9° lugar - 10.249 pts -
Alessandro de Oliveira Faria (A.K.A. CABELO)
10° lugar - 10.113 pts
Scripts
[Python] Automação de scan de vulnerabilidades
[Python] Script para analise de superficie de ataque
[Shell Script] Novo script para redimensionar, rotacionar, converter e espelhar arquivos de imagem
[Shell Script] Iniciador de DOOM (DSDA-DOOM, Doom Retro ou Woof!)
[Shell Script] Script para adicionar bordas às imagens de uma pasta
A maior comunidade GNU/Linux da América Latina! Artigos, dicas, tutoriais, fórum, scripts e muito mais. Ideal para quem busca auto-ajuda.
Site hospedado por:
