저는 Bitnami 기성 이미지를 기반으로 하는 Linux 시스템에 Magento 웹사이트를 설정했습니다.
주요 목표는 사이트에 잠재적인 공격이 있을 때마다 이메일로 알림을 받는 것입니다.
내 설정:
- 우분투 14.04.3 LTS
- 비트나미 마젠토 스택 1.9.1.0-0
- 스노트 2.9.7.5
이를 달성하기 위해 나는 Snort IDS를 설치하고 Swatch를 사용하여 syslog에 오는 경고를 이메일로 보내기로 결정했습니다.
다음과 같이 snort를 설치했습니다.이 튜토리얼Snort 공식 홈페이지에서.
방금 해당 튜토리얼의 섹션 9를 마쳤습니다. 이는 다음을 의미합니다.
- 모든 필수 구성 요소를 설치했습니다.
- 머신에 Snort IDS를 설치했습니다.
- ICMP 요청(ping)이 발생할 때 경고하도록 테스트 규칙을 설정합니다.
다음으로 Snort가 syslog에 경고를 기록하도록 허용하기 위해 snort.conf 파일에서 다음 줄의 주석 처리를 제거했습니다.
output alert_syslog: LOG_AUTH LOG_ALERT
다음 명령을 실행하여 설치를 테스트했습니다.
sudo /usr/local/bin/snort -A console -q -u snort -g snort -c /etc/snort/snort.conf -i eth0
Snort가 실행되는 동안 다른 시스템에서 핑 요청을 했습니다. Snort의 로그 파일에 등록된 경고를 볼 수 있지만syslog에는 아무것도 추가되지 않았습니다.
트레일 및 오류:
루트 사용자로 snort를 실행하십시오.
로그를 다른 서버(원격 syslog)로 반송하도록 syslog를 설정합니다.
저는 Linux에 대한 경험이 많지 않으므로 올바른 방향을 제시하는 데 도움을 주시면 매우 감사하겠습니다.
답변1
나는 이 질문을 linuxquestions.org에도 게시했고 답변을 얻었습니다.
unSpawn 응답에 따라 rsyslog conf 파일을 검토한 결과 인증 로그가 auto.log 파일로 전송되는 것을 발견했습니다. 이로 인해 추가 .conf 파일을 추가하는 빠른 수정이 이루어졌습니다./etc/rsyslog.d내용:
auth /var/log/syslog
또한 제안한 대로 snort 실행 명령을 일부 변경했습니다(-q -A 콘솔 생략).
sudo /usr/local/bin/snort -u snort -g snort -c /etc/snort/snort.conf -i eth0
rsyslog 서비스를 다시 시작한 후 syslog에서 누락된 Snort 경고를 발견했습니다.