安装snort入侵检测系统
1、登录ids系统
登录实验机后,打开桌面上的putty程序,输入10.1.1.106,再点击Open.。
输入用户名:root,密码:bjhit
2、安装LAMP环境(省略)
在putty里面输入如下命令进行安装
apt-get install mysql-server libapache2-mod-php5 php5-mysql libphp-adodb
注意:因为下载时间太长,会耽误过多的时间,所以提前已经安装好了。
这里给mysql的root用户,设置的密码是123456。
3、安装snort软件包(已安装)
#apt-get install snort-mysql
在安装过程中会提示下图所示信息。(这里是填写监听的网段)
4、创建snortdb数据库
登录mysql mysql -u root -p123456
进入数据库后,创建一个数据库命名为snortdb。
create database snortdb;
grant create, insert, select, update on snortdb.* to snort@localhost;
set password for snort@localhost=password('snortpassword');
创建一个数据库用户,用户名为snort,密码为snortpassword。
将snort-mysql自带的软件包中附带的sql文件,导入到数据库中。
cd /usr/share/doc/snort-mysql/
zcat create_mysql.gz | mysql snortdb -u snort -psnortpassword
rm /etc/snort/db-pending-config
5、配置snort
配置好了数据库后,需要配置Snort配置文件(/etc/snort/snort.conf),告诉snort以后
日志写入到snortdb数据库中。
vi /etc/snort/snort.conf
找到文件中“var HOME_NET any”一行,将其修改为要监控的网络段,
#var HOME_NET any
var HOME_NET 10.1.1.0/24
并启用下面几行,如下:
# var HOME_NET any改为下面
var HOME_NET 10.1.1.0/24
# var HOME_NET any
# Set up the external network addresses as well. A good start may be "any"
#var EXTERNAL_NET any
var EXTERNAL_NET !$HOME_NET
# output database: log, mysql, user=root password=test dbname=db host=localhost为下面
output database: log, mysql, user=snort password=snortpassword dbname=snortdb host=localhost
检测snort.conf配置文件是否正常:
snort -c /etc/snort/snort.conf
出现了小猪猪,就说明成功了,按Ctrl+C停止掉。
启动snort:
service snort start
安装、配置基本分析与安全引擎(BASE)
1、安装acidbase软件包(已安装)
apt-get update 更新源列表
apt-get install acidbase
这里密码都输入123456,要输入几次。
这里需重新创建snort用户
mysql -u root -p123456 #登录mysql
grant create, insert, select, update on snortdb.* to snort@localhost;
set password for snort@localhost=password('snortpassword');
2、配置Apache文件
将acidbase的安装目录复制到/var/www目录中
cp -r /usr/share/acidbase/ /var/www/
修改apache配置文件:(如下图)
vi /etc/apache2/sites-available/default
在文件底部</VirtualHost>一行之前加入acidbase相关内容(上图红框框部分)
配置好了后,需要重启apache2
service apache2 restart
修改php.ini文件
vi /etc/php5/apache2/php.ini
将acidbase目录的权限设置为777
chmod 777 -R /var/www/*
3、配置BASE
将现有的配置文件改名,否则无法使用web界面配置base
mv /etc/acidbase/base_conf.php /etc/acidbase/base_conf.php-orig
还有软链接文件
rm /var/www/acidbase/base_conf.php
现在通过浏览器打开 http://10.1.1.106/acidbase/
开始配置我们的基本安全分析引擎了。
打开上面的网址,出现了如下界面:
单击Continue按钮,进入Step1of5界面,如下图所示:
这里我选择的是简体中文
输入ADODB的路径“/usr/share/php/adodb”,单击提交按钮。
提醒:这里ADODB的路径,可以用如下命令去搜索
find / -name adodb
提交后,进入了Step 2 of 5界面,如下图所示:
输入数据库信息,Pick a Database type:MySQL,Database Name:snortdb,Database Host:127.0.0.1,Database User Name:snort,Database Password:snortpassword
单击下面的提交按钮进入Step 3 of 5,如下图所示:
设置用户名和密码
单击提交按钮,进入Step 4 of 5界面,如下图所示:
单击上图红框框部分,在数据库中创建BASE用到的表。
如果出现:
Successfully created 'acid_ag'
Successfully created 'acid_ag_alert'
Successfully created 'acid_ip_cache'
Successfully created 'acid_event'
Successfully created 'base_roles'
Successfully INSERTED Admin role
Successfully INSERTED Authenticated User role
Successfully INSERTED Anonymous User role
Successfully INSERTED Alert Group Editor role
Successfully created 'base_users'
表示数据表创建成功,单击Now continue to step 5,进入管理界面,如下图:
刷新浏览器页面,就可以看到“端口扫描通信”有数据了,点击进去可以查看详情。
浙公网安备 33010602011771号