linux入侵檢測系統snort安裝配置

時間  2019-11-09
標籤 linux 入侵 檢測 系統 snort 安裝 配置 欄目 Linux 简体版
原文   原文鏈接

隊長讓俺瞅瞅snort,沒想到安裝配置都遇到問題。。。整理下過程,給跟我同樣的傢伙看看。。php

因爲本人機器是ubuntu,apt-get 幾下就能夠了,其實網上有很多這樣的文章。。。之因此還要寫就是。。。看他們的文章踩到坑了html

 

ubuntu安裝mysql

sudo apt-get install snort

sudo apt-get install -f  #若是缺乏啥包,能夠用這個命令,會自動下載安裝關聯包,若是能夠正常使用,該命令可忽略

sudo apt-get install snort-mysql #把snort的日誌都輸出到mysql數據庫的插件,爲了後面的可視化

下面是個人snort的版本

  ,,_ -*> Snort! <*-
  o" )~ Version 2.9.2.2 IPv6 GRE (Build 121)
  '''' By Martin Roesch & The Snort Team: http://www.snort.org/snort/snort-team
  Copyright (C) 1998-2012 Sourcefire, Inc., et al.
  Using libpcap version 1.3.0
  Using PCRE version: 8.31 2012-07-06
  Using ZLIB version: 1.2.7sql

爲了後面的可視化,系統還要有AMP(apache,mysql,php)數據庫

能夠看這個ubuntu搭建LAMP服務器apache

 

接着得爲snort建立一個數據庫,和一個用戶ubuntu

$ mysql –u root –p

mysql> CREATE DATABASE snort;
mysql> grant CREATE, INSERT, SELECT, UPDATE on snort.* to snort@localhost;
mysql> grant CREATE, INSERT, SELECT, UPDATE on snort.* to snort;
mysql> SET PASSWORD FOR snort@localhost=PASSWORD('yourpassword');
mysql> exit

而後根據 README-database.Debian 中的指示創建 snort 數據庫的結構。瀏覽器

cd /usr/share/doc/snort-mysql
zcat create_mysql.gz | mysql -u snort -D snort -p

接着設置snort把log輸出到mysql數據庫中,snort的配置文件在/etc/snort/snort.conf服務器

打開該文件將 HOME_NET 有關項註釋掉,而後將 HOME_NET 設置爲本機 IP 所在網絡,將 EXTERNAL_NET 相關項註釋掉,設置其爲非本機網絡,以下所示:網絡

#var HOME_NET any
var HOME_NET 192.168.0.0/16
#var EXTERNAL_NET any
var EXTERNAL_NET !$HOME_NET

將 output database 相關項註釋掉,將日誌輸出設置到 MySQL 數據庫中

其餘關於snort的文章中是直接在snort.conf配置文件中寫下面的配置

output database: log, mysql, user=snort password=yourpassword dbname=snort host=localhost
寫完之後我運行snort總提示

!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!! WARNING: The database output plugins are considered deprecated as
!!          of Snort 2.9.2 and will be removed in Snort 2.9.3.
!!          The recommended approach to logging is to use unified2 with
!!          barnyard2 or similar.
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
database: must enter database name in configuration file

搞了好長時間,發現snort.conf配置文件549行左右有一條

include database.conf

才發現輸出到數據庫的配置,在單獨一個文件中,因此要不就把這行註釋,要不就把上面那句配置寫到database.conf配置文件中,該database.conf文件

與snort.conf配置文件在同一目錄下。

在而後就是咱們的數據可視化了

安裝acid-base

sudo apt-get install acidbase

安裝過程當中須要輸入 acidbase 選擇使用的數據庫,這裏選 MySQL,輸入口令

下載完acidbase是下載到/usr/share/acidbase/

能夠直接設置apache 的虛擬目錄指向這或者 cp 過去

sudo cp –R /usr/share/acidbase/ /var/www/

由於 acidbase 目錄下的 base_conf.php 本來是一個符號連接指向 /etc/acidbase/ 下的base_conf.php,爲了保證權限可控制,咱們要刪除這個連接並新建 base_conf.php 文件

sudo rm base_conf.php
sudo touch base_conf.php

後面爲了配置acidbase先把/var/www/acidbase/的目錄權限改爲777,以後在改回來

sudo chmod 777 acidbase

而後打開瀏覽器進去一通設置就OK了

而後別忘記把目錄權限該回來

sudo chmod 755 acidbase

這樣就能夠了。。。在遇到問題在接着寫

相關文章
相關標籤/搜索
每日一句
    每一个你不满意的现在,都有一个你没有努力的曾经。
本站公眾號
   歡迎關注本站公眾號,獲取更多信息
聯繫我們 最近搜索 最新文章 沪ICP备13005482号-10 MyBatis教程 SQL 教程 MySQL教程 Java 教程 Thymeleaf 教程 Hibernate教程 Spring教程 Redis教程