Linux下snort的安装文档

zonshy

               
       
       
       
       
       
       
Linux下snort的安装文档：2008-12-05
（zonshy）
一、安装所需要使用的包：
zlib-1.2.3.tar.gz*
-->   
jpegsrc.v6b.tar.gz*-->

libpng-1.2.32.tar.bz2＊-->fontconfig-2.6.0.tar.gz*zz-->
pcre-7.8.zip*（函数库）-->
   libpcap-1.0.0.tar.gz*
（搜集信息使用的抓包工具）-->
xproto-7.0.14.tar.gz*
--> libXpm-3.5.5.tar.bz2* -->
(解决安装GD中出现的xpm安装的问题，实现需要安装X11）
-->gd-2.0.35.tar.gz*
（PHP－GD库）
httpd-2.2.0.tar.bz2*----->
  php-5.2.6.tar.bz2*----->
  mysql-5.0.22.tar.gz*----->
snort-2.4.5.tar.gz*（入侵检测系统控制台）
snortrules-pr-2.4.tar.gz*
（入侵检测规则库）
acid-0.9.6b23.tar.gz*
adodb472.tgz*
jpgraph-1.26.tar.gz*
二、系统环境：Red
Hat Enterprise AS 4 update 6
三、依赖关系的解决主义事项：
       由于jpeg安装的时候默认是不创建文件，所以需要实现就建立完成
        mkdir
-pv /usr/local/jpeg6/{,bin,lib,include,man/{,man1},man1}
所有的都可以是如下的安装步骤：
                #cd
/path
                #./configure
                #make
                #make
install
      
按照上面的肩头的方向从上到下安装就行了！当然安装前检查编译器是否安装也是必要的。
1、安装GD
        #cd
/your source directory       
        #./configure
--with-jpeg=/usr/local/jpeg6               
        #make
        #make
2、安装mysql
(如果确定使用源码包来安装，先要确实系统中没有mysql相关的软件包)
    #./configure
–prefix=/usr/local/mysql   (编译的选项可选择的，注意使用续行符号）
        --without-debug
  //取出Debug模式
        --with-extra-charsets=gb2312
//添加gb2312中文支持
        --enable-assembler
//使用一些字符函数的汇编版本
        --without-isam
//去掉innodb支持innodb是一中支持事务处理的表，适合企业使用
        --with-pthread
//强制使用pthread库
        --enable-thread-safe-client
//以线程方式编译客户端
        --with-client-ldflags=-all-static
        --with-mysqld-ldflags=-all-static
//以纯静态方式编译服务器和客户端
        --with-raid        //激活raid
    #make
    #make
install
    #useradd
mysql
    #./support-files/mysqld_install_db
--user=mysql
    #cp
support-files/my-medium.cnf /etc/my.cnf
    #cp
support-files/mysql.server /etc/rc.d/init.d/mysqld
    #chmod
755 /etc/rc.d/init.d/mysqld
    #chkconfig
--add mysqld
    #cd
/usr/local/mysql
    #chown
-R mysql .
    #chown
-R mysql var
    #/usr/local/mysql/bin/mysqld_safe
–user=mysql &
    #/usr/local/mysql/bin/mysqladmin
-u root -p password 'p@ssw0rd'
3、
安装 httpd
和
php5
            #
tar -zxvf httpd
            #
cd httpd
            #
./configure  -- prefix=/usr/local/apache2  --sysconfdir=/etc/httpd
--enable-so
  --enable-track-vars
\
--with-png
–with-jpeg –with-freetype
            #
make
            #
make install
            #
cd ..
            #
tar -zxvf php-4.3.1.tar.gz
            #
cd php-4.3.1
            #
./configure --prefix=/usr/local/php5
--with-apxs2=/usr/local/apache2/bin/apxs  --enable-sockets
–with-mysql=/usr/local/mysql
--with-mysqli=/usr/local/mysql/bin/mysql_config  --with-zlib –with-gd
–with-track-vars
当你看到"Thank
you for using PHP"时，表示一切正常
            #make
            #make
install
            #cp
php.ini-dist    /usr/local/php5/lib/php.ini
然后需要编辑
httpd.conf
文件
            #vi
/etc/httpd/httpd.conf
找到如下行
            AddType
application/x-compress .Z
            AddType
application/x-gzip .gz .tgz
添加如下两行：
           AddType
application/x-httpd-php .php
           AddType
application/x-httpd-php-source .phps
编辑/etc/rc.local文件：
         
添加：/usr/local/apache2/bin/apachectl
-k start
          保存退出！
              #vi
/usr/local/apache2/htdocs/test.php
内容如下：
            
保存，然后地址栏键入
http://你的
linux
的
ip
地址/test.php
如果一切正常的话，你将会看到关于
php
的信息的一个页面。
4、安装
snort
和
Snort
规则
           #
mkdir /etc/snort
           #
mkdir /var/log/snort
           #
cd /root/snortinstall/
           #
tar -zxvf snort-2.4.5.tar.gz
           #
cd snort-2.4.5
           #
./configure --with-mysql=/usr/local/mysql
           #
make
           #
make install
安装规则和配置文件
           #
tar -zxvf snortrules-pr-2.4.tar.gz
           #
cd rules/
           #
cp * /etc/snort/
           #
cd ../etc/
           #
cp snort.conf /etc/snort/
           #
cp *.config /etc/snort/
接下来需要修改
snort
的配置文件/etc/snort/snort.conf
           从
snort.conf
文件说明我们大致可以知道，需要做一下
4
件事情
           (1):
设置网络变量
           (2):
配置处理器
           (3):
配置输出插件
           (4):
定制规则集合
      在以上四个步骤中，需要我们参与的主要就是(1)，(3)和(4).
          首先修改你的网络变量
         var
HOME_NET 192.168.1.0/24
(这个是我的机器所在的局域网地址范围)
然后需要修改规则的存储路径：
         var
RULE_PATH /etc/snort/
设置数据库的存储
         output
database: log, mysql, user=root password=p@ssw0rd dbname=snort
host=localhost
接下来，需要在
mysql
中建立起
snort
数据库.设置数据库连接的密码
         #
/usr/local/mysql/bin/mysql
-uroot

[email=-pp@ssword]-pp@ssword[/email]

         mysql>
create database snort;
         mysql>
grant INSERT, SELECT,DELETE on root.* to snort@localhost;
         mysql>
\q
下来导入数据库表
          #
/usr/local/mysql/bin/mysql -p
然后下来就可以看我们的数据库是否导入成功了
      [root@localhost
contrib]# /usr/local/mysql/bin/mysql -p
            Enter
password:
          Welcome
to the MySQL monitor. Commands end with ; or \g.
          Your
MySQL connection id is 5 to server version: 4.0.27-log
          Type
'help;' or '\h' for help. Type '\c' to clear the buffer.
            mysql>
show databases; (显示数据库）
          +------------+
           |
Database   |
          +------------+
           |
mysql         |
           |
snort          |
           |
test            |
          +--------
---+
          3
rows in set (0.00 sec)
          mysql>
use snort;
          Database
changed
          mysql>
show tables;
        
   
         mysql>exit;
一切正常。
5、安装
JPGraph
      #
cp jpgraph-1.21b.tar.gz /usr/local/apache2/htdocs/
      #
cd /usr/local/apache2/htdocs
      #
tar -zxvf jpgraph-1.21b.tar.gz
      #
rm -fr jpgraph-1.21b.tar.gz
      #
cd jpgraph-1.21b/
6、安装
ADODB
      #
cp adodb330.tar /usr/local/apache2/htdocs/
      #
cd /usr/local/apache2/htdocs
      #
tar -zxvf adodb330.tar
      #
rm -fr adodb330.tar
7、安装并且配置
ACID
      #
cp acid-0.9.6b23.tar.gz /usr/local/apache2/htdocs/
      #
cd /usr/local/apache2/htdocs/
      #
tar -zxvf acid-0.9.6b23.tar.gz
      #
rm -fr acid-0.9.6b23.tar.gz
8、配置
acid
       #
cd /usr/local/apache2/htdocs/acid/
       #
vi acid_conf.php
修改
CODE:
$DBlib_path
= " ";
为
CODE:
$DBlib_path
= "/www/htdocs/adodb";
还有
CODE:
              $alert_dbname
= "snort";
              $alert_host
= "localhost";
              $alert_port
= "";
              $alert_user
= "root";
              $alert_password
= "mysql";
               /*
Archive DB connection parameters */
              $archive_dbname
= "snort";
              $archive_host
= "localhost";
              $archive_port
= "";
              $archive_user
= "root";
              $archive_password
= "mysql";
这几项进行修改。
   修改
CODE:
$ChartLib_path
= "";
为
CODE:
$ChartLib_path
= "/usr/local/apache2/htdocs/jpgraph-1.21b/src";
进入
snort.conf配置文件中，找到如下几行，把行前的＃去掉：
#
include $RULE_PATH/web-attacks.rules
#
include $RULE_PATH/backdoor.rules
#
include $RULE_PATH/shellcode.rules
#
include $RULE_PATH/policy.rules
#
include $RULE_PATH/porn.rules
#
include $RULE_PATH/info.rules
#
include $RULE_PATH/icmp-info.rules
include
$RULE_PATH/virus.rules
#
include $RULE_PATH/chat.rules
#
include $RULE_PATH/multimedia.rules
#
include $RULE_PATH/p2p.rules
include
$RULE_PATH/experimental.rules
保存并退出当前文档。然后在地址栏键入：
http://linux
中的
ip
地址/acid/acid_main.php
如果一切正常的话，将能看到
“Analysis
Console for Intrusion Databases”
   这个标题，下面有个
    “Use
the Setup page to configure and optimize the DB”
   的链接，点击链接，
进入 DB
setup 页面，然后点击
             “create
acid ag”
会提示
             “Successfully
created 'acid_ag'
                Successfully
created 'acid_ag_alert'
                Successfully
created 'acid_ip_cache'
                Successfully
created 'acid_event'”
   这时再点击下面的
        “ Main
page”
     链接，将会进入主页面
     如果这些当中有问题的话，请检查你的配置文件和数据库。
     然后就可以测试
snort
了
snort
启动的命令很简单
CODE:
      snort
-c /etc/snort/snort.conf -i eth0 -D
               
               

本文来自ChinaUnix博客，如果查看原文请点：http://blog.chinaunix.net/u2/66138/showart_1784149.html