Välkommen till linuxportalen.se!

Linuxportalen.se är Sveriges största och aktivaste webbplats för användare av öppen- och fri programvara.

Du besöker Linuxportalen.se som gäst vilket begränsar din möjlighet att använda webbplatsens alla funktioner. Genom att registera dig som medlem får du inte bara möjlighet att söka bland webbplatsens innehåll, skapa nya och delta i befintliga diskussioner, skapa din egen blogg, kommunicera med andra medlemmar genom privata meddelanden och delta i omröstningar. Du får också tillgång till Veckans Kadavro - en seriestrip unikt skapad för Linuxportalen.se!

Registeringen sker snabbt och är helt kostnadsfri - tveka inte, bli medlem idag!

Snort (igen)

Jag tittade i Awffull tidigare idag och hittade något jag inte sett förr, zmEu. Letade lite på nätet och blev inte glad. I apache2-loggen såg jag att det var både kineser och amerikaner som försökt sno åt sig phpmyadmin-script i min apache2server.

Då tänkte jag att kanske skulle man försöka tröska igenom den träliga manualen till Snort. Mera letande på nätet, många åsikter om Snort och massor av varianter, med eller utan databas, med eller utan webgränssnitt o.s.v. Bl.a. finns åsikten att IPS, Intrusion Prevention System inte är bra. Det ger attackeraren kontroll över brandväggen. Men att bara ha IDS, Intrusion Detection System och släppa in busen kan väl inte vara bättre?

Till att börja med så installerade jag Snort i min Debiandator. Allt är enkelt på så vis i Debian. Så slog det mig efter en minut, var finns loggen? I /var/log brukar det finnas en massa loggar. Jag tittade och redan på den korta stunde hade det blivit fem varningar.

Det skulle vara bra med en svensk howto för Snort. Något som inte kräver nätverksnördar för att fatta. man vill ju bara skydda sin dator. Det är tydligen så att man har något som kallas LAMP-servrar, Linux, Apache2, Mysql och PHP. Dessa ska man vara rädd om sägs det. Tja, varför inte?

Nu snurrar Snort och jag kan se vad som hänt. Det blir jag nog bara deppig av, att se vad som hänt men inte gjort något åt det.

Jag läser vidare på nätet att man kan ställa in Snort att bli IPS, men det kräver åter igen en riktig guru i nätverk. Jag skulle hellre stoppa busen än att släppa in henne (busar är ju tjejer) i mina servrar. Innehållet är ju inte så viktigt men att ge någon tillträde till en dator för "fulare bizznizz" vill jag inte göra.

Någon som har erfarenhet av Snort? Skulle vara intressant att höra andras erfareheter och trixande.