歡迎來到Linux教程網
Linux教程網
Linux教程網
Linux教程網
您现在的位置: Linux教程網 >> UnixLinux >  >> Linux基礎 >> Linux教程

如何在Ubuntu上安裝Snort入侵檢測系統

Snort作為一款優秀的開源主機入侵檢測系統,在windows和Linux平台上均可安裝運行。Ubuntu作為一個以桌面應用為主的Linux操作系統,同樣也可以安裝Snort。

安裝Snort過程

[安裝LAMP,Snort和一些軟件庫]

由於 Ubuntu 是 Debian 系的 Linux,安裝軟件非常簡單,而且 Ubuntu 在中國科技大學有鏡像,在教育網和科技網下載速度非常快(2~6M/s),就省掉了出國下載安裝包的麻煩,只需要一個命令即可在幾十秒鐘內安裝好所有軟件。這裡使用 Ubuntu 默認命令行軟件包管理器 apt 來進行安裝。

$ sudo apt-get install libpcap0.8-dev libmysqlclient15-dev mysql-client-5.0 mysql-server-5.0 bison flex apache2 libapache2-mod-php5 php5-gd php5-mysql libphp-adodb php-pear pcregrep snort snort-rules-default

需要注意的是在安裝 MySQL 數據庫時會彈出設置 MySQL 根用戶口令的界面,臨時設置其為“test”。

[在 MySQL 數據庫中為 Snort 建立數據庫]

Ubuntu 軟件倉庫中有一個默認的軟件包 snort-mysql 提供輔助功能,用軟件包管理器下載安裝這個軟件包。

$ sudo apt-get install snort-mysql

安裝好之後查看幫助文檔:

$ less /usr/share/doc/snort-mysql/README-database.Debian

根據幫助文檔中的指令,在 MySQL 中建立 Snort 的數據庫用戶和數據庫。所使用的命令如下:

$ mysql –u root –p

在提示符處輸入上面設置的口令 test

mysql> CREATE DATABASE snort;
mysql> grant CREATE, INSERT, SELECT, UPDATE on snort.* to snort@localhost;
mysql> grant CREATE, INSERT, SELECT, UPDATE on snort.* to snort;
mysql> SET PASSWORD FOR snort@localhost=PASSWORD('snort-db');
mysql> exit

以上命令的功能是在 MySQL 數據庫中建立一個 snort 數據庫,並建立一個 snort 用戶來管理這個數據庫,設置 snort 用戶的口令為 snort-db。

然後根據 README-database.Debian 中的指示建立 snort 數據庫的結構。

$ cd /usr/share/doc/snort-mysql
$ zcat create_mysql.gz | mysql -u snort -D snort -psnort-db

這樣就為 snort 在 MySQL 中建立了數據庫的結構,其中包括各個 snort 需要使用的表。

[設置 snort 把 log 文件輸出到 MySQL 數據庫中]

修改 Snort 的配置文件:/etc/snort/snort.conf

$ sudo vim /etc/snort/snort.conf

在配置文件中將 HOME_NET 有關項注釋掉,然後將 HOME_NET 設置為本機 IP 所在網絡,將 EXTERNAL_NET 相關項注釋掉,設置其為非本機網絡,如下所示:

#var HOME_NET any
var HOME_NET 192.168.0.0/16
#var EXTERNAL_NET any
var EXTERNAL_NET !$HOME_NET

將 output database 相關項注釋掉,將日志輸出設置到 MySQL 數據庫中,如下所示:

output database: log, mysql, user=snort password=snort-db dbname=snort host=localhost
#output database: log, mysql

這樣,snort 就不再向 /var/log/snort 目錄下的文件寫記錄了,轉而將記錄存放在 MySQL 的snort數據庫中。這時候可以測試一下 Snort 工作是否正常:

$ sudo snort -c /etc/snort/snort.conf

如果出現一個用 ASCII 字符畫出的小豬,那麼 Snort 工作就正常了,可以使用 Ctrl-C 退出;如果 Snort 異常退出,就需要查明以上配置的正確性了。

Copyright © Linux教程網 All Rights Reserved