Segurança · 3 min read · Oct 17, 2025

Detecção de Intrusões: Snort (IDS), OSSEC (HbIDS) E Prelude (HIDS) No Ubuntu Gutsy Gibbon - Página 2

Instalar Prewikka

Prewikka é a interface gráfica para o Prelude, usando um servidor web.

Instalação

Prewikka requer dois bancos de dados: um para obter os alertas do Prelude (que é o mesmo configurado anteriormente) e um para armazenar seus próprios dados (prewikka). Na verdade, os pacotes do Ubuntu apenas criam o banco de dados prewikka e não configuram o acesso aos alertas do Prelude, então a instalação do alerta precisa ser feita manualmente.

Instalar Prewikka

apt-get install prewikka

O pacote instalará as dependências necessárias (python, por exemplo) e pedirá a configuração do banco de dados. Quanto ao Prelude, escolhemos usar dbconfig-common, fornecemos a senha do administrador e pressionamos enter para que o dbconfig-common gere uma para nós.

Configurar Acesso ao Prelude-Manager

Obtenha a senha do arquivo de configuração do prelude-manager /etc/prelude-manager/prelude-manager.conf e edite o arquivo de configuração do prewikka /etc/prewikka/prewikka.conf:

vi /etc/prewikka/prewikka.conf
[idmef_database]
type: mysql
host: localhost
user: prelude
pass: **********
name: prelude

A seção [database] é configurada automaticamente pelo dbconfig-common, então não a modifique.

Configuração do Servidor Web:

A configuração é explicada no arquivo /usr/share/doc/prewikka/README.Debian. Você pode escolher entre 3 configurações:

  • Configuração Apache / CGI com VirtualHost
  • Configuração Apache / mod_python com VirtualHost
  • Prewikka a partir da ferramenta de linha de comando

Como exemplo, usarei a configuração mod_python.

apt-get install libapache2-mod-python

Adicione um VirtualServer à sua configuração apache com o seguinte conteúdo:

NameVirtualHost *  
  
        ServerAdmin [email protected]  
          
                SetHandler mod_python  
                PythonHandler prewikka.ModPythonHandler  
                PythonOption PrewikkaConfig /etc/prewikka/prewikka.conf  
          
  
          
                SetHandler None  
          
  
        Alias /prewikka /usr/share/prewikka/htdocs  
        Alias /htdocs /usr/share/prewikka/htdocs

Reinicie seu servidor web apache e você pode fazer login na interface do prewikka.

Nota: você pode, é claro, sempre usar uma configuração para apache como:

NameVirtualHost xxx.xxx.xxx.xxx:80

Isso é útil quando você tem outros serviços rodando em seu servidor apache.

Parte 2: Instalando E Configurando Snort

Não vou escrever o guia completo para isso, já que existe um guia para snort: Detecção de Intrusões: Snort, Base, MySQL e Apache2 No Ubuntu 7.10 (Gutsy Gibbon) (Atualizado).

Descreverei aqui os passos necessários para ter snort registrando no prelude. Nesta configuração, você também não precisa instalar um banco de dados mysql e a interface web base, já que snort registrará no prelude e você pode usar a interface prewikka para ver os alertas do snort.

Siga todos os passos descritos no guia acima e substitua a entrada abaixo pela nova:

Substitua

./configure -enable-dynamicplugin --with-mysql  
make  
make install

Por

./configure -enable-dynamicplugin --eanble-prelude  
make  
make install

Em vez de fazer:

Role para baixo na lista até a seção com “ # output database: log, mysql, user= “, remova o “ # “ na frente desta linha.
Mude o “ user=root “ para “ user=snort “, mude o “ password=password “ para “ password=snort_password “, “ dbname=snort
Anote o nome de usuário, a senha e o nome do banco de dados. Você precisará dessas informações quando configurarmos o banco de dados Mysql.
Salve e saia.

Faça:

Role para baixo na lista até a seção com “# output alert_prelude: profile=snort “, remova o “#” na frente desta linha e é isso.

A partir do passo 5 ( 5. Configure o banco de dados Mysql.) tudo pode ser pulado.

Agora temos que registrar o agente snort no prelude manager:

prelude-adduser register snort "idmef:w"  --uid snort --gid snort

No servidor prelude manager:

prelude-adduser registration-server prelude-manager

Isso registrará o agente snort no prelude manager, como você fez acima para o prelude-lml.

Uma vez que o processo de registro esteja completo, execute:

snort -c /etc/snort/snort.conf

Se tudo correr bem, você verá:

Inicializando Interface de Rede eth0
Decodificando Ethernet na interface eth0

  • Conectando a 127.0.0.1:4690 servidor do Prelude Manager.
  • Autenticação TLS bem-sucedida com o Prelude Manager.

A entrada eth0 depende do adaptador ethernet que você especificou. O importante é que você veja que o snort está se conectando ao servidor do prelude manager e a autenticação tls foi bem-sucedida.

Se o agente estiver se conectando e você ver snort na lista de agentes do prewikka, então você pode parar o processo com ctrl-c e emitir:

snort -c /snort/snort.conf -D

para iniciar snort como um daemon. Na linha acima, você pode sempre adicionar -i ethX se não estiver ouvindo em todas as interfaces de rede e quiser especificar uma interface específica.

Share: X/Twitter LinkedIn
#Segurança

Receba novas postagens na sua caixa de entrada

Sem spam. Cancele a assinatura a qualquer momento.