linux入侵检测系统snort安装配置

队长让俺瞅瞅snort，没想到安装配置都遇到问题。。。整理下过程，给跟我一样的家伙看看。。

由于本人机器是ubuntu，apt-get 几下就可以了，其实网上有不少这样的文章。。。之所以还要写就是。。。看他们的文章踩到坑了

ubuntu安装

sudo apt-get install snort

sudo apt-get install -f  #如果缺少啥包，可以用这个命令，会自动下载安装关联包，如果可以正常使用，该命令可忽略

sudo apt-get install snort-mysql #把snort的日志都输出到mysql数据库的插件，为了后面的可视化

下面是我的snort的版本

　　,,_ -*> Snort! <*-
　　o" )~ Version 2.9.2.2 IPv6 GRE (Build 121)
　　'''' By Martin Roesch & The Snort Team: http://www.snort.org/snort/snort-team
　　Copyright (C) 1998-2012 Sourcefire, Inc., et al.
　　Using libpcap version 1.3.0
　　Using PCRE version: 8.31 2012-07-06
　　Using ZLIB version: 1.2.7

为了后面的可视化，系统还要有AMP（apache，mysql，php）

可以看这个ubuntu搭建LAMP服务器，

接着得为snort创建一个数据库，和一个用户

$ mysql –u root –p

mysql> CREATE DATABASE snort;
mysql> grant CREATE, INSERT, SELECT, UPDATE on snort.* to snort@localhost;
mysql> grant CREATE, INSERT, SELECT, UPDATE on snort.* to snort;
mysql> SET PASSWORD FOR snort@localhost=PASSWORD('yourpassword');
mysql> exit

然后根据 README-database.Debian 中的指示建立 snort 数据库的结构。

cd /usr/share/doc/snort-mysql
zcat create_mysql.gz | mysql -u snort -D snort -p

接着设置snort把log输出到mysql数据库中，snort的配置文件在/etc/snort/snort.conf

打开该文件将 HOME_NET 有关项注释掉，然后将 HOME_NET 设置为本机 IP 所在网络，将 EXTERNAL_NET 相关项注释掉，设置其为非本机网络，如下所示：

#var HOME_NET any
var HOME_NET 192.168.0.0/16
#var EXTERNAL_NET any
var EXTERNAL_NET !$HOME_NET

将 output database 相关项注释掉，将日志输出设置到 MySQL 数据库中

其他关于snort的文章中是直接在snort.conf配置文件中写下面的配置

output database: log, mysql, user=snort password=yourpassword dbname=snort host=localhost
写完以后我运行snort总提示

!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!! WARNING: The database output plugins are considered deprecated as
!!          of Snort 2.9. and will be removed in Snort 2.9..
!!          The recommended approach to logging is to use unified2 with
!!          barnyard2 or similar.
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
database: must enter database name in configuration file

搞了好长时间，发现snort.conf配置文件549行左右有一条

include database.conf

才发现输出到数据库的配置，在单独一个文件中，所以要不就把这行注释，要不就把上面那句配置写到database.conf配置文件中，该database.conf文件

与snort.conf配置文件在同一目录下。

在然后就是我们的数据可视化了

安装acid-base

sudo apt-get install acidbase

安装过程中需要输入 acidbase 选择使用的数据库，这里选 MySQL，输入口令

下载完acidbase是下载到/usr/share/acidbase/

可以直接设置apache 的虚拟目录指向这或者 cp 过去

sudo cp –R /usr/share/acidbase/ /var/www/

因为 acidbase 目录下的 base_conf.php 原本是一个符号链接指向 /etc/acidbase/ 下的base_conf.php，为了保证权限可控制，我们要删除这个链接并新建 base_conf.php 文件

sudo rm base_conf.php
sudo touch base_conf.php

后面为了配置acidbase先把/var/www/acidbase/的目录权限改成777,之后在改回来

sudo chmod  acidbase

然后打开浏览器进去一通设置就OK了

然后别忘记把目录权限该回来

sudo chmod 755 acidbase

这样就可以了。。。在遇到问题在接着写