Gli alert generati da snort sono di indubbia utilità, in quanto da un’attenta analisi degli stessi è possibile individuare possibili tentativi di intrusione sulla nostra rete. Poichè sono un po’ pigro e la lettura dei log è sicuramente una delle fasi più tediose del mio lavoro, ho pensato di creare il seguente scrip, in grando di inviare al mio indirizzo email gli alert in questione man mano che vengono generati.
Ecco lo scrip:
#!/bin/bash logfile=/var/log/snort2sms.log destinatario=vostro.indirizzo@email.it ROOT_UID=0 if [ "$UID" -ne "$ROOT_UID" ];then ERRORE1="Errore 1: Devi essere root per eseguire lo script" echo $ERRORE1 echo "$(date) $ERRORE1" >> $logfile exit 1 fi cd /var/log/snort if [ -f alert ];then if [ -f alert_backup ];then #confronto i due file e salvo le differenza all'interno di mail diff alert alert_backup > mail else touch alert_backup cp alert alert_backup fi else ERRORE2="Errore 2: Il file alert non esiste. Sei sicuro di aver installato snort?" echo $ERRORE2 echo "$(date) $ERRORE2" >> $logfile fi if [ -s mail ];then cp alert alert_backup cat mail | mail -iv -s "HOME: snort alert" $destinatario; fi rm mail
Non vi resta che schedulare l’esecuzione dello script mediante cron e creare il file di log snort2mail.log nella directory /var/log.
Enjoy.