SNORT - IDS

En esta oportunidad les traigo la guia "definitiva" (jajaja) sobre SNORT. Despues de mis intentos fallidos sobre instalar snort desde sus fuentes y resignarme a usar un apt-get install snort. Aca les traigo una guia que me resulta bastante practica donde se resume en esencia y con detalle que se necesita para tener instalado:

SNORT + BASE + mysql.

en Ubuntu/Debian.

El autor es un arabe: Ali Al-Shemery.

Bueno les dejo con la guia,

Descargar Guia

Algunas notas que he me tomado a cuenta son:

- Tener previamente instalado build-essentials.
- Al compilar se obtiene un error sobre la libreria libnet, y a pesar que la guia nos invita a instalar libnet en sus versiones 0 y 1, lo cierto es que funciona con la version de libnet 1.0.2a.

De aqui lo puden descargar: Libnet1.0.2a , en el directorio que lo descomprimen, realizar un:

./configure && make && make install

Bueno eso es todo, espero traerles un nuevo post , pero ya con Snort IN LINE, para que snort trabaje como IPS.

Saludos, y cualquier consulta haganmela saber.

Instalar AWSTATS en debian

Bien hoy de manera practica voy a explicar como conseguir un reporte minucioso de los logs de nuestro apache, donde se puede ver el trafico, visitas, ips, paginas, etc.

Desde debian hacer un apt, en el caso de otras distribuciones buscar el equivalente:

1- apt-get install awstats

Una vez instalados nos damos cuenta que los archivos de configuracion estan en /etc/awstats

Antes de inciar realizar el siguiente cambio en su fichero de configuracion de host de apache.

nano /etc/apache2/sites-enabled/000-default

y agregar dentro de la configuracion del virtual host:

-VirtualHost *:80-
.
.

ScriptAlias /awstats/ "/usr/lib/cgi-bin/"
Alias /awstats-icon/ /usr/share/awstats/icon/

Options None
AllowOverride None
Order allow,deny
Allow from 127.0.0.1 ## ip permitida para ver los cambios
.
.
--VirtualHost--

luego de agregar reiniciar apache:

/etc/init.d/apache2 restart

AHORA PASAMOS A LA CONFIGURACION PROPIA DE AWSTATS.

Vamos a crear nuestro primer archivo de configuracion para un servidor determinado (digo esto por que podemos tener varios logs de apache en neustar maquina , cada uno de ellos perteneciente a un servidor diferente).

Ejecutamos el siguiente comando:

2- perl /usr/share/doc/awstats/examples/awstats_configure.pl

luego seguimos los siguiente pasos:

Do you want to continue setup from this NON standard directory [yN] ?
y

Config file path ('none' to skip web server setup):
/etc/apache2/apache2.conf <----- archivo de configuracion de apache Do you want me to build a new AWStats config/profile file (required if first install) [y/N] ?
y

Your web site, virtual server or profile name:

www.midominio.com

Directory path to store config file(s) (Enter for default):

dejar en blanco + enter

Si nos sale este error:
Error: Failed to open '/etc/awstats/wwwroot/cgi-bin/awstats.model.conf' for read.

hacer lo siguiente:
cd /etc/awstats/
mkdir wwwroot
mkdir wwwroot/cgi-bin
cp /usr/share/doc/awstats/examples/awstats.model.conf.gz wwwroot/cgi-bin/
cd wwwroot/cgi-bin/
gunzip awstats.model.conf.gz

y luego realizar el paso 2 (tuve que ejecutar dos veces seguidad :( ) y escribir todo nuevamente.

luego si se corrigio ese error le damos enter hasta finalizar.

Bien unas ves que se ha creado nuestro archivo de configuracion entramos a:

cd /etc/awstats

y verificamos que este nuestro archivo, hacemos:

nano awstats.www.midominio.com.conf

una vez abierto el fichero buscamos estas partes que hay que configurar:

LogFile="/var/log/apache2/access.log"

aqui se ubica el fichero de logs , obviamente si estamso analizando los logs de otros servidores esta ubicacion puede variar dependiendo de la carpeta donde se encuentren.

LogType=W (para servidor web)
LogFormat=4 (para apache en general)
DirData="/var/lib/awstats" (esto deb existir previamente)

Luego enviamos el comando para que se empieze a generar nuestro reporte:

/usr/lib/cgi-bin/awstats.pl -update -config=www.midominio.com

si el dominio es diferente solo cambiarlo por el adecuado.

bien luego del termino de este proceso (que puede demorar).

Nos vamos a la siguiente url en nuestro navegador para verificar nuestros resultados:

http://localhost/awstats/awstats.pl?config=www.midominio.com

Y listo el resto es tarea suya.

Saludos.
Nota: Luego corrijo los errores de ortografia.

Error de Apache

Si alguno les ha ocurrido que al reiniciar su apache les sale este error.

(98)Address already in use: make_sock: could not bind to address [::]:80
no listening sockets available, shutting down
Unable to open logs

Al revisar alguno foros hablan de tener redundancia de puerto 80 en los ficheros de configuracion, cosa que puede ser cierta. Pero en otros casos es por algun proceso esta ocupando aun ese puerto, que proceso??? bueno eso depende de cada situacion.

Al ejecutar un netstat especifico para el puerto 80 se saca un listado de las conexiones :

# netstat -lnp | grep '0.0.0.0:80'

Ahi les sale el proceso que esta ocupando el puerto. Solo verifican el ID del proceso y lo eliminan con un "kill 'ID del proceso'" y listo, puede iniciar su apache.

Saludos.

Ingresar a red Windows

Para ingresar a un directorio windows desde linux, lo que tenemos que hacer es instalar el paquete samba.

apt-get install samba

para montar una carpeta windows desde linux, el comando es el siguiente:

smbmount //192.168.0.10/compartido /mnt/windows -o username=pedro

Donde 192.168.0.1 es la dirección IP del Windows, "compartido" es el nombre de la carpeta compartida, "pedro" es el nombre de usuario en windows que tiene acceso a dicha carpeta y /mnt/windows es un directorio existente en linux donde se montará dicha carpeta.

TIPS del dia - encontrar cadena de texto.

Tips del dia:

Encontrar cadenas de texto:
find "ruta" -type f | xargs grep "cadena a buscar"

Calcular tamaño de directorios y/o archivos:

du -sh directorio/

Manejar archivos .gz

Comprimir	gzip -q archivo (El archivo lo comprime y lo renombra como "archivo.gz")
Descomprimir	gzip -d archivo.gz (El archivo lo descomprime y lo deja como "archivo"

Saludos =D

SAMBA

Bueno despues de tiempo recorde los comados samba, aca hay un tutorial
como para empezar, mas detalle resvisar la documentacion.

Cualquier duda no duden en escribir he realizado algunas pruebas entre
debian y windows.

Saludos.

Tutorial 1 Aqui
Tutorial 2 Aqui

Instalar Flash en Debian Lenny

Bueno, posteo esto por que cuando uno comienza a veces no le sale esto del flash en debian, ya que no es automatico como en el caso de ubuntu u otros.

Solo tienen q bajarse el instalador de la pagina de adobe, o algo mas facil ingrese a youtube y al abrir un video como no tienen flash les aparece el link directo.

Elegimos:

install_flash_player_10_linux.tar.gz

Luego aplicamos un:
tar xvf install_flash_player_10_linux.tar.gz

Luego de la descomprension entramos a la carpeta y encontramos estos dos archivos:
flashplayer-installer libflashplayer.so

Antes de seguir creamos si no lo tenemos la carpeta plugins con:
mkdir /usr/lib/iceweasel/plugins/

Luego copiamos el archivo del flash:
cp libflashplayer.so /usr/lib/iceweasel/plugins/

Reiniciar Iceweasel y listo a disfrutar de los videos.

Intalar driver Impresora LaserJet1000

apt-get install build-essential
(para compilar los drivers)

apt-get install cupsys
(para administratr los driver de impresion por web)

editamos :nano /etc/cups/cupsd.conf y cambiamos:
LogLevel xxxxx

por

LogLevel none

Luego un:

/etc/init.d/cupsys restart
para reiniciar el server.

Nos bajamos el driver dentro de una carpeta:
wget -O foo2zjs.tar.gz http://foo2zjs.rkkda.com/foo2zjs.tar.gz

tar zxf foo2zjs.tar.gz
cd foo2zjs

una vez adentro:

make
make install
./getweb 1000
./arm2hpdl sihp1000.img > /usr/share/foo2zjs/firmware/sihp1000.dl
make install-hotplug

Dale una mirada al log:

tail -f /var/log/messages

y veras algo como download success.

Aca esta la parte improtante:

Reinicias cups:
/etc/init.d/cupsys restart

Apagar la impresora y encenderla.

revisar que el log sea exitoso y muestre una descarga exitosa.

Debemos fijarnos que se deve activar el siguiente dispositivo:

/dev/usb/lp0

lo cual demuestra que la impresora ha sido reconocida.

Ingresar el siguiente comando para que se ubique nuetsro driver:

cat /usr/share/foo2zjs/firmware/sihp1000.dl > /dev/usb/lp0

Apagar y prender la impresora nuevamente.

Ingresar a nuestri administrador de impresoras:
http://localhost:631/

Añadir impresora:
Colocar la ubicacion, descripcion, lugar (datos al gusto del cliente).


continuara.....

/dev/usb/lp0

Configurar SMTP Google Apps

Bueno como en mi empresa usamos google Apps, necesitamos activarlo para enviar mails en Joomla, bueno los foros dicen que hay q hacerlo con smtp, y hay bastante info al respecto,
Lo implemente pero era un poco lento, el server es el siguiente:

gmail-smtp-in.l.google.com

No explico mas de ello, por que una solucion practica es colocar, en la configuracion global : Funcion de Envio PHP, o en su defecto en el configuration.php, reemplazar:

var $mailer = 'smtp';

por

var $mailer = 'phpmailer';


Y listo, ahhh
porsiaca si no tienen instalado el sendmail : apt-get install sendmail.


Eso es todo, como comentario adicional debo decir q los mails enviados son tomado como spam por yahoo, mas no por hotmail & gmail. :)


Instalar Postgres en debian

Instalamos el Gestor:

apt-get install postgresql-8.1

Asignamos Password:

passwd postgres

Enter new UNIX password:xxx666
Retype new UNIX password:xxx666

Editamos el archivo de configuracion:

nano /etc/postgresql/8.3/main/postgresql.conf

descomentar : listen_addresses = 'localhost'
colocar asi : listen_addresses = '*' para permitir atender todas las ips

descomentar fsync = on
max_connections = 100
datestyle = 'iso, dmy'

Luego vamos por el segundo archivo:

nano /etc/postgresql/8.3/main/pg_hba.conf

agregar:
host all postgres 192.168.1.0/24 md5

para habilitra conexiones en este caso de la red 1

Nos logeamos:

login postgres
e ingresamos el password Password:

:) Primera parte finalizada.

Parar el servcio:

• Parar Servicio
$ /etc/init.d/postgresql-8.3 stop
• Iniciar servicio
$ /etc/init.d/postgresql-8.3 start
• Reiniciar el Servicio
$ /etc/init.d/postgresql-8.3 restart




Ahora el vamos a instalar un administrador grafico para este gestor : pgAdmin


Bueno en debian & ubuntu estan en los repositorios asi que solo ha darle:

apt-get install pgadmin3


Finalmente si queremos el phppgadmin, lo bajamos en tar.gz. de :
http://phppgadmin.sourceforge.net/index.php?page=download

y los descomprimimos en el root del apache (por ejemplo /var/www/)

Pero espera antes debes de:
apt-get install php5-pgsql
/etc/init.d/apache restart.

luego ingresamo a : http://localhost/phpPgAdmin-4.2.2/
ahora si accede desde el navegador y listo :)



Fuentes:

http://postgresql.org.pe/articles/pginstall_debian.pdf
http://guia-ubuntu.org/index.php?title=PgAdmin_III

Buen tutorial:
http://www.ubuntugeek.com/howto-setup-database-server-with-postgresql-and-pgadmin3.html

Cambio de aptitud

Bueno señores llego la hora de sincerarse, primero que me gusta investigar y curiosear por hai, pero quisas a veces no me alcanza el tiempo para postear algo a lo legal, por eso a veces pongo los links respectivo y los tips tambie, espero su comprension.
Bueno de aqui en adelante pondre asi sea algo tan insignificante :).
Segundo, ultimamente debido a la necesidad estoy q aprendo algo de Networking debido a eso he dejado de hacer las clasicas configuraciones, pero no sera por mucho tiempo, pronto estare de vuelta
:):):):):):):):)