Primero de todo vamos a instalar los paquetes necesarios.
Esto nos hará algunas preguntas, entre las que tenemos que poner cual es nuestra subred, en la mayoría de los casos con poner 192.168.0.0/24 ya es suficiente, pero por ejemplo mi red tiene la siguiente máscara 255.255.255.240 en vez de ser un 0, es un 240, con lo que junto a mi tipo de red y haciendo un poco de subnetting puedo concluir que tengo que poner 172.26.0.0/28.# aptitude install snort-mysql snort-doc acidbase
A continuación nos dirá si queremos crear la base de datos de snort, aquí le tenemos que decir que no, mientras que le tenemos que dar que si a crear una contraseña para acidbase.
Como podemos ver, el snort-mysql da un montón de errores, y quien quiere usar debconf ... jajaja, así que nos toca crear la bbdd de snort-mysql a mano.
$ mysql -uroot -p mysql
mysql> CREATE USER'snort'@'localhost' IDENTIFIED BY 'snort';
mysql> GRANT ALL PRIVILEGES ON *.* TO 'snort'@'localhost' BY 'snort';
mysql> CREATE DATABASE IF NOT EXISTS `snort`;
mysql> GRANT ALL PRIVILEGES ON `snort`.* TO 'snort'@'localhost';
mysql> flush privileges;
mysql> quit
Esto nos ha creado un usuario snort y una base de datos llamada snort, fijate la diferencia en que cuando hablamos del usuario lo ponemos con una comilla del tipo ' mientras que cuando hablamos de la base de datos la ponemos con una comilla del tipo `
A continuación nos tocará crear la estructura de la base de datos, para ello usaremos un fichero con dicha estructura que viene en el paquete snort-doc, lo haremos de la siguiente forma.
# cd /usr/share/doc/snort-mysql/
# zcat create_mysql.gz | mysql -u snort -h localhost -p snort
# rm /etc/snort/db-pending-config
# aptitude upgrade
# dpkg-reconfigure -plow snort-mysql
Ahora que ya está todo instalado vamos a configurar el fichero de donde se guarda la configuración del snort y le pondremos nuestra subred
# vi /etc/snort/snort.conf
var HOME_NET 172.26.0.0/28
output database: log, mysql, user=snort password=UN_PASSWORD dbname=snort host=localhost
# vi /etc/acidbase/database.php
$alert_user='snort';
$alert_password='UN_PASSWORD';
$basepath='';
$alert_dbname='snort';
$alert_host='localhost';
$alert_port='3306';
$DBtype='mysql';
# /etc/init.d/apache2 restart
# /etc/init.d/snort restart
AGRADECER NO CUESTA NADA!!!
No hay comentarios:
Publicar un comentario