Re: configurazione ACID e snort in debian
Ciao a tutti..
>>
>devo creare anche le tabelle relative ad acid?
Si...con lo script di sql fornito da snort crei le tabelle e i campi...
##################################
##################################
Giusto per chiarezza per altri membri della lista...la mia risposta mi di
prima l'ho mandata lo all'utente e nn in ML..vi metto quindi, qui di
seguito, la mail mancante :\) ...sorry
Ciao...
Ti cosiglio di leggere questo ..
http://www.securityfocus.com/infocus/1640
In data 3/5/2004, "windfall" <windfall77@tiscali.it> ha scritto:
>ciao!
>
>sto cercando di configurare ACID/snort su una debian woody, qualcuno lo
>usa?
>sto leggendo i manuali che ho trovato sul sito di snort ma ci sono un pò
>di cose che non mi tornano con la configurazione di default su debian..
>seguo quello che dicono i manuali e mi riconfiguro tutto da capo
>scaricandomi i sorgenti e ricompilando con le indicazioni o qualcuno può
>darmi una mano?
>
>per esempio: l'installazione di acid stesso sul manuale avviene
>direttamente nella dir di apache mentre in debian viene inserito un
>include in httpd.conf e la dir di acid è /usr/share/acidlab..
>
>poi segue da manuale un htpasswd per proteggere le password di acid..
>e quindi è anche differente l'autenticazione che viene effettuata, e quì
>non mi è chiaro anche perché ho dovuto scrivere in chiaro dappertutto le
>password dell'utente che accede al db...
>che fo?
>
>in debian vengono indicati due db diversi per gli alert e per l'archive,
>mentre da manuale ne viene utilizzato uno solo, sapete indicarmi dove
>posso trovare la struttura dello snort_archive (db per l'archive)? o è
>creata allo stesso modo del db per i logs?
E' lo stesso DB...devi praticamente caricare due volte lo stesso script
ma su due db diversi
# mysqladmin create snort_log -u root -p
# mysql snort_log < mysqv_create
# mysqladmin create snort_archive -u root -p
# mysql snort_archive < mysqv_create
ho trovato un solo script nel pacchetto snort per la creazione delle
>tabelle...
>
>ancora, nei manuali viene indicato snort come utente abilitato a scrivere
>etc nel db ma vedo che nell'installazione debian questi è root, ho
>modificato i permessi abilitando snort, è corretto?
Si e' meglio che l'utente root nn faccia nulla..io uso lo stesso utente
"snort_man" per entrambi i sudetti DB
>nell'installazione che ho fatto non mi è sinceramente chiaro come
>popolare le tabelle mysql con i rules di snort..
>
>mi potete aiutare o inviare qualche link?
Ti cosiglio di leggere questo ..
http://www.securityfocus.com/infocus/1640
E non ti puoi sbagliare..
Io attualmente nella mia rete ho 3 sonde e una console e funkia tutto
benissimo...a parte che ogni tanto mi cadono i tunnel ssh per mysql e mi
tocca tirarli su a mano...ma il problema e' di facile soluzione
byezz
Matteo
Reply to: