Rilevamento Intrusioni · 5 min read · Oct 16, 2025

Rilevamento delle intrusioni: Snort, Base, MySQL e Apache2 su Ubuntu 7.10 (Gutsy Gibbon) (Aggiornato)

Rilevamento delle intrusioni: Snort, Base, MySQL e Apache2 su Ubuntu 7.10 (Gutsy Gibbon) (Aggiornato)

Questo tutorial si basa su un altro howto scritto da DevilMan, tuttavia non mi è piaciuta l’idea di compilare manualmente ogni pacchetto o di utilizzare un’interfaccia grafica per installare il software. Questo howto funzionerà su un server Gutsy o su un desktop Gutsy. Detto ciò, parte di questo howto è una copia diretta dell’originale.

In questo tutorial descriverò come installare e configurare Snort (un sistema di rilevamento delle intrusioni (IDS)) da sorgente, BASE (Basic Analysis and Security Engine), MySQL e Apache2 su Ubuntu 7.10 (Gutsy Gibbon). Snort ti aiuterà a monitorare la tua rete e ti avviserà riguardo a possibili minacce. Snort registrerà i suoi file di log in un database MySQL che BASE utilizzerà per visualizzare un’interfaccia grafica in un browser web.

1. Ottenere privilegi di root

È più facile fare questa installazione come utente root.

sudo su -

2. Installare alcuni pacchetti

I seguenti comandi installeranno tutti i pacchetti necessari per far funzionare questa configurazione:

apt-get install libpcap0.8-dev libmysqlclient15-dev mysql-client-5.0 mysql-server-5.0 bison flex apache2 libapache2-mod-php5 php5-gd php5-mysql libphp-adodb php-pear libc6-dev g++ gcc pcregrep libpcre3-dev

3. Ottenere e compilare snort

Il pacchetto Snort nei repository Gutsy è obsoleto. Quindi ho preferito scaricare la versione più attuale e installarla. Questa è l’unica cosa che compileremo da zero.

L’ultima versione di snort al momento della scrittura è 2.8.0.1

Prima andiamo in una directory di lavoro:

cd /usr/src/

Apri un browser web e naviga su http://www.snort.org/dl, fai clic con il tasto destro sul rilascio più recente e copia il link.

a. Scarica snort e le regole di snort

wget http://www.snort.org/dl/current/snort-2.8.0.1.tar.gz

Ci sono un paio di opzioni per le regole. Il seguente comando scaricherà le regole pubbliche, tuttavia con una rapida registrazione sul sito di snort puoi ottenere regole più aggiornate. A tua scelta, ma il comando successivo viene eseguito allo stesso modo con l’URL appropriato:

wget http://snort.org/pub-bin/downloads.cgi/Download/vrt_pr/snortrules-pr-2.4.tar.gz

b. Estrai e preparali per la compilazione

tar zxvf snort-2.8.0.1.tar.gz  
cd snort-2.8.0.1  
tar zxvf ../snortrules-pr-2.4.tar.gz

c. Ora compila

./configure -enable-dynamicplugin --with-mysql  
make  
make install

Tieni questa directory a portata di mano poiché puoi semplicemente eseguire

make uninstall

per disinstallare snort in seguito se lo desideri.

d. Sposta le cose nella posizione corretta

Ora dobbiamo spostare le regole e la configurazione per snort nella posizione corretta.

mkdir /etc/snort /etc/snort/rules /var/log/snort  
cd /usr/src/snort-2.8.0.1/etc  
cp * /etc/snort/  
cd ../rules  
cp * /etc/snort/rules

4. Configurare Snort

Dobbiamo modificare il file snort.conf per adattarlo alle nostre esigenze.

Apri /etc/snort/snort.conf con il tuo editor di testo preferito (nano, vi, vim, ecc.).

# vi /etc/snort/snort.conf

Cambia “ var HOME_NET any “ in “ var HOME_NET 192.168.1.0/24 “ (la tua rete domestica potrebbe differire da 192.168.1.0)
Cambia “ var EXTERNAL_NET any “ in “ var EXTERNAL_NET !$HOME_NET “ (questo indica che tutto tranne HOME_NET è esterno)
Cambia “ var RULE_PATE ../rules “ in “ var RULE_PATH /etc/snort/rules

Scorri verso il basso nell’elenco fino alla sezione con “ # output database: log, mysql, user= “, rimuovi il “ # “ davanti a questa riga.
Cambia “ user=root “ in “ user=snort “, cambia “ password=password “ in “ password=snort_password “, “ dbname=snort
Prendi nota del nome utente, della password e del dbname. Avrai bisogno di queste informazioni quando configureremo il database Mysql.
Salva e esci.

Cambia i permessi sul file di configurazione per mantenere le cose sicure (grazie a rojo):

# chmod 600 /etc/snort/snort.conf

5. Configurare il database Mysql.

Accedi al server mysql.

# mysql -u root -p

Crea il database snort. Assicurati di cambiare ‘snort_password’ in qualcos’altro!

mysql> create database snort;  
grant all privileges on snort.* to 'snort'@'localhost' identified by 'snort_password'; mysql> exit

Utilizzeremo lo schema snort per il layout del database.

# mysql -D snort -u snort -p < /usr/src/snort-2.8.0.1/schemas/create_mysql

NOTA: Usa la password dell’utente del tuo DB snort quando richiesto.

6. È tempo di testare Snort

Nel terminale digita:

# snort -c /etc/snort/snort.conf

Se tutto è andato bene dovresti vedere un maiale ascii.

Per terminare il test premi ctrl + c.

NOTA: Se ricevi errori potresti voler provare a commentare le righe 97, 98 e 452 di /etc/snort/rules/web-misc.rules. Questo era un problema in passato ma non sembra esserlo più.

7. Ottenere e installare BASE

Apri un browser web e vai su http://sourceforge.net/project/showfiles.php?group_id=103348.

Fai clic su download, quindi fai clic con il tasto destro sul pacchetto tar.gz più recente e seleziona copia link (al momento della scrittura questo è base-1.3.9).

Nel terminale digita:

cd  
wget http://easynews.dl.sourceforge.net/sourceforge/secureideas/base-1.3.9.tar.gz

Ora vai nella tua radice dei documenti web (di default questa è /var/www), estrai il tarball e imposta i permessi necessari per configurare BASE:

cd /var/www/  
tar zxvf ~/base-1.3.9.tar.gz  
cd ..  
chmod 757 base-1.3.9

Vogliamo assicurarci che un paio di moduli Pear siano attivati:

pear install Image_Color  
pear install Image_Canvas-alpha  
pear install Image_Graph-alpha

8. Configurare BASE

Apri un browser web e naviga su http://YOUR.IP.ADDRESS/base-1.3.9/setup.

Fai clic su continua nella prima pagina.

  • Passo 1 di 5: Inserisci il percorso per ADODB.
    Questo è /usr/share/php/adodb.
  • Passo 2 di 5:
    Tipo di database = MySQL, Nome database = snort, Host database = localhost, Nome utente database = snort, Password database = snort_password
  • Passo 3 di 5: Se desideri utilizzare l’autenticazione inserisci un nome utente e una password qui e seleziona la casella.
  • Passo 4 di 5: Fai clic su Crea BASE AG.
  • Passo 5 di 5: una volta completato il passo 4, in fondo fai clic su Ora continua al passo 5.

Aggiungi questa pagina ai segnalibri.

Cambia di nuovo i permessi sulla cartella /var/www/base-1.3.9.

# chmod 755 /var/www/base-1.3.9

Abbiamo finito. Congratulazioni!!!

Per avviare Snort nel terminale digita (assicurati di cambiare eth0 con l’interfaccia corretta per la tua macchina:

# snort -c /etc/snort/snort.conf -i eth0 -D

Questo avvia snort utilizzando l’interfaccia eth0 in modalità daemon. Puoi aggiungere questo al tuo file /etc/rc.local in modo che si avvii dopo un riavvio.

Per assicurarti che sia in esecuzione puoi controllare con il seguente comando:

# ps aux | grep snort

Se è in esecuzione vedrai un’entrata simile a snort -c /etc/snort/snort.conf -i eth0 -D.

Se desideri imparare come scrivere le tue regole Snort, c’è una guida su http://www.snort.org/docs/snort_manual/node16.html.
Buona fortuna.

Share: X/Twitter LinkedIn
#Rilevamento Intrusioni

Ricevi i nuovi post nella tua casella di posta.

Nessuno spam. Disiscriviti in qualsiasi momento.