- 论坛徽章:
- 0
|
Linux下snort的安装文档:2008-12-05
(zonshy)
一、安装所需要使用的包:
zlib-1.2.3.tar.gz*
-->
jpegsrc.v6b.tar.gz*-->
libpng-1.2.32.tar.bz2*-->fontconfig-2.6.0.tar.gz*zz-->
pcre-7.8.zip*(函数库)-->
libpcap-1.0.0.tar.gz*
(搜集信息使用的抓包工具)-->
xproto-7.0.14.tar.gz*
--> libXpm-3.5.5.tar.bz2* -->
(解决安装GD中出现的xpm安装的问题,实现需要安装X11)
-->gd-2.0.35.tar.gz*
(PHP-GD库)
httpd-2.2.0.tar.bz2*----->
php-5.2.6.tar.bz2*----->
mysql-5.0.22.tar.gz*----->
snort-2.4.5.tar.gz*(入侵检测系统控制台)
snortrules-pr-2.4.tar.gz*
(入侵检测规则库)
acid-0.9.6b23.tar.gz*
adodb472.tgz*
jpgraph-1.26.tar.gz*
二、系统环境:Red
Hat Enterprise AS 4 update 6
三、依赖关系的解决主义事项:
由于jpeg安装的时候默认是不创建文件,所以需要实现就建立完成
mkdir
-pv /usr/local/jpeg6/{,bin,lib,include,man/{,man1},man1}
所有的都可以是如下的安装步骤:
#cd
/path
#./configure
#make
#make
install
按照上面的肩头的方向从上到下安装就行了!当然安装前检查编译器是否安装也是必要的。
1、安装GD
#cd
/your source directory
#./configure
--with-jpeg=/usr/local/jpeg6
#make
#make
2、安装mysql
(如果确定使用源码包来安装,先要确实系统中没有mysql相关的软件包)
#./configure
–prefix=/usr/local/mysql (编译的选项可选择的,注意使用续行符号)
--without-debug
//取出Debug模式
--with-extra-charsets=gb2312
//添加gb2312中文支持
--enable-assembler
//使用一些字符函数的汇编版本
--without-isam
//去掉innodb支持innodb是一中支持事务处理的表,适合企业使用
--with-pthread
//强制使用pthread库
--enable-thread-safe-client
//以线程方式编译客户端
--with-client-ldflags=-all-static
--with-mysqld-ldflags=-all-static
//以纯静态方式编译服务器和客户端
--with-raid //激活raid
#make
#make
install
#useradd
mysql
#./support-files/mysqld_install_db
--user=mysql
#cp
support-files/my-medium.cnf /etc/my.cnf
#cp
support-files/mysql.server /etc/rc.d/init.d/mysqld
#chmod
755 /etc/rc.d/init.d/mysqld
#chkconfig
--add mysqld
#cd
/usr/local/mysql
#chown
-R mysql .
#chown
-R mysql var
#/usr/local/mysql/bin/mysqld_safe
–user=mysql &
#/usr/local/mysql/bin/mysqladmin
-u root -p password 'p@ssw0rd'
3、
安装 httpd
和
php5
#
tar -zxvf httpd
#
cd httpd
#
./configure -- prefix=/usr/local/apache2 --sysconfdir=/etc/httpd
--enable-so
--enable-track-vars
\
--with-png
–with-jpeg –with-freetype
#
make
#
make install
#
cd ..
#
tar -zxvf php-4.3.1.tar.gz
#
cd php-4.3.1
#
./configure --prefix=/usr/local/php5
--with-apxs2=/usr/local/apache2/bin/apxs --enable-sockets
–with-mysql=/usr/local/mysql
--with-mysqli=/usr/local/mysql/bin/mysql_config --with-zlib –with-gd
–with-track-vars
当你看到"Thank
you for using PHP"时,表示一切正常
#make
#make
install
#cp
php.ini-dist /usr/local/php5/lib/php.ini
然后需要编辑
httpd.conf
文件
#vi
/etc/httpd/httpd.conf
找到如下行
AddType
application/x-compress .Z
AddType
application/x-gzip .gz .tgz
添加如下两行:
AddType
application/x-httpd-php .php
AddType
application/x-httpd-php-source .phps
编辑/etc/rc.local文件:
添加:/usr/local/apache2/bin/apachectl
-k start
保存退出!
#vi
/usr/local/apache2/htdocs/test.php
内容如下:
保存,然后地址栏键入
http://你的
linux
的
ip
地址/test.php
如果一切正常的话,你将会看到关于
php
的信息的一个页面。
4、安装
snort
和
Snort
规则
#
mkdir /etc/snort
#
mkdir /var/log/snort
#
cd /root/snortinstall/
#
tar -zxvf snort-2.4.5.tar.gz
#
cd snort-2.4.5
#
./configure --with-mysql=/usr/local/mysql
#
make
#
make install
安装规则和配置文件
#
tar -zxvf snortrules-pr-2.4.tar.gz
#
cd rules/
#
cp * /etc/snort/
#
cd ../etc/
#
cp snort.conf /etc/snort/
#
cp *.config /etc/snort/
接下来需要修改
snort
的配置文件/etc/snort/snort.conf
从
snort.conf
文件说明我们大致可以知道,需要做一下
4
件事情
(1):
设置网络变量
(2):
配置处理器
(3):
配置输出插件
(4):
定制规则集合
在以上四个步骤中,需要我们参与的主要就是(1),(3)和(4).
首先修改你的网络变量
var
HOME_NET 192.168.1.0/24
(这个是我的机器所在的局域网地址范围)
然后需要修改规则的存储路径:
var
RULE_PATH /etc/snort/
设置数据库的存储
output
database: log, mysql, user=root password=p@ssw0rd dbname=snort
host=localhost
接下来,需要在
mysql
中建立起
snort
数据库.设置数据库连接的密码
#
/usr/local/mysql/bin/mysql
-uroot
[email=-pp@ssword]-pp@ssword[/email]
mysql>
create database snort;
mysql>
grant INSERT, SELECT,DELETE on root.* to snort@localhost;
mysql>
\q
下来导入数据库表
#
/usr/local/mysql/bin/mysql -p
然后下来就可以看我们的数据库是否导入成功了
[root@localhost
contrib]# /usr/local/mysql/bin/mysql -p
Enter
password:
Welcome
to the MySQL monitor. Commands end with ; or \g.
Your
MySQL connection id is 5 to server version: 4.0.27-log
Type
'help;' or '\h' for help. Type '\c' to clear the buffer.
mysql>
show databases; (显示数据库)
+------------+
|
Database |
+------------+
|
mysql |
|
snort |
|
test |
+--------
---+
3
rows in set (0.00 sec)
mysql>
use snort;
Database
changed
mysql>
show tables;
mysql>exit;
一切正常。
5、安装
JPGraph
#
cp jpgraph-1.21b.tar.gz /usr/local/apache2/htdocs/
#
cd /usr/local/apache2/htdocs
#
tar -zxvf jpgraph-1.21b.tar.gz
#
rm -fr jpgraph-1.21b.tar.gz
#
cd jpgraph-1.21b/
6、安装
ADODB
#
cp adodb330.tar /usr/local/apache2/htdocs/
#
cd /usr/local/apache2/htdocs
#
tar -zxvf adodb330.tar
#
rm -fr adodb330.tar
7、安装并且配置
ACID
#
cp acid-0.9.6b23.tar.gz /usr/local/apache2/htdocs/
#
cd /usr/local/apache2/htdocs/
#
tar -zxvf acid-0.9.6b23.tar.gz
#
rm -fr acid-0.9.6b23.tar.gz
8、配置
acid
#
cd /usr/local/apache2/htdocs/acid/
#
vi acid_conf.php
修改
CODE:
$DBlib_path
= " ";
为
CODE:
$DBlib_path
= "/www/htdocs/adodb";
还有
CODE:
$alert_dbname
= "snort";
$alert_host
= "localhost";
$alert_port
= "";
$alert_user
= "root";
$alert_password
= "mysql";
/*
Archive DB connection parameters */
$archive_dbname
= "snort";
$archive_host
= "localhost";
$archive_port
= "";
$archive_user
= "root";
$archive_password
= "mysql";
这几项进行修改。
修改
CODE:
$ChartLib_path
= "";
为
CODE:
$ChartLib_path
= "/usr/local/apache2/htdocs/jpgraph-1.21b/src";
进入
snort.conf配置文件中,找到如下几行,把行前的#去掉:
#
include $RULE_PATH/web-attacks.rules
#
include $RULE_PATH/backdoor.rules
#
include $RULE_PATH/shellcode.rules
#
include $RULE_PATH/policy.rules
#
include $RULE_PATH/porn.rules
#
include $RULE_PATH/info.rules
#
include $RULE_PATH/icmp-info.rules
include
$RULE_PATH/virus.rules
#
include $RULE_PATH/chat.rules
#
include $RULE_PATH/multimedia.rules
#
include $RULE_PATH/p2p.rules
include
$RULE_PATH/experimental.rules
保存并退出当前文档。然后在地址栏键入:
http://linux
中的
ip
地址/acid/acid_main.php
如果一切正常的话,将能看到
“Analysis
Console for Intrusion Databases”
这个标题,下面有个
“Use
the Setup page to configure and optimize the DB”
的链接,点击链接,
进入 DB
setup 页面,然后点击
“create
acid ag”
会提示
“Successfully
created 'acid_ag'
Successfully
created 'acid_ag_alert'
Successfully
created 'acid_ip_cache'
Successfully
created 'acid_event'”
这时再点击下面的
“ Main
page”
链接,将会进入主页面
如果这些当中有问题的话,请检查你的配置文件和数据库。
然后就可以测试
snort
了
snort
启动的命令很简单
CODE:
snort
-c /etc/snort/snort.conf -i eth0 -D
本文来自ChinaUnix博客,如果查看原文请点:http://blog.chinaunix.net/u2/66138/showart_1784149.html |
|