DirectoryIndex index.html index.htm index.pl

Причем разработчики не рекомендуют использовать в данном случае директиву ScriptAlias.

Все, теперь перезапускаем Apache.

# /etc/rc.d/apache2 restart

Syntax OK

Shutting down httpd2 (waiting for all children to terminate)      done

Starting httpd2 (prefork)                                    done

И пытаемся попасть на требуемую страницу. Если что-то не выходит, проблемы как всегда найдете в /var/log/apache2/error_log. Например, такая запись свидетельствует о том, что скрипт не может присоединиться к MySQL.

[Thu May  6 16:35:44 2004] [error] [client 127.0.0.1] Premature end of script headers: /var/www/htdocs/piwi/index.pl

DBI connect('database=prelude;host=localhost','prelude',...) failed:

Can't connect to local MySQL server through socket '/var/run/mysql/mysql.sock' (2) at Functions/db.pl line 96

Поэтому проверяем, не забыли ли вообще запустить MySQL (# ps aux | grep mysql). И проверяем еще раз все записи, сделанные в конфигурационных файлах.

Для тестирования установок предназначена страница $piwi_directory/test/index.pl, сюда же попадете и в том случае, если не будут найдены обязательные компоненты, здесь получите всю информацию о текущих проблемах. Для ограничения доступа (необходимую информацию найдете в piwi/Docs/user_file_format.txt) к данным используются файлы, находящиеся в поддиректории Profiles/ с названием вида: имя_пользователя.user, т.е. на каждого пользователя один файл. По умолчанию там находятся два таких файла: admin.user и guest.user, чего достаточно в большинстве случаев. Параметров немного, сейчас достаточно изменить лишь один – IPAccess, который отвечает за допуск этого пользователя с определенного адреса или адресов.

В качестве значения может быть точный адрес вида 192.168.1.200 или групповой для доступа из всей сети, например 192.168.255.255 (строка IPAccess=255.255.255.255 означает доступ с любого адреса). И не будет лишним, если будете использовать файлы .htaccess, .htpasswd или .htdigest и работать по защищенному каналу SSL, но на этом я останавливаться не буду. По адресу http://www.giggled.org.uk/piwi_custom.html найдете документ, в котором описано, как расширить возможности piwi по сортировке IP-адресов.

Расширеное использование Prelude

Хотел было уже заканчивать статью, но, перечитав все сначала, понял, что некоторые вопросы остались за кадром и требуют, чтобы за них замолвили хотя бы пару слов. А сериалов с вечным продолжением я не люблю, поэтому уж потерпите.

Итак, как видите, Prelude довольно продвинутая IDS, к тому же обладающая возможностью наращивания как количественного, так и качественного, некоторые готовые решения уже имеются на сайте, а тем, кто может, позволено заточить любой необходимый сенсор, для того чтобы Prelude узнавала в нем своего. Сенсоров на отдельный хост можно понаставлять сколько душа пожелает, только вот вопрос – не потребуется ли для его нормальной работы второй процессор, а сеть переводить на гигабит. Поэтому увлекаться, наверное, не стоит, затраты по защите возрастут в несколько раз, а эффективность – на десятую процента. Наверное, стоит из всего предлагаемого комплекта выбрать то, что действительно необходимо для нормальной работы.

Итак, для host-based-части, кроме штатного prelude-lml, умеющего работать только с логами и понимающего логи и других устройств, в том числе windows-систем, можно использовать сенсор samhain, в который вместить все, чего душа пожелает, и для очистки совести можно на критические системы вроде сервера или firewall установить на выбор libsafe или для более полного контроля над системнымы вызовами systrace (http://www.citi.umich.edu/u/provos/systrace), патч для Prelude найдете: http://www.rstack.org/oudot/prelude/systrace/files. Сразу оба использовать в большинстве случаев, я думаю, будет излишним.

Если вы поддались статьям Павла Заклякова и настроили Snort, то ничего страшного, наложив патч http://www.prelude-ids.org/download/releases/snort-prelude-reporting-patch-latest.tar.gz и пересобрав его, можно затем использовать его как сенсор NIDS и отказаться совсем от установки prelude-nids (зачем два аналогичных по функциональности сенсора). Если же со Snort еще не сложилось, то, наверное, самым удобным вариантом будет конвертация правил Snort в правила Prеlude NIDS, подключение их к системе и можно использовать таким образом все наработки обеих команд.