Página 1 de 3 123 ÚltimoÚltimo
+ Responder ao Tópico



  1. bom dia a todos.

    bom pessoal, como eu tinha dito no outro topico, o meu snort ta funcionando tudo ok, então resolvi instalar o guardian, fazia muito que não instalava, mas já instalei e já ta rodando...

    minhas duvida eh o seguinte, o guardian só roda com usuario root?
    e outra, dei um nmap para meu servidor, para testar o guardian, depois dei iptables -L -v, não vi nem uma regra que o guardian adiciono, como posso saber se ele ta rodando e funcionando blzinha?

    meu guardian.conf

    Interface ppp0

    # The last octet of the ip address, which gives us the gateway address.
    HostGatewayByte 1

    # Guardian's log file
    LogFile /var/log/guardian.log

    # Snort's alert file. This can be the snort.alert file, or a syslog file
    # There might be some snort alerts that get logged to syslog which guardian
    # might not see..
    AlertFile /var/log/snort/portscan.log

    # The list of ip addresses to ignore
    IgnoreFile /etc/guardian.ignore

    # The time in seconds to keep a host blocked. If undefined, it defaults to
    # 99999999, which basicly disables the feature.
    TimeLimit 99999999

    agora meu guardian_block.sh



    source=$1
    interface=$2
    admin=brenno@mail.com.br
    log=/tmp/tmp_$1
    mail_cmd=/bin/mail

    /usr/sbin/iptables -I INPUT -s $source -i $interface -j DROP
    echo "O IP: $1 foi bloqueado" > $log
    $mail_cmd -s "ALERTA" $admin < $log
    rm -f $log
    alterei isso de acordo com um howto do ice
    e to dando start no guardian com o comando
    guardian.pl -c /etc/guardian.conf

    oq eu to fazendo de errado?

  2. entaum eh o seguinte no guardian:

    se vc seguiu meu artigo ele soh vai bloquear portscan, os outros ataques não (arquivo portscan.log)

    ele soh roda como root pq depende do iptables....

    e como vc colocou no ignore do guardian tua maquina, ele não vai tentar te bloquear nunca, o certo eh vc pegar uma máquina de fora da tua rede e rodar um portscan

    da uma busca ai na net que da pra fazer portscan por alguns sites, ai vc vai conseguir testar



  3. Citação Postado originalmente por 1c3_m4n
    entaum eh o seguinte no guardian:

    se vc seguiu meu artigo ele soh vai bloquear portscan, os outros ataques não (arquivo portscan.log)

    ele soh roda como root pq depende do iptables....

    e como vc colocou no ignore do guardian tua maquina, ele não vai tentar te bloquear nunca, o certo eh vc pegar uma máquina de fora da tua rede e rodar um portscan

    da uma busca ai na net que da pra fazer portscan por alguns sites, ai vc vai conseguir testar
    foi isso que eu fiz ice, eu fui pro outro servidor meu fora da minha rede, e danei um nmap. o snort acuso o ip na hora desse meu servidor, no q o guardian n bloquiou esse ip :/

  4. Eh pro guardian pegar esse arquivo:
    AlertFile /var/log/snort/portscan.log

    se o snort estiver gravando ele em outro da pau mesmo,

    alias como ta seu guardian.ignore



  5. Citação Postado originalmente por 1c3_m4n
    Eh pro guardian pegar esse arquivo:
    AlertFile /var/log/snort/portscan.log

    se o snort estiver gravando ele em outro da pau mesmo,

    alias como ta seu guardian.ignore

    o snort ta acusando no portscan.log mesmo

    meu ignore ta assim

    127.0.0.1
    192.168.1.0/24
    vou restartar o guardian e o snort de novo pra testar!!






Tópicos Similares

  1. snort + guardian
    Por Vampayre no fórum Segurança
    Respostas: 1
    Último Post: 16-11-2004, 23:30
  2. snort + guardian
    Por Brenno no fórum Servidores de Rede
    Respostas: 5
    Último Post: 12-11-2004, 21:14
  3. snort + guardian...
    Por no fórum Servidores de Rede
    Respostas: 12
    Último Post: 17-03-2004, 06:10
  4. Snort+Guardian
    Por no fórum Segurança
    Respostas: 10
    Último Post: 12-11-2003, 09:39
  5. SNORT + GUARDIAN...
    Por no fórum Segurança
    Respostas: 2
    Último Post: 18-07-2003, 07:52

Visite: BR-Linux ·  VivaOLinux ·  Dicas-L