Ich habe eine Magento-Website auf einem Linux-Computer eingerichtet, die auf einem fertigen Bitnami-Image basiert.
Das Hauptziel ist, per E-Mail benachrichtigt zu werden, wenn ein potenzieller Angriff auf die Website möglich ist.
Mein Setup:
- Ubuntu 14.04.3 LTS
- Bitnami Magento Stack 1.9.1.0-0
- Snort 2.9.7.5
Um dies zu erreichen, entschied ich mich, Snort IDS zu installieren und die mit syslog eingehenden Warnungen per Swatch per E-Mail zu versenden.
Ich habe snort installiert, indem Sie diesem Tutorial von der offiziellen Website von Snort folgen .
Ich habe gerade Abschnitt 9 dieses Tutorials abgeschlossen, was bedeutet:
- Alle perquisites installiert.
- Installierte Snort IDS auf dem Computer.
- Richten Sie eine Testregel ein, um zu warnen, wenn ICMP-Anforderungen (Ping) auftreten.
Next, um zuzulassen, dass Snort Warnungen in syslog protokolliert, habe ich diese Zeile in der Datei snort.conf auskommentiert:
output alert_syslog: LOG_AUTH LOG_ALERT
Ich habe die Installation mit dem folgenden Befehl getestet:
sudo /usr/local/bin/snort -A console -q -u snort -g snort -c /etc/snort/snort.conf -i eth0
Während Snort läuft, habe ich eine Ping-Anfrage von einem anderen System aus gestellt. Ich kann Alarme sehen, die sich in der Protokolldatei von Snort registrieren, aber dem Syslog wurde nichts hinzugefügt.
Trail und Fehler:
Führen Sie snort als Benutzer root aus.
Stellen Sie syslog so ein, dass Protokolle auf einen anderen Server (remote syslog) zurückgegeben werden.
Ich habe nicht viel Erfahrung mit Linux, daher wird jede Hilfe, die mich in die richtige Richtung weist, sehr geschätzt.