Обнаружение вторжений: Snort (IDS), OSSEC (HbIDS) и Prelude (HIDS) на Ubuntu Gutsy Gibbon - Страница 2

Установка Prewikka

Prewikka — это графический интерфейс для Prelude, использующий веб-сервер.

Установка

Prewikka требует две базы данных: одну для получения предупреждений Prelude (которая такая же, как была настроена ранее), и одну для хранения собственных данных (prewikka). На самом деле, пакеты Ubuntu создают только базу данных prewikka и не настраивают доступ к предупреждениям Prelude, поэтому установка предупреждений должна быть выполнена вручную.

Установка Prewikka

apt-get install prewikka

Пакет установит необходимые зависимости (например, python) и запросит конфигурацию базы данных. Что касается Prelude, мы выбираем использовать dbconfig-common, вводим пароль администратора и нажимаем Enter для пароля БД, чтобы dbconfig-common сгенерировал его для нас.

Настройка доступа к Prelude-Manager

Получите пароль из конфигурационного файла prelude-manager /etc/prelude-manager/prelude-manager.conf и отредактируйте конфигурационный файл prewikka /etc/prewikka/prewikka.conf:

vi /etc/prewikka/prewikka.conf

[idmef_database]
type: mysql
host: localhost
user: prelude
pass: **********
name: prelude

Секция [database] автоматически настраивается dbconfig-common, поэтому не изменяйте ее.

Конфигурация веб-сервера:

Конфигурация объясняется в файле /usr/share/doc/prewikka/README.Debian. Вы можете выбрать между 3 конфигурациями:

• Настройка Apache / CGI с VirtualHost
• Настройка Apache / mod_python с VirtualHost
• Prewikka из командной строки

В качестве примера я буду использовать настройку mod_python.

apt-get install libapache2-mod-python

Добавьте VirtualServer в вашу конфигурацию apache со следующим содержимым:

NameVirtualHost *  
  
        ServerAdmin [email protected]  
          
                SetHandler mod_python  
                PythonHandler prewikka.ModPythonHandler  
                PythonOption PrewikkaConfig /etc/prewikka/prewikka.conf  
          
  
          
                SetHandler None  
          
  
        Alias /prewikka /usr/share/prewikka/htdocs  
        Alias /htdocs /usr/share/prewikka/htdocs  

Перезапустите ваш веб-сервер apache, и вы сможете войти в интерфейс prewikka.

Примечание: вы, конечно, всегда можете использовать настройку для apache, такую как:

NameVirtualHost xxx.xxx.xxx.xxx:80

Это полезно, когда у вас работают другие службы на вашем сервере apache.

Часть 2: Установка и настройка Snort

Я не буду писать полное руководство по этому вопросу, так как есть руководство для snort: Обнаружение вторжений: Snort, Base, MySQL и Apache2 на Ubuntu 7.10 (Gutsy Gibbon) (Обновлено).

Я опишу здесь шаги, необходимые для того, чтобы snort записывал данные в prelude. В этой настройке вам также не нужно устанавливать базу данных mysql и веб-интерфейс base, так как snort будет записывать данные в prelude, и вы можете использовать интерфейс prewikka, чтобы видеть предупреждения snort.

Следуйте всем шагам, описанным в вышеупомянутом руководстве, и замените запись ниже на новую:

Замените

./configure -enable-dynamicplugin --with-mysql  
make  
make install

На

./configure -enable-dynamicplugin --eanble-prelude  
make  
make install

Вместо того чтобы делать:

Прокрутите вниз по списку до секции с “ # output database: log, mysql, user= “, уберите “ # “ перед этой строкой.
Измените “ user=root “ на “ user=snort”, измените “ password=password “ на “ password=snort_password “, “ dbname=snort “
Запомните имя пользователя, пароль и имя базы данных. Вам понадобится эта информация, когда мы будем настраивать базу данных Mysql.
Сохраните и выйдите.

Сделайте:

Прокрутите вниз по списку до секции с “# output alert_prelude: profile=snort “, уберите “#” перед этой строкой, и это всё.

С 5 шага ( 5. Настройка базы данных Mysql.) все можно пропустить.

Теперь нам нужно зарегистрировать агент snort в prelude manager:

prelude-adduser register snort "idmef:w"  --uid snort --gid snort

На сервере prelude manager:

prelude-adduser registration-server prelude-manager

Это зарегистрирует агент snort в prelude manager, как вы сделали выше для prelude-lml.

После завершения процесса регистрации выполните:

snort -c /etc/snort/snort.conf

Если всё прошло успешно, вы увидите:

Initializing Network Interface eth0
Decoding Ethernet on interface eth0

• Connecting to 127.0.0.1:4690 prelude Manager server.
• TLS authentication succeed with Prelude Manager.

Запись eth0 зависит от сетевого адаптера, который вы указали. Важно, чтобы вы видели, что snort подключается к серверу prelude manager и TLS-аутентификация прошла успешно.

Если агент подключается, и вы видите snort в списке агентов prewikka, то вы можете остановить процесс с помощью ctrl-c и выполнить:

snort -c /snort/snort.conf -D

чтобы запустить snort как демон. В приведенной выше строке вы всегда можете добавить -i ethX, если вы не слушаете на всех сетевых интерфейсах и хотите указать конкретный интерфейс.