Vous êtes sur la page 1sur 4

installer mysql-server, qui doit tre prsent avant linstallation de Prlude.

apt-get install mysql-server Cela va vous demander de crer le mot de passe administrateur MySQL Installation de Prelude manager On installe ensuite prelude-manager: apt-get install prelude-manager Cela va nous demander 1.Si vous souhaitez utiliser dbconfig-common pour crire la config de prelude-mana ger automatiquement. Dites oui (sauf si vous voulez le faire la main aprs). 2.Le mot de passe admin de MySQL que vous avez donn juste avant. 3.On dfinit le mot de passe de la base prelude utilise par le manager. 4.On confirme ce mot de passe. La gnration de clef est hyper longue, mais linstalleur nous dit quon peut acclrer la chose en chargeant la machine. Faison s-le dans un (des) autre(s) terminal(aux)! yes > /dev/null A la fin, linstallation a cr un utilisateur prelude et vous donne son uid et son gid, et va pleurer car prelude-manager est mal configur (vous aurez deux fail ). On va corriger a le minimum en mettant le yes quil nous suggre o il faut dans /etc/defaut/prelude-manager: DAEMONUSER=prelude # Users to run the daemons as. RUN=yes # set to yes to sta rt the server in the init.d script. # you need to register the "preludemanager" profile # before being able to start the manager automatically Installation de Prelude LML On peut ensuite installer prelude-lml (module qui regarde les logs) : apt-get install prelude-lml Lui aussi va couiner car il est mal configur, mais on sen moque car cest juste le signe quil nest pas enregistr par prelude-manager. On va y remdier : prelude-admin registration-server prelude-manager A lcran un mot de passe one-shot est donn. Il faut rester comme a et ouvrir un nouveau terminal : une session du manager est prte accepter un nouveau module et il faudra le valider en temps rel. Dans le nouveau terminal, on enregistre prelude-lml : prelude-admin register prelude-lml "idmef:w admin:r" 127.0.0.1 uid 0 gid 0 Ici a va cogiter un bout de temps et charger la machine peut aider, donc on peut faire du yes dans une autre console allgrement comme avant. A la fin, ca finit par demander le mot de passe one-shot de lautre terminal. On le rentre et on le confirme et cela doit dire Authentication succeeded . A ce moment l, sur lautre terminal, on nous demande de valider lenregistrement. Un y doit donner successfully registered .

Installation de Prelude correlator Jusque l, la procdure dinstallation est standard et se trouve un peu partout sur le net. Ca se gte quand on veut installer prelude-correlator. On a en fait deux choix NON quivalents : linstallation par paquet qui a un problme et celle par la source. Commenons par le paquet, qui est instructif mme si peu stable ;-) Paquet du dpt Debian Comme toujours : apt-get install prelude-correlator Linstallation finit par rler comme les deux premires car il nest pas enregistr dans le manager et en plus il nest pas dmarr par dfaut. On corrige le dernier bug par une modification de /etc/defaut/prelude-correlator : DAEMONUSER=prelude-correlator # Users to run the daemons as. RUN=yes # set to yes to start the server in the init.d script. # you need to register th e "prelude-correlator" profile # before being able to start the correlat or automatically Il reste encore enregistrer le correlateur dans le manager. Cest ici quest le problme. On serait tent de faire comme avant ET IL NE FAUT PAS: prelude-admin register prelude-correlator "idmef:w admin:r" 127.0.0.1 uid 0 gid 0 Cela ne marche pas car une tentative dexecution de service prelude-correlator start va dire la fin : INFO: 7 plugin have been loaded.failed! Car en fait prelude-correlator a cr un utilisateur du mme nom lors de linstallation, et refuse le -uid 0 -gid 0 qui ne donne pas assez de droits pour lire les fichie rs indispensables son fonctionnement (dans /var/lib/prelude-correlator). Pour connaitre le bon uid et gid, il faut faire : id prelude-correlator (dans mon cas cest uid = 112 et gid =120) Et ce moment l, on peut enregistrer le corrlateur en utilisant la procdure davant : prelude-admin register "prelude-correlator" "idmef:rw" localhost --uid 112 --gid 120 Attention, si vous avez tent votre chance avec le uid =0 gid = 0 avant de faire la bonne opration, la demande de mot de passe one-shot se fera deux fois de suite. Et la fin, vous ne pourrez pas toujours lancer le correlateur. Il faudra alors e nlever totalement le correlateur et le rinstaller puis faire la bonne procdure dcri te ci dessus : apt-get purge prelude-correlatorapt-get install prelude-correlator Retour aux sources Cette jolie procdure en fait un trs gros problme : elle est instable car la version compile du dpt un problme de gestion de la mmoire. Elle va finir par tre tue par le systme car elle va tout bouffer au bout dun certain temps :p Vous le voyez car le manager va gentiment vous prvenir au bout de quelques minutes/heures grce une alerte OSSEC (voir 4/5) ou tout simplement car le correlator

sera dconnect dans la liste des agents ;-) Installation de Prewikka On a russi notre installation, qui ne sert pour le moment pas grand chose. On pourrait bien su interroger la base de donnes de Prelude Manager la main, ou bien utiliser les commandes en console ddies, mais cela devient vite fastidieux . Cesrt l quintervient Prewikka, qui est une interface Web pour visualiser les activi ts centralises dans la base de Prelude Manager. et de prewikka : apt-get install prewikka Cela va encore vous proposer de faire les oprations SQL et la configuration de Pr ewikka par dbconfig-common, vous savez quoi faire ;-) Avant de tenter de lancer quoique ce soit dautre, il faut donner prewikka le mot de passe de la base de prelude-manager et un utilisateur initial pour pouvoir se connecter linterface. Pour cela, il faut diter /etc/prewikka/prewikka.c onf et changer les paramtres : ... type = mysql host =local hostuser = prelude pass = prelude # remplacer ici par le mot de passe de prelude-manager !name = pr elude... initial_admin_user: admin # remplacer par un truc non trivial initial_admin_pass: admin # idem... Ce fichier sera utilis dans la config de Apache, il faut donc changer son propritaire et son groupe (il a les permissions 640 pour u=root g=root) : chown www-data:www-data /etc/prewikka/prewikka.conf A ce niveau l, on a plusieurs possibilits : ou bien on met un serveur Apache compl et et un hte virtuel Prewikka, ou bien on utilise le petit service minimaliste inclus dans Prewikka pour lancer la main linterface Web. On dtaille les deux main on prfre la deuxime solution : cest plutt bizarre pour une solution de scurit de demander dinstaller un serveur Web Apache+Hte virtuel Prewikka Vous avez videmment besoin de Apache (et de son module Python): apt-get install apache2 libapache2-mod-python On commence par configurer un hte virtuel pour Prewikka en crant /etc/apache2/sites-available/prewikka et on y met (remplacer 192.168.1.2 par lIP de votre serveur prewikka of course!). ATTENTION : Ce fichier de config semble en fait gnrer des erreurs chez moi (mme si a marche). ServerName prewikka ServerAdmin root@localhost

SetHandler mod_pythonPythonHandler prewikka.ModPythonHandler PythonOption PrewikkaConfig /etc/prewikka/prewikka.conf SetHandler none Alias /prewikka /usr/share/prewikka/htdocs Alias /htdocs /usr/share/prewikka/htdocs et enfin on le charge : a2ensite prewikka service apache2 reload Vous pouvez maintenant voir le super interface dans votre navigateur prfr ladresse I P de votre serveur ;-) Service minimum Cest notre solution favorite. Elle est dj naturellement prsente dans Prewikka et ne demande pas doprations particulires : lancer prewikka-httpd qui se trouve dans /usr/bin/. Par dfaut, cela donne accs toutes les IP linterface Prewikka lIP du serveur par le port 8000 en utilisant le fichier de configuration /etc/prewikka/prewikka .conf. Cela peut videmment se changer (surtout le port et les IP pouvant afficher la pag e). Par exemple, on excute : prewikka-httpd -a mon_IP_actuelle -p 80 qui donne Prewikka accessible seulement depuis mon IP et par le port 80. Et un nmap sur le serveur Prelude ne donne le port 80 ouvert que le temps o la commande tourne !