Prelude do świetny program do wykrywania włamań na serwerach.
Budowa programu
Program pracuje przez sieć posiada więc część zbierającą logi (prelude-manager) oraz programy wysyłające komunikaty do systemu. Standardowo dostępny jest prelude-lml który analizuje logi systemowe.
Programy komunikują się przez sieć przy pomocy szyfrowanej komunikacji. Bezpieczeństwo tej komunikacji zapewniają certyfikaty SSL, które generowane są podczas instalacji. Pewność, iż wymieniane certyfikaty są prawidłowe zapewnia jednorazowe hasło dostępu generowane podczas procesu rejestracji po stronie serwera i podawane po stronie klienta w momencie rejestracji certyfikatu.
Instalacja serwera
Instalacja przebiega w następujących krokach:
- Instalacja oprogramowania serwerowego (przeważnie pakiet prelude-manager)
- Wygenerowanie certyfikatów serwera
- Uruchomienie serwera (domyślnie będzie działał na porcie 4690).
Instalacja klienta prelude-lml
Instalacja przebiega w następujących krokach:
- Instalacja klienta (przeważnie pakiet prelude-lml),
- wygenerowanie certyfikatów klienta (rejestracja po stronie klienta) i zgłoszenie się do serwera po akceptacje,
- Rejestracja na serwerze (tutaj bedzie wygenerowane hasło jednorazowe które będzie musiał podać klient),
- Otrzymanie przez klienta potwierdzenia rejestracji na serwerze
- Uruchomienie usługi prelude-lml
Instalacja serwera w różnych dystrybucjach
Fedora Core 6
[root@localhost ~]# yum install install prelude-manager
[root@localhost doc]# /etc/init.d/prelude-manager restart Starting prelude-manager: - Subscribing Normalize to active decoding plugins. prelude-client: error initializing prelude-client: could not open '/etc/prelude/profile/prelude-manager/analyzerid' for reading Profile 'prelude-manager' does not exist. In order to create it, please run: prelude-adduser add prelude-manager --uid 0 --gid 0. [FAILED]
root@localhost doc]# prelude-adduser add prelude-manager --uid 0 --gid 0 - Using default TLS settings from /etc/prelude/default/tls.conf: - Generated key size: 1024 bits. - Authority certificate lifetime: unlimited. - Generated certificate lifetime: unlimited. - Using analyzer prelude-manager. - Using /etc/prelude/profile/prelude-manager... - Using already allocated ident for prelude-manager: 669655299040043. - Generating RSA private key... This might take a very long time. [Increasing system activity will speed-up the process.] - Generating 1024 bits RSA private key... Done. - Creating /var/spool/prelude/prelude-manager...
[root@localhost doc]# /etc/init.d/prelude-manager restart Starting prelude-manager: - Subscribing Normalize to active decoding plugins. [ OK ]
Po tym wszystkim w drzewie aplikacji (przeglądając wynik polecenia pstree) zobaczymy działający proces:
├─prelude-manager───{prelude-manager}
Debian
apt-get install prelude-manager
Instalacja klienta prelude-lml na różnych systemach
Praca prelude-manager z systemami baz danych
Współpraca z MySQL
$ mysql -u root -p Enter password:
mysql> CREATE database prelude; Query OK, 1 row affected (0.05 sec)
mysql -u root -p prelude < /usr/share/libpreludedb/classic/mysql.sql
I na końcu konfigurujemy prelude-manager by logował zdarzenia do bazy danych
[db] # The type of database (mysql/pgsql). type = mysql # Host the database is listening on. host = localhost # Port the database is listening on. port = 3306 # Name of the database. name = prelude # Username to be used to connect the database. user = prelude # Password used to connect the database. pass = password
Współpraca z PostgreSQL
Inteface-y do przeglądania zarejestrowanych zdarzeń
PIWI
PIWI to interfejs WWW pozwalający przeglądać zdarzenia zerejestrowane przez Prelude. Wymaga aby serwer logował zdarzenia do bazy danych (MySQL lub PostgreSQL).
W Internecie
http://www.prelude-ids.org – Strona domowa produktu