Zwar ist das Webinterface jetzt installiert und konfiguriert, es fehlt aber noch der passende Webserver. Prelude bringt dazu einen eigenen, kleinen Webserver mit, den der Admin auf Wunsch mit
»/usr/bin/prewikka-httpd
«
starten kann. Der Prewikka-Webserver nimmt Anfragen per Default auf Port 8000 entgegen. Läuft dagegen auf dem Host bereits ein Apache, wird der Admin diesen in der Regel bevorzugen. Passende Virtual-Host-Konfigurationsdateien für ein CGI-Setup (
Listing 3
) finden sich freundlicherweise im Prelude-Wiki unter
[4]
.
Listing 3
Virtual-Host-Setup
Der Admin muss also nur seine Apache-Konfigurationsdatei um den entsprechenden Code erweitern. Bei Ubuntu verweist
»/etc/apache2/apache2.conf
«
per include-Directive auf das Unterverzeichnis
»/etc/apache2/sites-enabled
«
und von dort via Symlink auf
»/etc/apache2/sites-available
«
, wo dann für jeden virtuellen Host eine eigene Konfigurationsdatei bereitliegt. Bei Ubuntu ist bekanntlich sogar der Default-Webserver als virtueller Host (
»/etc/apache2/sites-enabled/000-default
«
) realisiert. Außerdem ist bei Ubuntu per Default die Directive
»ServerName
«
nicht gesetzt. Bei einem Mod-Python-Setup sollte der Admin außerdem daran denken, das Paket
»libapache2-mod-python
«
zu installieren. Nach einem Neustart oder Reload des Apachen mit
»sudo /etc/init.d/apache2 reload
«
oder
»sudo service apache2 restart
«
, sollte das Prewikka Webinterface unter
http://localhost/prewikka
zur Verfügung stehen.
Laufen Prelude-Manager und Webinterface, wird es Zeit, den ersten Sensor zu installieren. Der mitgelieferte Log-Agent Prelude-LML kann zum Beispiel verschiedenste Log-Dateien auswerten. Prelude-LML lässt sich dazu so konfigurieren, dass er die Rolle eines zentralen Syslog-Servers übernimmt. Der Admin muss seine Log-Erzeuger dann im Einzelfall nur für die Zusammenarbeit mit einem Syslog-Dienst wie Prelude-LML konfigurieren. Prelude-LML wertet dann sämtliche Log-Meldungen auf Basis seiner Regelwerke aus und sendet die gewonnenen Informationen an den Prelude-Manager. Prelude-LML erfasst Logs typischer Unix-Dienste, etwa des Paketfilters (IPTables) oder von Routern und Switches. Im Test installieren wir Prelude-LML auf der gleichen Maschine, auf der auch der Prelude-Manager läuft. Der spätere Praxis-Einsatz würde sämtliche Agenten sinnvollerweise auf den zu überwachenden Hosts respektive in den zu überwachenden Netzwerksegmenten betreiben. Prelude-LML findet sich in den Paketquellen aller gängigen Distributionen; das Installieren kann also auch hier wahlweise via Frontend oder per
»apt-get install prelude-lml
«
erfolgen. Nach der Installation muss der Admin den Sensor beim Prelude-Manager registrieren, wozu wiederum das Kommando
»prelude-admin
«
zum Einsatz kommt, diesmal mit der Option
»register
«
. Beim Registrieren legt der Prelude-Manager für jeden Sensor einen eindeutigen Identifier sowie ein Verzeichnis an. Außerdem generiert die
»register
«
-Option gegebenenfalls erforderliche RSA-Keys, sollten Sensor und Manager auf unterschiedlichen Hosts laufen oder ein Remote Prelude Manager zum Einsatz kommen. Der
»register
«
-Prozess speichert die benötigten Informationen im zugehörigen Sensor-Profil, dessen Name der Admin frei wählen kann. Die allgemeine Syntax für das
»register
«
-Kommando lautet:
prelude-admin register Profilname Berechtigung Manager-Adresse--uid UID --gid GID
Der
»profil name
«
ist der Name des zu installierenden Sensors, im Beispiel
»prelude-lml
«
. Der Parameter
»requested permission
«
richtet sich nach dem jeweiligen Sensor. Für gewöhnlich erfordert ein Sensor mindestens Schreib-Berechtigungen (
»w
«
) für IDMEF-Nachrichten. Optional besteht die Möglichkeit, dass der Sensor administrative Kommandos akzeptiert. Dafür genügt ein Leserecht, im Beispiel:
prelude-admin register prelude-lml "idmef:w admin:r" localhost -uid 0 -gid 0
Das Kommando weist unter anderem darauf hin, dass der Admin an localhost einen Registration Server starten muss, wozu er am besten ein zweites Terminal-Fenster nutzt, während das erste Fenster auf die Eingabe eines One-Shot-Passwortes wartet. Zum Starten des Registration Servers kommt ebenfalls das Kommando
»prelude-admin
«
zum Einsatz:
prelude-admin registration-server prelude-manager
Das Kommando generiert einen Zufallswert, der im ersten Fenster als Einmalpasswort einzugeben ist. Der Sensor
»prelude-lml
«
ist damit beim Prelude-Manager registriert und lässt sich mit
service prelude-lml start
starten. Im Webinterface sollte sich dann feststellen lassen, dass der Sensor beim Prelude-Manager bekannt ist. Die eigentliche Konfiguration des Sensors erfolgt in der zugehörigen Konfigurationsdatei
»/etc/prelude-lml/prelude-lml.conf
«
. Hier kann der Admin beispielsweise gezielt festlegen, welche welche der Log-Dateien der Prelude-Dienst LML als zentraler Syslog-Server überwachen soll.