我在 Linux 機器上設定了一個 Magento 網站,該網站基於 Bitnami 現成的映像。
主要目標是在網站可能受到潛在攻擊時透過電子郵件收到通知。
我的設定:
- Ubuntu 14.04.3 LTS
- Bitnami Magento 堆疊 1.9.1.0-0
- 噴鼻2.9.7.5
為了實現這一目標,我決定安裝 Snort IDS 並使用 Swatch 將警報透過電子郵件發送到系統日誌。
我已經按照以下方式安裝了snort本教程來自Snort的官方網站。
我剛剛完成該教程的第 9 部分,這意味著:
- 安裝了所有必需品。
- 在機器上安裝了 Snort IDS。
- 設定測試規則以在發生 ICMP 請求 (ping) 時發出警報。
接下來,為了允許 Snort 將警報記錄到 syslog,我取消了 snort.conf 檔案中這一行的註解:
output alert_syslog: LOG_AUTH LOG_ALERT
我通過運行以下命令測試了安裝:
sudo /usr/local/bin/snort -A console -q -u snort -g snort -c /etc/snort/snort.conf -i eth0
當 Snort 運行時,我從另一個系統發出了 ping 請求。我可以看到 Snort 日誌檔案中註冊的警報,但是系統日誌中沒有新增任何內容。
軌跡和錯誤:
以 root 使用者身分執行 snort。
設定 syslog 將日誌退回到另一台伺服器(遠端 syslog)。
我對 Linux 沒有太多的經驗,所以任何幫助我指明正確方向的幫助都將非常感激。
答案1
我也在 linuxquestions.org 上發布了這個問題並得到了答案。
在 unSpawn 回覆之後,我查看了 rsyslog conf 文件,發現身份驗證日誌已傳送到 auto.log 檔案。這導致了添加額外的 .conf 檔案的快速修復/etc/rsyslog.d內容:
auth /var/log/syslog
另外,正如建議的那樣,我對 snort 執行命令進行了一些更改(省略 -q -A 控制台):
sudo /usr/local/bin/snort -u snort -g snort -c /etc/snort/snort.conf -i eth0
重新啟動 rsyslog 服務後,我在 syslog 中發現了遺失的 Snort 警報。