Eu tenho um site Magento configurado em uma máquina Linux baseada em uma imagem pronta para Bitnami.
O principal objetivo é ser notificado por e-mail sempre que houver um potencial ataque ao site.
Minha configuração:
- Ubuntu 14.04.3LTS
- Pilha Bitnami Magento 1.9.1.0-0
- Bufar 2.9.7.5
Para conseguir isso decidi instalar o Snort IDS e enviar por e-mail os alertas que chegam ao syslog usando o Swatch.
Eu instalei o snort seguindoeste tutorialdo site oficial do Snort.
Acabei de terminar a seção 9 desse tutorial, o que significa:
- Instalou todos os pré-requisitos.
- Instalado o Snort IDS na máquina.
- Configure uma regra de teste para alertar quando ocorrerem solicitações ICMP (ping).
A seguir, para permitir que o Snort registre alertas no syslog, descomentei esta linha no arquivo snort.conf:
output alert_syslog: LOG_AUTH LOG_ALERT
Testei a instalação executando este comando:
sudo /usr/local/bin/snort -A console -q -u snort -g snort -c /etc/snort/snort.conf -i eth0
Enquanto o Snort está em execução, fiz uma solicitação de ping de outro sistema. Posso ver alertas registrados no arquivo de log do Snort, masnada foi adicionado ao syslog.
Trilha e erros:
Execute o snort como usuário root.
Configure o syslog para devolver os logs para outro servidor (syslog remoto).
Não tenho muita experiência com Linux, então qualquer ajuda que me indique a direção certa será muito apreciada.
Responder1
Também publiquei esta pergunta no linuxquestions.org e obtive uma resposta.
Após a resposta do unSpawn, revisei os arquivos conf do rsyslog e descobri que os logs de autenticação são enviados para o arquivo auto.log. O que levou a uma solução rápida para adicionar um arquivo .conf adicional ao/etc/rsyslog.dcom o conteúdo:
auth /var/log/syslog
Além disso, conforme sugerido, fiz algumas alterações no comando de execução do snort (omitindo o console -q -A):
sudo /usr/local/bin/snort -u snort -g snort -c /etc/snort/snort.conf -i eth0
depois de reiniciar o serviço rsyslog, encontrei os alertas Snort ausentes no syslog.