Differences

This shows you the differences between two versions of the page.

Link to this comparison view

snort_barnyard2_snorby_debian_squeeze_pt_br [2017/09/05 12:18] (current)
Line 1: Line 1:
 +====== Snort + Barnyard2 + Snorby + Debian Squeeze ======
 + 
  
 +  - Nome da maquina: snort.douglasqsantos.com.br
 +  - IP: 10.0.0.25
 +  - Domínio: douglasqsantos.com.br
 +  - Rede: 10.0.0.0/24
 +  - Interface: eth0
 +  - Mem Ram: 1024 MB
 +
 +Prepare o seu sistema com o seguinte script http://​wiki.douglasqsantos.com.br/​doku.php/​confinicialsqueeze_en para que não falte nenhum pacote ou configuração.
 +
 +
 +Vamos atualizar os repositórios e efetuar um upgrade do sistema ​
 +<sxh bash>
 +
 +aptitude update && aptitude dist-upgrade -y
 +</​sxh>​
 +
 +Agora precisamos adicionar mais um repositório no sistema para podermos obter alguns pacotes necessários para a instalação ​
 +<sxh bash>
 +
 +vim /​etc/​apt/​sources.list
 +[...]
 +deb http://​packages.dotdeb.org squeeze all
 +deb-src http://​packages.dotdeb.org squeeze all
 +</​sxh>​
 +
 +Agora vamos importar a chave gnupg para o novo repositório ​
 +<sxh bash>
 +
 +cd /usr/src
 +wget -c http://​www.dotdeb.org/​dotdeb.gpg
 +cat dotdeb.gpg | apt-key add -
 +</​sxh>​
 +
 +Agora vamos atualizar os repositórios novamente e vamos instalar as dependências ​
 +<sxh bash>
 +
 +aptitude update && apt-get install apache2 libapache2-mod-php5 libwww-perl mysql-server mysql-common mysql-client \
 +php5-mysql libnet1 libnet1-dev libpcre3 libpcre3-dev autoconf libcrypt-ssleay-perl libmysqlclient-dev g++ php-pear \
 +libphp-adodb php5-cli libtool libssl-dev gcc-4.4 automake gcc make flex bison apache2-doc ca-certificates php5-gd curl -y
 +</​sxh>​
 +
 +Agora vamos fazer um upgrade de nosso pear 
 +<sxh bash>
 +
 +pear upgrade
 +</​sxh>​
 +
 +Vamos instalar alguns modulos necessários para o php 
 +<sxh bash>
 +
 +pear install Numbers_Words-0.16.1
 +</​sxh>​
 +
 +
 +Agora vamos instalar os pré-requisitos para o snort 
 +
 +Primeiro vamos instalar o libcap ​
 +<sxh bash>
 +
 +cd /usr/src
 +wget -c http://​wiki.douglasqsantos.com.br/​Downloads/​ips/​libpcap-1.1.1.tar.gz
 +tar -zxf libpcap-1.1.1.tar.gz && cd libpcap-1.1.1
 +./configure --prefix=/​usr --enable-shared
 +make && make install clean
 +</​sxh>​
 +
 +Agora vamos instalar o libdnet ​
 +<sxh bash>
 +
 +cd /usr/src
 +wget  -c http://​wiki.douglasqsantos.com.br/​Downloads/​ips/​libdnet-1.12.tgz
 +tar -zxf libdnet-1.12.tgz && cd libdnet-1.12
 +./configure --prefix=/​usr --enable-shared
 +make && make install clean
 +</​sxh>​
 +
 +Agora temos que instalar o DAQ 
 +<sxh bash>
 +
 +cd /usr/src
 +wget -c http://​wiki.douglasqsantos.com.br/​Downloads/​ips/​daq-0.5.tar.gz
 +tar -zxf daq-0.5.tar.gz && cd daq-0.5
 +</​sxh>​
 +
 +Aqui temos que efetuar um acerto no arquivo daq_pcap.c antes de compilar ​
 +<sxh c>
 +
 +vi /​usr/​src/​daq-0.5/​os-daq-modules/​daq_pcap.c
 +[...]
 +# pela linha 219 vamos trocar
 +context->​buffer_size = strtol(entry->​key,​ NULL, 10);
 +# por:
 +context->​buffer_size = strtol(entry->​value,​ NULL, 10);
 +</​sxh>​
 +
 +Agora vamos compilar ​
 +<sxh bash>
 +
 +./configure
 +make && make install clean
 +</​sxh>​
 +
 +Agora vamos recarregar as bibliotecas ​
 +<sxh bash>
 +
 +echo >> /​etc/​ld.so.conf /usr/lib && ldconfig
 +</​sxh>​
 +
 +Agora vamos para a instalação do Snort vamos obter ele e as suas regras ​
 +<sxh bash>
 +
 +cd /usr/src
 +wget -c http://​wiki.douglasqsantos.com.br/​Downloads/​ips/​snort-2.9.0.5.tar.gz
 +wget -c http://​wiki.douglasqsantos.com.br/​Downloads/​ips/​snortrules-snapshot-2905.tar.gz
 +mkdir regras
 +tar -xzvf snortrules-snapshot-2905.tar.gz -C regras
 +tar -xzvf snort-2.9.0.5.tar.gz && cd snort-2.9.0.5
 +./configure --with-mysql --enable-dynamicplugin --enable-perfprofiling --enable-ipv6 --enable-zlib --enable-reload
 +make && make install clean
 +</​sxh>​
 +
 +Agora vamos acertar os diretórios e as permissões ​
 +<sxh bash>
 +
 +mkdir /etc/snort /​etc/​snort/​rules /​var/​log/​snort /​var/​log/​barnyard2 /​usr/​local/​lib/​snort_dynamicrules
 +groupadd snort && useradd -g snort snort
 +chown snort:snort /​var/​log/​snort /​var/​log/​barnyard2
 +cp /​usr/​src/​snort-2.9.0.5/​etc/​*.conf* /etc/snort
 +cp /​usr/​src/​snort-2.9.0.5/​etc/​*.map /etc/snort
 +cp /​usr/​src/​regras/​etc/​sid-msg.map /etc/snort/
 +cp -Rf /​usr/​src/​regras/​{preproc_rules,​rules,​so_rules} /etc/snort/
 +</​sxh>​
 +
 +Vamos efetuar uma configuração básica no Snort 
 +<sxh bash>
 +vim /​etc/​snort/​snort.conf
 +[...]
 +ipvar HOME_NET 10.0.0.0/24
 +[...]
 +ipvar EXTERNAL_NET !$HOME_NET
 +[...]
 +var RULE_PATH ./rules
 +var SO_RULE_PATH ./so_rules
 +var PREPROC_RULE_PATH ./​preproc_rules
 +[...]
 +#Comente todos esses preprocessadores normalize_ lines linhas 186 a 190
 +#insira na linha 366 a seguinte linha
 +output unified2: filename snort.log, limit 128
 +#Agora vamos comentar as linhas 395 a 447
 +</​sxh>​
 +
 +Agora vamos criar uma regra de teste 
 +<sxh bash>
 +
 +vi /​etc/​snort/​rules/​local.rules
 +alert icmp any any -> $HOME_NET any (msg:"​ICMP test"; sid:​10000001;​)
 +</​sxh>​
 +
 +Agora vamos colocar o snort em modo monitor para testarmos ​
 +<sxh bash>
 +
 +/​usr/​local/​bin/​snort -A console -q -u snort -g snort -c /​etc/​snort/​snort.conf -i eth0
 +</​sxh>​
 +
 +Agora de outra máquina na rede vamos efetuar um teste de ping no servidor snort 
 +<sxh bash>
 +
 +ping -c 3 10.0.0.25
 +PING 10.0.0.25 (10.0.0.25) 56(84) bytes of data.
 +64 bytes from 10.0.0.25: icmp_req=1 ttl=64 time=0.209 ms
 +64 bytes from 10.0.0.25: icmp_req=2 ttl=64 time=0.296 ms
 +64 bytes from 10.0.0.25: icmp_req=3 ttl=64 time=0.291 ms
 +
 +--- 10.0.0.25 ping statistics ---
 +3 packets transmitted,​ 3 received, 0% packet loss, time 1998ms
 +rtt min/​avg/​max/​mdev = 0.209/​0.265/​0.296/​0.042 ms
 +</​sxh>​
 +
 +Agora vamos verificar no servidor snort  para sair pressione ctrl + C
 +<sxh bash>
 +
 +11/​17-09:​35:​15.221067 ​ [**] [1:​10000001:​0] ICMP test [**] [Priority: 0] {ICMP} 10.0.0.20 -> 10.0.0.25
 +11/​17-09:​35:​15.221094 ​ [**] [1:​10000001:​0] ICMP test [**] [Priority: 0] {ICMP} 10.0.0.25 -> 10.0.0.20
 +11/​17-09:​35:​16.221134 ​ [**] [1:​10000001:​0] ICMP test [**] [Priority: 0] {ICMP} 10.0.0.20 -> 10.0.0.25
 +11/​17-09:​35:​16.221151 ​ [**] [1:​10000001:​0] ICMP test [**] [Priority: 0] {ICMP} 10.0.0.25 -> 10.0.0.20
 +11/​17-09:​35:​17.220201 ​ [**] [1:​10000001:​0] ICMP test [**] [Priority: 0] {ICMP} 10.0.0.20 -> 10.0.0.25
 +11/​17-09:​35:​17.220216 ​ [**] [1:​10000001:​0] ICMP test [**] [Priority: 0] {ICMP} 10.0.0.25 -> 10.0.0.20
 +</​sxh>​
 +
 +Agora vamos preparar a base de dados para o Snort 
 +<sxh bash>
 +mysql -u root -p
 +CREATE DATABASE snort;
 +GRANT ALL PRIVILEGES ON snort.* TO snort@localhost IDENTIFIED BY '​senha';​
 +FLUSH PRIVILEGES;
 +exit;
 +</​sxh>​
 +
 +
 +Agora vamos importar o schema para o banco 
 +<sxh bash>
 +
 +mysql -u root -p < /​usr/​src/​snort-2.9.0.5/​schemas/​create_mysql snort
 +</​sxh>​
 +
 +Agora vamos ver se foi importado com exito a nossa base 
 +<sxh sql>
 +mysql -u snort -p snort 
 +[...]
 +show tables;
 ++------------------+
 +| Tables_in_snort ​ |
 ++------------------+
 +| data             |
 +| detail ​          |
 +| encoding ​        |
 +| event            |
 +| icmphdr ​         |
 +| iphdr            |
 +| opt              |
 +| reference ​       |
 +| reference_system |
 +| schema ​          |
 +| sensor ​          |
 +| sig_class ​       |
 +| sig_reference ​   |
 +| signature ​       |
 +| tcphdr ​          |
 +| udphdr ​          |
 ++------------------+
 +16 rows in set (0,00 sec)
 +
 +exit
 +Bye
 +</​sxh>​
 +
 +Agora vamos instalar o Barnyard2 que é o agente que vai ficar alimentando a base MySQL 
 +<sxh bash>
 +
 +cd /usr/src
 +wget -c http://​wiki.douglasqsantos.com.br/​Downloads/​ips/​barnyard2-1.9.tar.gz
 +tar -zxf barnyard2-1.9.tar.gz && cd barnyard2-1.9
 +./configure --with-mysql
 +make && make install clean
 +mv /​usr/​local/​etc/​barnyard2.conf /etc/snort
 +</​sxh>​
 +
 +Agora vamos acertar o arquivo de configuração do Barnyard2 ​
 +<sxh bash>
 +
 +vi /​etc/​snort/​barnyard2.conf
 +[...]
 +config hostname: ​       snort
 +config interface: ​      eth0
 +
 +Linha #215 deixe da seguinte forma
 +output alert_fast
 +#insira a seguinte linha no final do arquivo
 +output database: log, mysql, user=snort password=senha dbname=snort host=localhost
 +</​sxh>​
 +
 +Vamos acertar mais um arquivo de controle ​
 +<sxh bash>
 +
 +vim /​etc/​snort/​bylog.waldo
 +/​var/​log/​snort
 +snort.log
 +108247783
 +0
 +</​sxh>​
 +
 +Agora vmaos iniciar o snrot em modo monitor ​
 +<sxh bash>
 +
 +/​usr/​local/​bin/​snort -q -u snort -g snort -c /​etc/​snort/​snort.conf -i eth0 &
 +</​sxh>​
 +
 +Agora vamos iniciar o Barnyard2 ​
 +<sxh bash>
 +
 +/​usr/​local/​bin/​barnyard2 -c /​etc/​snort/​barnyard2.conf \
 +-d /​var/​log/​snort -f snort.log -w /​etc/​snort/​bylog.waldo \
 +-G /​etc/​snort/​gen-msg.map -S /​etc/​snort/​sid-msg.map \
 +-C /​etc/​snort/​classification.config &
 +</​sxh>​
 +
 +Agora vamos efetuar um teste de ping de outra máquina na rede 
 +<sxh bash>
 +
 +ping -c 3 10.0.0.25
 +PING 10.0.0.25 (10.0.0.25) 56(84) bytes of data.
 +64 bytes from 10.0.0.25: icmp_req=1 ttl=64 time=0.231 ms
 +64 bytes from 10.0.0.25: icmp_req=2 ttl=64 time=0.252 ms
 +64 bytes from 10.0.0.25: icmp_req=3 ttl=64 time=0.326 ms
 +
 +--- 10.0.0.25 ping statistics ---
 +3 packets transmitted,​ 3 received, 0% packet loss, time 1998ms
 +rtt min/​avg/​max/​mdev = 0.231/​0.269/​0.326/​0.044 ms
 +</​sxh>​
 +
 +Agora vamos verificar no servidor a tabela do snort 
 +<sxh sql>
 +mysql -uroot -p -D snort -e "​select count(*) from event"
 +Enter password: ​
 ++----------+
 +| count(*) |
 ++----------+
 +|       6 |
 ++----------+
 +</​sxh>​
 +
 +Agora vamos matar os serviços do snort
 +<sxh bash>
 +
 +killall -9 snort barnyard2
 +</​sxh>​
 +
 +Agora vamos preparar o Snorby ​
 +
 +Vamos instalar as dependências ​
 +<sxh bash>
 +aptitude install gcc g++ build-essential libssl-dev libreadline5-dev zlib1g-dev linux-headers-generic \
 +libsqlite3-dev libxslt1-dev libxml2-dev imagemagick libmysqlclient-dev libmagickwand-dev git-core \
 +mysql-server default-jre libyaml-dev libyaml-ruby -y
 +</​sxh>​
 +
 +Agora vamos efetuar o download do ruby and rails e vamos instalar ​
 +<sxh bash>
 +
 +cd /​usr/​local/​src/​
 +wget -c http://​wiki.douglasqsantos.com.br/​Downloads/​ips/​ruby-1.9.3-p194.tar.gz
 +tar -xzvf ruby-1.9.3-p194.tar.gz
 +cd ruby-1.9.3-p194/​
 +./configure
 +make
 +make install clean
 +</​sxh>​
 +
 +
 +Agora vamos instalar alguns gems do ruby que vamos precisar. ​
 +<sxh bash>
 +
 +gem install thor i18n bundler tzinfo builder memcache-client rack rack-test erubis mail
 +gem install rack-mount --version=0.4.0
 +gem install rails sqlite3-ruby
 +gem install rake
 +</​sxh>​
 +
 +Mais uma dependencia do Snorby
 +<sxh bash>
 +
 +cd /usr/src
 +wget -c http://​wiki.douglasqsantos.com.br/​Downloads/​ips/​wkhtmltopdf-0.10.0_rc2-static-i386.tar.bz2
 +tar xvjf wkhtmltopdf-0.10.0_rc2-static-i386.tar.bz2
 +cp /​usr/​src/​wkhtmltopdf-i386 /​usr/​sbin/​wkhtmltopdf
 +</​sxh>​
 +
 +Agora vamos instalar o Snorby ​
 +<sxh bash>
 +cd /var/www/
 +wget -c http://​wiki.douglasqsantos.com.br/​Downloads/​ips/​snorby.tar.gz
 +</​sxh>​
 +
 +Agora precisamos desempacotar o snorby
 +<sxh bash>
 +tar -xvf snorby.tar.gz
 +</​sxh>​
 +
 +Agora podemos remover o pacote
 +<sxh bash>
 +rm -rf snorby.tar.gz
 +</​sxh>​
 +
 +Agora vamos preparar o banco de dados para o Snorby ​
 +<sxh bash>
 +mysql -u root -p
 +create database snorby;
 +grant all privileges on snorby.* to snorby@localhost identified by '​senha';​
 +flush privileges;
 +quit;
 +</​sxh>​
 +
 +Agora vamos informar para o snorby o usuário e senha que ele deverá utilizar para a conexão com o banco 
 +A senha tem que estar entre ""​ aspas pois senão o ruby vai nos mostrar erros, que não pode converter os tipos de inteiro para string ​
 +
 +Vamos copiar o arquivos de exemplo, que vamos precisar modificar ​
 +<sxh bash>
 +
 +cd /​var/​www/​snorby/​config/​
 +cp database.yml.example database.yml
 +cp snorby_config.yml.example snorby_config.yml
 +</​sxh>​
 +
 +Agora vamos acertar a configuração do banco de dados
 +<sxh yaml>
 +vim /​var/​www/​snorby/​config/​database.yml
 +[...]
 +snorby: &snorby
 +  adapter: mysql
 +  username: snorby
 +  password: "​senha"​
 +  host: localhost
 +</​sxh>​
 +
 +Agora vamos acertar o arquivo de configuração do snorby temos que acertar a localização do wkhtmltopdf ​
 +<sxh yaml>
 +vim /​var/​www/​snorby/​config/​snorby_config.yml
 +[...]
 +production:
 +  domain: localhost:​3000
 +  wkhtmltopdf:​ /​usr/​sbin/​wkhtmltopdf
 +[...]
 +development:​
 +  domain: localhost:​3000
 +  wkhtmltopdf:​ /​usr/​sbin/​wkhtmltopdf
 +[...]
 +test:
 +  domain: localhost:​3000
 +  wkhtmltopdf:​ /​usr/​sbin/​wkhtmltopdf
 +</​sxh>​
 +
 +Agora podemos acertar a configuração do envio de Email 
 +<sxh ruby>
 +vim /​var/​www/​snorby/​config/​initializers/​mail_config.rb
 +[...]
 +ActionMailer::​Base.delivery_method = :smtp
 +ActionMailer::​Base.smtp_settings = {
 +  :​address ​             => "​smtp.gmail.com",​
 +  :port                 => 587,
 +  :​domain ​              => "​gmail.com",​
 +  :​user_name ​           => "​usuario",​
 +  :​password ​            => "​senha",​
 +  :​authentication ​      => "​plain",​
 +  :​enable_starttls_auto => true
 + }
 +</​sxh>​
 +
 +Agora vamos instalar as dependências  ​
 +<sxh bash>
 +
 +cd /​var/​www/​snorby/​
 +bundle install
 +</​sxh>​
 +
 +Agora vamos fazer um update do sistema ruby.
 +<sxh bash>
 +
 +gem update --system
 +</​sxh>​
 +Agora vamos fazer o deploy da aplicação
 +<sxh bash>
 +
 +bundle --deployment
 +</​sxh>​
 +
 +Agora vamos fazer um update dos gems do sistema
 +<sxh bash>
 +
 +gem update
 +</​sxh>​
 +
 +Agora vamos mandar instalar o wkhtmltopdf
 +<sxh bash>
 +
 +pdfkit --install-wkhtmltopdf
 +</​sxh>​
 +
 +Agora vamos que executar mais um comando para instalar uma dependencia do Snorby
 +<sxh bash>
 +
 +cd /​var/​www/​snorby
 +script/​rails generate rspec:​install
 +</​sxh>​
 +
 +Agora vamos efetuar a instalação do Snorby ​
 +<sxh bash>
 +
 +bundle exec rake snorby:​setup RAILS_ENV=production
 +</​sxh>​
 +
 +Aqui recebemos um erro da criação do banco de dados pois já criamos ele anteriormente ​
 +
 +Agora vamos verificar se o banco de dados foi criado ​
 +<sxh sql>
 +mysql -u snorby -p snorby
 +mysql> show tables;
 ++------------------+
 +| Tables_in_snorby |
 ++------------------+
 +| caches ​          |
 +| classifications ​ |
 +| daily_caches ​    |
 +| data             |
 +| delayed_jobs ​    |
 +| detail ​          |
 +| encoding ​        |
 +| event            |
 +| favorites ​       |
 +| icmphdr ​         |
 +| iphdr            |
 +| lookups ​         |
 +| notes            |
 +| notifications ​   |
 +| opt              |
 +| reference ​       |
 +| reference_system |
 +| schema ​          |
 +| sensor ​          |
 +| settings ​        |
 +| severities ​      |
 +| sig_class ​       |
 +| sig_reference ​   |
 +| signature ​       |
 +| tcphdr ​          |
 +| udphdr ​          |
 +| users            |
 ++------------------+
 +27 rows in set (0,00 sec)
 +</​sxh>​
 +
 +Agora vamos acertar o barnyard2.conf para alimentar o snorby ​
 +<sxh bash>
 +
 +vim /​etc/​snort/​barnyard2.conf
 +[...]
 +#comente a entrada do snort e vamos adicionar a entrada do snorby
 +#output database: log, mysql, user=snort password=senha dbname=snort host=localhost
 +#output database: alert, mysql, user=snorby password=senha dbname=snorby host=localhost
 +output database: log, mysql, user=snorby password=senha dbname=snorby host=localhost
 +</​sxh>​
 +
 +Agora temos que instalar o passenger para trabalhar apache2 com ruby 
 +
 +Vamos instalar as dependências ​
 +<sxh bash>
 +
 +apt-get install apache2-prefork-dev libcurl4-openssl-dev -y
 +</​sxh>​
 +
 +Agora vamos instalar o passenger ​
 +<sxh bash>
 +
 +gem install passenger
 +passenger-install-apache2-module
 +</​sxh>​
 +
 +Aqui informe a primeira alternativa ​
 +
 +Agora vamos configurar o módulo para o apache ​
 +
 +Vamos acertar a localização do módulo ​
 +<sxh apache>
 +
 +vim /​etc/​apache2/​mods-available/​passenger.load
 +LoadModule passenger_module /​usr/​local/​lib/​ruby/​gems/​1.9.1/​gems/​passenger-3.0.15/​ext/​apache2/​mod_passenger.so
 +</​sxh>​
 +
 +Agora vamos acertar a configuração do módulo ​
 +<sxh apache>
 +
 +vi /​etc/​apache2/​mods-available/​passenger.conf
 +<​IfModule mod_passenger.c>​
 +PassengerRoot /​usr/​local/​lib/​ruby/​gems/​1.9.1/​gems/​passenger-3.0.15
 +PassengerRuby /​usr/​local/​bin/​ruby
 +</​IfModule>​
 +</​sxh>​
 +
 +Vamos habilitar agora os módulos necessários
 +<sxh bash>
 +
 +a2enmod passenger
 +a2enmod rewrite
 +</​sxh>​
 +
 +Agora vamos acertar o virtualhost ​
 +<sxh apache>
 +
 +vim /​etc/​apache2/​sites-available/​default
 +<​VirtualHost *:80>
 +   ​ServerName snorby.douglasqsantos.com.br
 +   ​DocumentRoot /​var/​www/​snorby/​public/​
 +   <​Directory /​var/​www/​snorby/​public>​
 +     ​RailsBaseURI /
 +     ​Options +ExecCGI FollowSymLinks -MultiViews
 +     ​AllowOverride all
 +     Order allow,deny
 +     Allow from all
 +   </​Directory>​
 +     ​ErrorLog ${APACHE_LOG_DIR}/​snorby-error.log
 +     ​LogLevel warn
 +     ​CustomLog ${APACHE_LOG_DIR}/​snorby-access.log combined
 +     ​ServerSignature Off
 +</​VirtualHost>​
 +</​sxh>​
 +
 +Agora vamos reiniciar o serviço do apache ​
 +<sxh bash>
 +
 +/​etc/​init.d/​apache2 restart
 +</​sxh>​
 +
 +Vamos subir o snort
 +<sxh bash>
 +
 +/​usr/​local/​bin/​snort -q -u snort -g snort -c /​etc/​snort/​snort.conf -i eth0 & > /dev/null
 +</​sxh>​
 +
 +Agora vamos subir o Barnyard2
 +<sxh bash>
 +
 +/​usr/​local/​bin/​barnyard2 -c /​etc/​snort/​barnyard2.conf \
 + -d /​var/​log/​snort -f snort.log -w /​etc/​snort/​bylog.waldo \
 + -G /​etc/​snort/​gen-msg.map -S /​etc/​snort/​sid-msg.map \
 + -C /​etc/​snort/​classification.config & > /dev/null
 +</​sxh>​
 +
 +
 +Agora é so acessar http://​ip_servidor
 +  * **usuário**:​ snorby@snorby.org
 +  * **password**:​ snorby
 +
 + Aqui na tela principal do Snorby temos que habilitar os serviços siga os passos abaixo ​
 +  - Administração ​
 +  - Worker & Job Queue
 +  - Agora em Worker Options ​
 +  - Start Sensor Cache Job
 +  - Start Daily Cache Job
 +   
 +
 +
 +Agora vamos criar o script de inicialização do Snort e Barnyard2 e Snorby
 +
 +<sxh bash>
 +
 +vim /​etc/​init.d/​snortbarn
 +#! /bin/sh
 +#
 +### BEGIN INIT INFO
 +# Provides:​snortbarn
 +# Required-Start:​ $remote_fs $syslog mysql
 +# Required-Stop:​ $remote_fs $syslog
 +# Default-Start:​ 2 3 4 5
 +# Default-Stop:​ 0 1 6
 +# X-Interactive:​ true
 +# Short-Description:​ Start Snort, Barnyard and Snorby
 +### END INIT INFO
 +### VARIAVEIS UTILIZADAS NO SCRIPT ###
 +RUBY=$(which ruby)
 +RAILS=$(which rails)
 +BARNYARD=$(which barnyard2)
 +SNORT=$(which snort)
 +KILLALL=$(which killall)
 +
 +
 +case $1 in
 +        start)
 +  /​usr/​local/​bin/​snort -q -u snort -g snort -c /​etc/​snort/​snort.conf -i eth0 & > /dev/null
 +  /​usr/​local/​bin/​barnyard2 -q -c /​etc/​snort/​barnyard2.conf \
 +  -d /​var/​log/​snort -f snort.log -w /​etc/​snort/​bylog.waldo \
 +  -G /​etc/​snort/​gen-msg.map -S /​etc/​snort/​sid-msg.map \
 +  -C /​etc/​snort/​classification.config & > /dev/null
 +  ;;
 +        stop)
 +
 +  $KILLALL snort barnyard2
 +  ;;
 +   ​restart)
 +                $0 stop
 +                $0 start
 +        ;;
 +        *)
 +                echo "​usage:​ $0 (start|stop|restart)"​
 +        ;;
 +esac
 +
 +</​sxh>​
 +
 +Agora vamos acertar a permissão do script
 +<sxh bash>
 +
 +chmod +x /​etc/​init.d/​snortbarn
 +</​sxh>​
 +
 +Agora vamos colocar ele na inicialização do sistema
 +<sxh bash>
 +
 +insserv -f -v snortbarn
 +</​sxh>​
 +
 +Vamos reiniciar o servidor para recarregar todas as novas mudanças ​
 +<sxh bash>
 +
 +reboot
 +</​sxh>​
 +
 +
 + Agora é so acessar http://​ip_servidor
 +  * usuário: snorby@snorby.org
 +  * password: snorby
 +
 +
 +
 +Não esqueça de mudar o usuário e senha de login em settings ​
 +
 + Agora é so efetuar os ajustes nas regras que comentamos no Snort, habilitar o que achar necessário,​ não esqueça de comentar a local.rules  ​
 +
 +====== Referências ======
 +
 +  - https://​www.snort.org/​
 +  - https://​www.snort.org/​docs
 +  - https://​www.snort.org/​docs/​user-translated-guides/​
 +  - https://​www.snort.org/​snort-rules/​cli
 +  - http://​www.snorby.org/​
 +  - https://​github.com/​Snorby/​snorby/​wiki