У меня есть настроенный веб-сайт Magento на компьютере с Linux, который основан на готовом образе Bitnami.
Основная цель - получать уведомления по электронной почте о возможной атаке на сайт.
Моя настройка:
- Ubuntu 14.04.3 LTS
- Стек Битнами Магенто 1.9.1.0-0
- Snort 2.9.7.5
Для этого я решил установить Snort IDS и отправить по электронной почте оповещения, поступающие в системный журнал, используя Swatch.
Я установил snort, следуя этому руководству с официального сайта Snort.
Я только что закончил раздел 9 этого урока, что означает:
- Установлены все возможности.
- Установлен Snort IDS на машине.
- Настройте тестовое правило для оповещения о возникновении ICMP-запросов (ping).
Далее, чтобы позволить Snort регистрировать оповещения в системном журнале, я раскомментировал эту строку в файле snort.conf:
output alert_syslog: LOG_AUTH LOG_ALERT
Я проверил установку, выполнив эту команду:
sudo /usr/local/bin/snort -A console -q -u snort -g snort -c /etc/snort/snort.conf -i eth0
Пока работает Snort, я сделал запрос ping из другой системы. Я вижу уведомления, регистрирующиеся в файле журнала Snort, но в системный журнал ничего не добавлено.
След и ошибки:
Запустите snort от имени пользователя root.
Настройте системный журнал для отправки журналов на другой сервер (удаленный системный журнал).
У меня нет большого опыта работы с Linux, поэтому любая помощь, чтобы указать мне правильное направление, будет очень цениться.