Установка и базовая настройка Snort, IDS в данном мануале инсталлируется на тот же сервер, чей сетевой трафик и требуется проверять.
(ОС: Debian 6.0 x64)
apt-get install snort-mysql
при установке будет запрос на ввод сети, которая будет считаться локальной, вводим 127.0.0.0/8
дальше последует пункт с созданием БД MySQL для хранения данных приложения, выполняем его как нам и подсказывает инсталлятор
cd /usr/share/doc/snort-mysql/
zcat create_mysql.gz | mysql -u <user> -h <host> -p <databasename>
создаем sql пользователя для доступа к этой базе и прописываем данные для доступа к этой БД в файл /etc/snort/database.conf
output database: log, mysql, user=snort password=secret dbname=snort host=localhost
удаляем файл /etc/snort/db-pending-config и запускаем Snort
invoke-rc.d snort start
Устанавливаем Acidbase, веб-приложение для работы с данными собираемыми Snort'ом
apt-get install acidbase
в процессе инсталляции будет надо будет указать пароль для доступа к БД Snort'а. Данные будут прописаны сюда /etc/acidbase/database.php
проходим по http://<IP_адрес>/acidbase/base_db_setup.php
жмем кнопку "Create BASE AG", добавятся новые таблицы расширяющие БД Snort для поддержки функциональности BASE (так же будет напоминание, что для поддержки возможности удаления логов, sql пользователь из под которого ведется работа с БД должен иметь права delete и update)
проходим по http://<IP_адрес>/acidbase
Теперь можно создавать учетные записи в Acidbase, разграничивать права пользователей и продолжать работу с приложением.
В продолжении требуется уже непосредственная настройка самого Snort, такие вещи как действия системы при обнаружении различных типов атак и т.д.
Немного попозже вернусь к данной теме.
(ОС: Debian 6.0 x64)
apt-get install snort-mysql
при установке будет запрос на ввод сети, которая будет считаться локальной, вводим 127.0.0.0/8
дальше последует пункт с созданием БД MySQL для хранения данных приложения, выполняем его как нам и подсказывает инсталлятор
cd /usr/share/doc/snort-mysql/
zcat create_mysql.gz | mysql -u <user> -h <host> -p <databasename>
создаем sql пользователя для доступа к этой базе и прописываем данные для доступа к этой БД в файл /etc/snort/database.conf
output database: log, mysql, user=snort password=secret dbname=snort host=localhost
удаляем файл /etc/snort/db-pending-config и запускаем Snort
invoke-rc.d snort start
Устанавливаем Acidbase, веб-приложение для работы с данными собираемыми Snort'ом
apt-get install acidbase
в процессе инсталляции будет надо будет указать пароль для доступа к БД Snort'а. Данные будут прописаны сюда /etc/acidbase/database.php
проходим по http://<IP_адрес>/acidbase/base_db_setup.php
жмем кнопку "Create BASE AG", добавятся новые таблицы расширяющие БД Snort для поддержки функциональности BASE (так же будет напоминание, что для поддержки возможности удаления логов, sql пользователь из под которого ведется работа с БД должен иметь права delete и update)
проходим по http://<IP_адрес>/acidbase
Теперь можно создавать учетные записи в Acidbase, разграничивать права пользователей и продолжать работу с приложением.
В продолжении требуется уже непосредственная настройка самого Snort, такие вещи как действия системы при обнаружении различных типов атак и т.д.
Немного попозже вернусь к данной теме.
Комментариев нет:
Отправить комментарий