Ao dar uma olhada nele para conhecer, ele não funcionou e precisou de algumas configurações para funcionar, que não encontrei facil na rede, assim fiz esse post para isso :)
Apos instalar o psad da esse erro ao iniciar.
/etc/init.d/psad start
ERR: Syslog has not been configured to send messages to
/var/lib/psad/psadfifo. Please configure it as described in psad(8).
Parece que o Debian mudo o syslog para o rsyslog como padrão, mas o psad ainda não esta configurado para o rsyslog, mas a configuração é facil.
Solução
Edite esse arquivo
/etc/rsyslog.conf
adicione isso no final do arquivo.
####psad#######
kern.info |/var/lib/psad/psadfifo
Mas isso apenas não resolve, precisa fazer outra configuração.
Edite
/etc/init.d/psad
Na Linha 29
for conffile in /etc/syslog.conf /etc/syslog-ng/syslog-ng.conf; do
Agora coloque
/etc/rsyslog.conf
Fica assim a Linha 29
for conffile in /etc/rsyslog.conf /etc/syslog.conf /etc/syslog-ng/syslog-ng.conf; do
Ok, Ta feito
Agora
/etc/init.d/rsyslog restart
/etc/init.d/psad start
Pronto.
O Psad ele manda as informações via e-mail local por padrão, assim esteja com o e-mail configurado.
Ambos tanto o Psad como o Snort tem no Debian Lenny.
Psad
http://www.cipherdyne.org/psad/
Documentação
http://www.cipherdyne.org/psad/docs/
Postagens
Nenhum comentário:
Postar um comentário