歡迎來到Linux教程網
Linux教程網
Linux教程網
Linux教程網
您现在的位置: Linux教程網 >> UnixLinux >  >> Linux管理 >> Linux配置

Snort入侵檢測系統安裝配置

snort有三種工作模式:嗅探器、數據包記錄器、入侵檢測系統。做嗅探器時,它只讀取網絡中傳輸的數據包,然後顯示在控制台上。作數據包記錄器時,它可以將數據包記錄到硬盤上,已備分析之用。入侵檢測模式功能強大,可通過配置實現,但稍顯復雜,snort可以根據用戶事先定義的一些規則分析網絡數據流,並根據檢測結果采取一定的動作 
一.嗅探器配置
1.配置源碼安裝開發環境
      [root@localhost ~]# yum groupinstall "Legacy Software Support" "X Software Development" "Development Libraries" "Development Tools" -y

2.snort安裝,自行下載rpm包
      [root@localhost ~]# rpm -ivh snort-2.8.0.1-1.RH5.i386.rpm
嗅探器的功能比較單一,只是讀取網絡中的數據包,這樣只需要安裝snort就可以了,我們可以測試下snort的運行
[root@localhost ~]# snort -v             //可以看到如下內容
Running in packet dump mode

        --== Initializing Snort ==--
Initializing Output Plugins!
Verifying Preprocessor Configurations!
***
*** interface device lookup found: eth0
***

Initializing Network Interface eth0
Decoding Ethernet on interface eth0

        --== Initialization Complete ==--

   ,,_     -*> Snort! <*-
  o"  )~   Version 2.8.0.1 (Build 72)  
   ''''    By Martin Roesch & The Snort Team: http://www.snort.org/team.html
           (C) Copyright 1998-2007 Sourcefire Inc., et al.
           Using PCRE version: 6.6 06-Feb-2006

Not Using PCAP_FRAMES
02/21-00:50:30.870175 192.168.101.106:22 -> 192.168.101.166:2182
TCP TTL:64 TOS:0x10 ID:6386 IpLen:20 DgmLen:124 DF
***AP*** Seq: 0x59969BDA  Ack: 0x8223B72  Win: 0x4BA  TcpLen: 20
=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+
     另外還有許多的參數可以使用,自己查看一下

二.數據包記錄器配置
數據包記錄器的配置是把我們收集到的信息,存放在我們的硬盤上,其實只是使用snort的一個參數。
[root@localhost ~]# mkdir snort               //創建一個存放信息的目錄
[root@localhost ~]# snort -vde -l ./snort         //使用-l參數指定存放的目錄
[root@localhost ~]# snort -vde -l ./snort &> /dev/null   //不用在屏幕上顯示

三.入侵檢測系統的配置
   本次實驗主要是入侵檢測系統的配置,在前面的基礎之上,再進行如下操作
   在安裝之前,我們先介紹幾個軟件包
mysql  :以mysql作為存放信息的數據庫
apache :apache服務器
php   :php 網頁環境
Libpcap:linux/unix 平台下捕獲數據包的函數庫
adodb : 為php提供數據庫支持
Base  :是基本的分析和安全引擎  ,acid 為項目的代碼為基礎,提供web的前端

1. mysql,php,apache,libpcap安裝
       [root@localhost ~]# yum  install php  php-gd  php-pear  php-mysql  mysql-server httpd  libpcap

2.導入匹配規則
 [root@localhost ~]# tar -zxvf snortrules-snapshot-2.8.tar.gz -C /etc/snort/   //這個需要自己下載,最好下載最新的版本,它是snort判斷某些行為是否是對服務器進行攻擊的規則

3.Base解壓
      [root@localhost ~]# tar -zxvf base-1.4.5.tar.gz -C /var/www/html       //解壓文件
      [root@localhost ~]# mv /var/www/html/base-1.4.5 /var/www/html/base  //修改文件名

4.pear的安裝
      (Pear是PHP擴展與應用庫的縮寫,它是一個php擴展及應用的一個代碼倉庫)
       [root@localhost ~]# pear install --force  PEAR-1.8.1      //在線安裝pear,需要自己的機器能夠連接到網絡
        [root@localhost ~]# pear upgrade pear            //如果不是最新版本的,可以更新一下(可做可不做)
        [root@localhost ~]# pear  install Image_Graph-alpha Image_Canvas-alpha  Image_Color Numbers_Roman Mail_Mime Mail            //安裝關連文件
        [root@localhost base]# cp world_map6.png  world_map6.txt /usr/share/pear/Image/Graph/Images/Maps/            //復制base文件到maps中

5.安裝adobd
        [root@localhost ~]# unzip adodb514.zip 
        [root@localhost ~]# mv adodb5 /var/www/html
        [root@localhost ~]# mv /var/www/html/adodb5 /var/www/html/adobd(這個地方本想用/var/www/html/adodb,寫錯了,但不影響使用,要保證下面的一定要和這個文件名一樣)
        //把adobd放在網頁主目錄下

6.base的安裝
        [root@localhost html]# chmod o+w base        //修改權限,讓其它人可以進行寫入

7.啟動apache
         [root@localhost base]# service httpd start

8. 配置mysql數據庫
          [root@localhost html]# service mysqld start     //啟動mysql數據庫服務
          [root@localhost html]# mysqladmin -uroot password "123"  //修改密碼
          [root@localhost html]# mysql -uroot -p         //進行數據庫
          Enter password: 
          mysql> create database snort;                 //創建snort數據庫,存放snort收集的信息
          Query OK, 1 row affected (0.00 sec)
          mysql> use snort;                            //進入snort數據庫
          Database changed
          mysql> source /usr/share/snort-2.8.0.1/schemas/create_mysql;  //導入snort中數據庫模板

9.修改snort輸入內容存入mysql數據庫
       [root@localhost ~]# vim /etc/snort/snort.conf    //在其中修改如下一行
        output database: alert, mysql, user=root password=123 dbname=snort host=localhost

10.配置環境變量
        [root@localhost ~]# export  PCAP_FRAMES=max

11.安裝snort與mysql連接的工具
        [root@localhost ~]# rpm -ivh snort-mysql-2.8.0.1-1.RH5.i386.rpm      

12.配置圖形界面檢測系統
        在浏覽器中輸入http://192.168.101.106/base      //服務器ip
         如果出現以下錯誤,則需要調整php.ini的配置
         
 


修改如下
  [root@localhost html]# vim /etc/php.ini 
  修改error_reporting  =  E_ALL為 error_reporting  =  E_ALL & ~E_NOTICE   即可
  保存之後,重新啟動httpd服務,刷新頁面
  [root@localhost html]# service httpd restart
 


點擊,進入下一步


點擊,進行下一步


再下一步


繼續下一下


點擊,創建表


創建成功之後,點擊“step 5”進行下一步


輸入帳號與密碼進行登錄
登錄之後出現如下界面


12.測試
首先讓snort掛載配置文件來進行監控
[root@localhost html]# snort -vde -c /etc/snort/snort.conf 
使用工具portscan來掃描服務器,查看監控情況


點擊 start 之後就會出現上面的內容
現在來查看snort掃描情況


點擊10%字樣,可以得到如下詳細內容


點擊第一個,查看一下

Copyright © Linux教程網 All Rights Reserved