lunes, 4 de octubre de 2010

La parte que me falto acidbase

Primero de todo vamos a instalar los paquetes necesarios.
# aptitude install snort-mysql snort-doc acidbase
Esto nos hará algunas preguntas, entre las que tenemos que poner cual es nuestra subred, en la mayoría de los casos con poner 192.168.0.0/24 ya es suficiente, pero por ejemplo mi red tiene la siguiente máscara 255.255.255.240 en vez de ser un 0, es un 240, con lo que junto a mi tipo de red y haciendo un poco de subnetting puedo concluir que tengo que poner 172.26.0.0/28.
A continuación nos dirá si queremos crear la base de datos de snort, aquí le tenemos que decir que no, mientras que le tenemos que dar que si a crear una contraseña para acidbase.
Como podemos ver, el snort-mysql da un montón de errores, y quien quiere usar debconf ... jajaja, así que nos toca crear la bbdd de snort-mysql a mano.

$ mysql -uroot -p mysql 
mysql> CREATE USER'snort'@'localhost' IDENTIFIED BY 'snort'; 
mysql> GRANT ALL PRIVILEGES ON *.* TO 'snort'@'localhost' BY 'snort';
mysql> CREATE DATABASE IF NOT EXISTS `snort`; 
mysql> GRANT ALL PRIVILEGES ON `snort`.* TO 'snort'@'localhost'; 
mysql> flush privileges; 
mysql> quit

Esto nos ha creado un usuario snort y una base de datos llamada snort, fijate la diferencia en que cuando hablamos del usuario lo ponemos con una comilla del tipo ' mientras que cuando hablamos de la base de datos la ponemos con una comilla del tipo `
A continuación nos tocará crear la estructura de la base de datos, para ello usaremos un fichero con dicha estructura que viene en el paquete snort-doc, lo haremos de la siguiente forma.
# cd /usr/share/doc/snort-mysql/
# zcat create_mysql.gz | mysql -u snort -h localhost -p snort
Ahora que ya tenemos creada la estructura, nos toca eliminar el fichero del error al instalar el paquete y le decimos que acabe de confgiurar dicho paquete, de la siguiente forma:
# rm /etc/snort/db-pending-config
# aptitude upgrade
# dpkg-reconfigure -plow snort-mysql

Ahora que ya está todo instalado vamos a configurar el fichero de donde se guarda la configuración del snort y le pondremos nuestra subred
# vi /etc/snort/snort.conf
var HOME_NET 172.26.0.0/28
output database: log, mysql, user=snort password=UN_PASSWORD dbname=snort host=localhost
Ahora nos toca configurar acidbase
# vi /etc/acidbase/database.php
$alert_user='snort';
$alert_password='UN_PASSWORD';
$basepath='';
$alert_dbname='snort';
$alert_host='localhost';
$alert_port='3306';
$DBtype='mysql';
Y finalmente no nos queda mas que reiniciar los demonios
# /etc/init.d/apache2 restart
# /etc/init.d/snort restart
 
AGRADECER NO CUESTA NADA!!!

No hay comentarios:

Publicar un comentario