队长让俺瞅瞅snort,没想到安装配置都遇到问题。。。整理下过程,给跟我一样的家伙看看。。

由于本人机器是ubuntu,apt-get 几下就可以了,其实网上有不少这样的文章。。。之所以还要写就是。。。看他们的文章踩到坑了

ubuntu安装

sudo apt-get install snort

sudo apt-get install -f  #如果缺少啥包,可以用这个命令,会自动下载安装关联包,如果可以正常使用,该命令可忽略

sudo apt-get install snort-mysql #把snort的日志都输出到mysql数据库的插件,为了后面的可视化

下面是我的snort的版本

  ,,_ -*> Snort! <*-
  o" )~ Version 2.9.2.2 IPv6 GRE (Build 121)
  '''' By Martin Roesch & The Snort Team: http://www.snort.org/snort/snort-team
  Copyright (C) 1998-2012 Sourcefire, Inc., et al.
  Using libpcap version 1.3.0
  Using PCRE version: 8.31 2012-07-06
  Using ZLIB version: 1.2.7

为了后面的可视化,系统还要有AMP(apache,mysql,php)

可以看这个ubuntu搭建LAMP服务器

接着得为snort创建一个数据库,和一个用户

$ mysql –u root –p

mysql> CREATE DATABASE snort;

mysql> grant CREATE, INSERT, SELECT, UPDATE on snort.* to snort@localhost;

mysql> grant CREATE, INSERT, SELECT, UPDATE on snort.* to snort;

mysql> SET PASSWORD FOR snort@localhost=PASSWORD('yourpassword');

mysql> exit

然后根据 README-database.Debian 中的指示建立 snort 数据库的结构。

cd /usr/share/doc/snort-mysql

zcat create_mysql.gz | mysql -u snort -D snort -p

接着设置snort把log输出到mysql数据库中,snort的配置文件在/etc/snort/snort.conf

打开该文件将 HOME_NET 有关项注释掉,然后将 HOME_NET 设置为本机 IP 所在网络,将 EXTERNAL_NET 相关项注释掉,设置其为非本机网络,如下所示:

#var HOME_NET any
var HOME_NET 192.168.0.0/16
#var EXTERNAL_NET any
var EXTERNAL_NET !$HOME_NET

将 output database 相关项注释掉,将日志输出设置到 MySQL 数据库中

其他关于snort的文章中是直接在snort.conf配置文件中写下面的配置

output database: log, mysql, user=snort password=yourpassword dbname=snort host=localhost
写完以后我运行snort总提示

!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!

!! WARNING: The database output plugins are considered deprecated as

!!          of Snort 2.9. and will be removed in Snort 2.9..

!!          The recommended approach to logging is to use unified2 with

!!          barnyard2 or similar.

!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!

database: must enter database name in configuration file

搞了好长时间,发现snort.conf配置文件549行左右有一条

include database.conf

才发现输出到数据库的配置,在单独一个文件中,所以要不就把这行注释,要不就把上面那句配置写到database.conf配置文件中,该database.conf文件

与snort.conf配置文件在同一目录下。

在然后就是我们的数据可视化了

安装acid-base

sudo apt-get install acidbase

安装过程中需要输入 acidbase 选择使用的数据库,这里选 MySQL,输入口令

下载完acidbase是下载到/usr/share/acidbase/

可以直接设置apache 的虚拟目录指向这或者 cp 过去

sudo cp –R /usr/share/acidbase/ /var/www/

因为 acidbase 目录下的 base_conf.php 原本是一个符号链接指向 /etc/acidbase/ 下的base_conf.php,为了保证权限可控制,我们要删除这个链接并新建 base_conf.php 文件

sudo rm base_conf.php

sudo touch base_conf.php

后面为了配置acidbase先把/var/www/acidbase/的目录权限改成777,之后在改回来

sudo chmod  acidbase

然后打开浏览器进去一通设置就OK了

然后别忘记把目录权限该回来

sudo chmod 755 acidbase

这样就可以了。。。在遇到问题在接着写

linux入侵检测系统snort安装配置的更多相关文章

  1. 搭建开源入侵检测系统Snort并实现与防火墙联动

    Snort作为一款优秀的开源主机入侵检测系统,在windows和Linux平台上均可安装运行.BT5作为曾经的一款经典的渗透神器,基于 Ubuntu,里面已经预装很多的应用,比如Mysql.Apach ...

  2. LINUX下NFS系统的安装配置

    准备:NFS系统服务器IP 192.168.135.1 ,NFS共享目录/mnt/NFS 一.安装NFS 查看nfs是否安装 #rpm -qa | grep nfs 若没有则安装nfs包 #yum i ...

  3. 开源入侵检测系统OSSEC搭建之二:客户端安装

    上一篇文章中已经将OSSEC服务端的安装以及客户端的Key导出操作做了解说,接下来在另一台虚拟机中安装客户端,与安装服务端类似同样需要安装ossec,步骤如下. 一.下载ossec-hids-2.8. ...

  4. 开源入侵检测系统OSSEC搭建之一:服务端安装

    OSSEC是一款开源的多平台的入侵检测系统,可以运行于Windows, Linux, OpenBSD/FreeBSD, 以及 MacOS等操作系统中.主要功能有日志分析.完整性检查.rootkit检测 ...

  5. SNORT入侵检测系统

    SNORT入侵检测系统 YxWa · 2015/10/09 10:38 0x00 一条简单的规则 alert tcp 202.110.8.1 any -> 122.111.90.8 80 (ms ...

  6. Snort 入侵检测系统

    Snort 入侵检测系统 一.实验目的 1.掌握snort IDS工作原理 2.应用snort 三种方式工作 二.实验环境 系统环境:Windows环境, kali环境 三.实验原理 1.snort ...

  7. 实验 snort安装配置与规则编写

    1 实验目的 在linux或windows任意一个平台下完成snort的安装,使snort工作在NIDS模式下,并编写符合相关情景要求的snort规则. 2 实验环境 物理机:windows 8.1 ...

  8. 构建基于Suricata+Splunk的IDS入侵检测系统

    一.什么是IDS和IPS? IDS(Intrusion Detection Systems):入侵检测系统,是一种网络安全设备或应用软件,可以依照一定的安全策略,对网络.系统的运行状况进行监视,尽可能 ...

  9. 在Ubuntu 12.04系统中安装配置OpenCV 2.4.3的方法

    在Ubuntu 12.04系统中安装配置OpenCV 2.4.3的方法   对于,在Linux系统下做图像识别,不像在windows下面我们可以利用Matlab中的图像工具箱来实现,我们必须借助Ope ...

随机推荐

  1. erlang 基础知识

    一 数据类型 1. 整数 Integer Erlang可表示任意大的整数,大整数自动转换成bignums类型,比固定大小的整数类型相对效率较低. Base#Value 表示基数不是10的整数.如:2# ...

  2. es6转码器-babel

    babel 基本使用 安装转码规则 # ES2015转码规则 $ npm install --save-dev babel-preset-es2015 # react转码规则 $ npm instal ...

  3. pip install 下载慢的问题

    建个文件 ~/.pip/pip.conf, 内容如下 [global] timeout = 6000 index-url = https://pypi.doubanio.com/simple [ins ...

  4. linux top命令VIRT,RES,SHR,DATA的含义

    VIRT:virtual memory usage 虚拟内存1.进程“需要的”虚拟内存大小,包括进程使用的库.代码.数据等2.假如进程申请100m的内存,但实际只使用了10m,那么它会增长100m,而 ...

  5. OSPF虚链路配置.示例2

    先看一个拓扑图 黄色区域是area0,即骨干区域,如果如图示RT1与RT6之间的链路断了,那么会出现骨干区域被“分裂”的情况,很明显骨干区域是不能被分割开的,出现这种状况的时候可能会影响到整个自制系统 ...

  6. LeetCode100:Same Tree

    Given two binary trees, write a function to check if they are equal or not. Two binary trees are con ...

  7. datagridview自动填充列头

    //填充datagridview dgv.AutoSizeColumnsMode = DataGridViewAutoSizeColumnsMode.Fill;

  8. HDU1003前导和

    简单维护前导和 #include<stdio.h> int main() { ],cas,key=; scanf("%d",&cas); while(cas-- ...

  9. 如何在C#中模拟C++的联合(Union)?[C#, C++] How To Simulate C++ Union In C#?

    1 什么是联合? 联合(Union)是一种特殊的类,一个联合中的数据成员在内存中的存储是互相重叠的.每个数据成员都在相同的内存地址开始.分配给联合的存储区数量是“要包含它最大的数据成员”所需的内存数. ...

  10. 错误"因为数据库正在使用,所以无法获得对数据库的独占访问权"的解决方案

    今天在还原数据库的时候,提示"因为数据库正在使用,所以无法获得对数据库的独占访问权",无论我是重启数据库,还是重启计算机,都不能解决问题,多番尝试后,终于解决了该问题.现将引发该问 ...