linux入侵檢測系統snort安裝配置

隊長讓俺瞅瞅snort，沒想到安裝配置都遇到問題。。。整理下過程，給跟我一樣的家伙看看。。

由於本人機器是ubuntu，apt-get 幾下就可以了，其實網上有不少這樣的文章。。。之所以還要寫就是。。。看他們的文章踩到坑了

 

ubuntu安裝

sudo apt-get install snort

sudo apt-get install -f  #如果缺少啥包，可以用這個命令，會自動下載安裝關聯包，如果可以正常使用，該命令可忽略

sudo apt-get install snort-mysql #把snort的日志都輸出到mysql數據庫的插件，為了后面的可視化

下面是我的snort的版本

　　,,_ -*> Snort! <*-
　　o" )~ Version 2.9.2.2 IPv6 GRE (Build 121)
　　'''' By Martin Roesch & The Snort Team: http://www.snort.org/snort/snort-team
　　Copyright (C) 1998-2012 Sourcefire, Inc., et al.
　　Using libpcap version 1.3.0
　　Using PCRE version: 8.31 2012-07-06
　　Using ZLIB version: 1.2.7

為了后面的可視化，系統還要有AMP（apache，mysql，php）

可以看這個ubuntu搭建LAMP服務器，

 

接着得為snort創建一個數據庫，和一個用戶

$ mysql –u root –p

mysql> CREATE DATABASE snort;
mysql> grant CREATE, INSERT, SELECT, UPDATE on snort.* to snort@localhost;
mysql> grant CREATE, INSERT, SELECT, UPDATE on snort.* to snort;
mysql> SET PASSWORD FOR snort@localhost=PASSWORD('yourpassword');
mysql> exit

然后根據 README-database.Debian 中的指示建立 snort 數據庫的結構。

cd /usr/share/doc/snort-mysql
zcat create_mysql.gz | mysql -u snort -D snort -p

接着設置snort把log輸出到mysql數據庫中，snort的配置文件在/etc/snort/snort.conf

打開該文件將 HOME_NET 有關項注釋掉，然后將 HOME_NET 設置為本機 IP 所在網絡，將 EXTERNAL_NET 相關項注釋掉，設置其為非本機網絡，如下所示：

#var HOME_NET any
var HOME_NET 192.168.0.0/16
#var EXTERNAL_NET any
var EXTERNAL_NET !$HOME_NET

將 output database 相關項注釋掉，將日志輸出設置到 MySQL 數據庫中

其他關於snort的文章中是直接在snort.conf配置文件中寫下面的配置

output database: log, mysql, user=snort password=yourpassword dbname=snort host=localhost
寫完以后我運行snort總提示

!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!! WARNING: The database output plugins are considered deprecated as
!!          of Snort 2.9.2 and will be removed in Snort 2.9.3.
!!          The recommended approach to logging is to use unified2 with
!!          barnyard2 or similar.
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
database: must enter database name in configuration file

搞了好長時間，發現snort.conf配置文件549行左右有一條

include database.conf

才發現輸出到數據庫的配置，在單獨一個文件中，所以要不就把這行注釋，要不就把上面那句配置寫到database.conf配置文件中，該database.conf文件

與snort.conf配置文件在同一目錄下。

在然后就是我們的數據可視化了

安裝acid-base

sudo apt-get install acidbase

安裝過程中需要輸入 acidbase 選擇使用的數據庫，這里選 MySQL，輸入口令

下載完acidbase是下載到/usr/share/acidbase/

可以直接設置apache 的虛擬目錄指向這或者 cp 過去

sudo cp –R /usr/share/acidbase/ /var/www/

因為 acidbase 目錄下的 base_conf.php 原本是一個符號鏈接指向 /etc/acidbase/ 下的base_conf.php，為了保證權限可控制，我們要刪除這個鏈接並新建 base_conf.php 文件

sudo rm base_conf.php
sudo touch base_conf.php

后面為了配置acidbase先把/var/www/acidbase/的目錄權限改成777,之后在改回來

sudo chmod 777 acidbase

然后打開瀏覽器進去一通設置就OK了

然后別忘記把目錄權限該回來

sudo chmod 755 acidbase

這樣就可以了。。。在遇到問題在接着寫