G'day, Kalandozok egy IPS rendszer felállításával, webes felülettel egy otthoni szerveren, ami felügyel egy VPS-t is. WebUI-nak a Snorby-ra esett a választás, de meggyőzhető vagyok, ha van jobb alternatíva. Először kipróbáltam a Suricata-t, de egyeltalán nem user-friendly, ha először látja az ember, úgyhogy maradt a Snort csomag és a frissítésekre se kell figyelni.
A téma a logok, alertek eljuttatása lenne a VPS-ről az otthoni gépre egy MySQL adatbázisba. Próbáltam autossh + ssh port forwardot, de az állandóan elhalt. Maradt a jólbevált OpenVPN, úgyis be van állítva, csak egy új kulcs kell. Ráakadtam a Barnyard2-re, de nem értem, mért éri meg ezt használni a snort-mysql helyett. Egyik se kezeli jól, ha megszakad kapcsolat. A kérdés tehát, hogy lehet megoldani, hogy ha akár egész napos kiesés is van, legközelebb ha látják egymást a gépek, akkor is megérkezzen az összes log és alert?
- 9426 megtekintés
Hozzászólások
Ennél azért több reakcióra számítottam. :)
A választás MySQL replikációra esett OVPN felett. A VPS-en szabad RAM nem nagyon maradt, meglátjuk mire képes.
- A hozzászóláshoz be kell jelentkezni
Pont egy jó hete nézegettem a Snorby-t, és magam is kipróbálnám; első körben nem sikerült azonban felfognom, hogy miként is kellene életre lehelni. Ha tudnál iránymutatással szolgálni, azt megköszönném! :)
Ph'nglui mglw'nafh Cthulhu R'lyeh wgah'nagl fhtagn
- A hozzászóláshoz be kell jelentkezni
Hol alakadtál el? Elvertem rá jó pár álmatlan órát.
Lehet majd írok egy cikket róla, úgyis 4 éve nem nyúltam az oldalamhoz.
Röviden: Ruby appnál fontos a fájlok jogosultsága, és hogyha webszerverrel futtatod (apache passanger), akkor a www-data/apache user is elérje a gem-eket.
A Snorby konfigurálása elég magától értetődő. (Fontos a database.yml és a snorby_config.yml; base_auth itt van: initializers/devise.rb.)
Az adatbázist a Snorby setup hozza létre, aztán meg lehet adni a Snort-nak (snort-mysql, dpkg-reconfigure snort-mysql).
A külső IPS forrás már érdekesebb. Snort-mysql, Barnyard2 megdöglik, ha elszáll a kapcsolat, a MySQL replikáció szépen működik.
Ha oda-vissza csinálod meg, hogy legyen backup, akkor fontos, hogy a kulcsok ne ütközzenek és természetesen egyedi server-id legyen:
replicate-same-server-id = 0
auto-increment-offset = 1 // másik gépen 2
auto-increment-increment = 2
Ezentúl a replikációt a PhpMyAdmin segítségével nagyon egyszerű beállítani.
- A hozzászóláshoz be kell jelentkezni
Köszönöm! Ne haragudj a késedelmes reakcióért, kérlek, elvesztem kicsit más dolgokban. A leírásnak továbbra is örülnék, ámbár step-by-step HOWTO esetemben aligha lesz, de nem jelent majd gondot adaptálni kis szerencsével. (Kissé ezoterikus a környezetem :))
Ph'nglui mglw'nafh Cthulhu R'lyeh wgah'nagl fhtagn
- A hozzászóláshoz be kell jelentkezni
Engem érdekelne :)
- A hozzászóláshoz be kell jelentkezni