06 10

mod_security i logi czyli mlogc i AuditConsole

Ściąga Admina Zostaw komentarz

Postanowiłem opisać tutaj konfigurację aplikacji AuditConsole na którą będą wysyłane logi z mod_security i prezentowane na www (szczegóły na http://jwall.org/about)

Będę pisał w równoważnikach zdań bo tak jest krótko i treściwie,
a orginalna wersja jest pisana pod emacs-em w trybie org-mode więc sorrki za ewentualny rozjazd

1 dodatkowe paczki do kompilacji modsecurity

  • libcurl-devel
  • libxml2-devel
  • pcre-devel

2 kompilacja mlogc w modsecurity

  • cd modsecurity-apache_2.5.13
  • make mlogc
  • położenie skompilowanego obiektu
    • modsecurity-apache_2.5.13/rules/util/mlogc

3 przygotowanie środowiska

  • mkdir /etc/httpd/mlogc /etc/httpd/mlogc/logs
  • cp …/mlogc /etc/httpd/mlogc/mlogc
  • touch /etc/httpd/mlogc/mlogc.conf

4 instalacja AuditConsole

  • dowlnoad i unzip AuditConsole-0.4.2-4-standalone.zip z http://jwall.org/web/audit/console/download.jsp
  • sprawdzenie czy wersja java > 1.6 poleceniem java -version
  • zmiana użtkownika i grupy dla plików w [$AuditConsole_HOME]
  • download postgresql jdbc4 driver z http://jdbc.postgresql.org/download.html#current
  • cp postgresql-9.0-801.jdbc4.jar [$AuditConsole_HOME]/lib/
  • stworzenie nowej bazy postgresql dla obsługi w/w:
    • createdb [dbname] -O [owner]
  • chmod o+x [$AuditConsole]/bin/*.sh
  • konfiguracja portu Tomcata [$AuditConsole_HOME]/bin/catalina.sh w sekcji CONSOLE_HTTP_PORT=[port]
  • uruchomienie przez [$AuditConsole_HOME]/bin/startup.sh

5 konfiguracja AuditConsole

  • logowanie na www (uruchomiony zostanie wizzard)
    • http://[AuditConsole_host]:[port]/
    • admin/admin
  • wpisy dla wizzarda (dostępne później w menu System => Setup => Storage Engine
    • jdbc url: jdbc:postgresql://localhost:5432/[dbname]
    • User: [dbuser]
    • Password: [dbpass]
    • Storage Type: Database
    • Data directory: [$AuditConsole_HOME]/var/data
    • Database limit: 1024
  • dodanie sensora
    • menu System => Sensors => New Sensor
    • nadać [sensor_name] i [sensor_password]

6 konfiguracja mlogc

  • wpisy w /etc/httpd/mlogc/mlogc.conf
    CollectorRoot /etc/httpd/mlogc/logs
    ErrorLog mlogc-error.log
    ErrorLogLevel 3
    TransactionLog mlogc-transaction.log
    QueuePath mlogc-queue.log
    LockFile mlogc.lck
    ConsoleURI “http://[AuditConsole_host]:[port]/rpc/auditLogReceiver”
    SensorUsername “[sensor_name]”
    SensorPassword “[sensor_password]”
    LogStorageDir /etc/httpd/modsec/logs

7 konfiguracja modsecurity:

  • zmiana konfiguracji:
    SecAuditLogType Serial
    SecAuditLog logs/modsec_audit.log
  • na
    SecAuditLogType Concurrent
    SecAuditLogStorageDir /etc/httpd/modsec/logs
    SecAuditLog “|/etc/httpd/mlogc/mlogc /etc/httpd/mlogc/mlogc.conf”

inspiracja – amon :)

Date: 2011-06-10 15:26:56 CEST

HTML generated by org-mode 6.33x in emacs 23

Share and Enjoy:
  • Print
  • Facebook
  • Twitter
  • Google Bookmarks

Zostaw komentarz

WordPress - Hosting: Twój hosting - Skórka: N.Design Studio - Spolszczenie: Adam Klimowski.
RSS wpisów RSS komentarzy Zaloguj