Snort+安装手册.docx
《Snort+安装手册.docx》由会员分享,可在线阅读,更多相关《Snort+安装手册.docx(60页珍藏版)》请在冰豆网上搜索。
Snort+安装手册
Snort安装手册
Snort+Apache+PHP+MySQL+Acid
andRedhat9.0
CreatedbyShian-YangShiu,2003/07/22
Updatebyantony,2003/08/07
新增phpmyadmin,mysqlgui设定
http:
//www.antony.idv.tw
目录
1.简介1
2.安装Redhat9.0操作系统(文字模式安装)2
3.Redhat9.0的安装过程。
3
4.调整Redhat9.0的设定18
5.下载安装相关系统软件22
6.安装相关系统软件23
6.1.安装zlib1.1.423
6.2.安装LibPcap0.7.223
6.3.安装MySQL4.0.1323
6.4.安装Apache2.0.46含PHP4.3.225
6.5.安装Snort2.0.0及SnortRules30
6.6.设定MySQL相关设定34
6.7.安装JPGraph1.12.236
6.8.安装Adodb35036
6.9.安装Acid0.9.6b23及设定37
7.安装phpmyadmin42
8.安装mysqlodbc44
9.安装mysqlgui48
9.1.下载mysqlguiforwin3248
9.2.执行mysqlgui48
9.3.设定连接的数据库ipdbandusernameoptions49
1.简介
1.Snort是Linux上流传已久的”入侵侦测软件”,它是一个免费使用非商业化
的软件,功能强大并不亚于商品化之软件。
2.Apache为Linux上所提供之WebServer。
3.PHP为开发ApacheServer上的网页程序所需之开发语言。
4.MySQL为Linux上所提供之数据库系统。
5.Acid是一个可以将数据Web化的软件,提供图形化的接口,让使用者可
以一目了然就了解目前资料所有状况。
6.Redhat9.0为目前最新版的Linux操作系统。
7.此篇文章参考http:
//www.snort.org/docs/snort_acid_rh9.pdf,有兴趣的朋友
自己前去抓取研读。
8.若发生上述文件无法设定完成时,可参考小弟之安装方式。
8.有问题可以e-mail与小弟讨论,电子邮件地址devehsu@
入侵侦测软件Snort与其它软件结合,主要可以将文字化的Snort所产生的log(记
录文件)转换成Web接口,以及图形化实时监视画面,让使用者不用再花很长时间
去检视记录文件,可以很快就找到有问题的来源,可以缩减信息人员在数据分析及比对的时间。
2.安装Redhat9.0操作系统(文字模式安装)
1.图形化安装方式请参考附件
2.安装画面是利用Vmware来安装Redhat9.0软件,但小弟试几次,
在文字模式下可以安装完成,但一重开机就会出问题,若用图形安
装模式,到换第二片画面,过一下就出现问题。
请各位自行测试看
看,说不定是小弟机器的问题。
遇此问题时请调整vmwarecdrom的设定
改成auto-detect或光驱实际所在位置.例如e
3.建议各位有兴趣的同好,请用直接安装的方式,可正确安装执行。
4.安装完毕开启X-windows可利用update的方式,将所有相关软件
升级到最新版。
3.Redhat9.0的安装过程。
请直接选”Skip”,按”Enter”
请直接点选”OK”
选取”Chinese(Traditional)”,然后选”OK”.建议选英文,虽然有support中文
选取”US”,然后选取”确定”
选取”适当的鼠标”,然后选取”确定”
选取”自订安装”,然后选取”确定”
选取”自动磁盘分割”,
此处建议手动分割.diskdruid:
/boot100mswapram*1.5其余/
选取”是”
选取”移除系统上所有的Linux分割区”,然后选取”确定”
选取”是”
选取”确定”
选取”确定”即可
选取”确定”
选取”确定”(密码部份可以不管它)
选取”确定”
选取”确定”
取消”使用Bootd/DHCP”,
填上下方”IP地址”、”子网掩码”、”预设网关器的IP地址”及”第一个名称服务器地址”
填上”主机名称”,选取”确定”
选取”中安全性”,然后选”自订”
选取”SSH”、”WWW”,然后选”确定”
选”确定”
直接选取”确定”
选取”亚洲/台北”,然后选”确定”
填入”密码”及”密码确认”,然后点取”确定”
点选”确定”
[套件群组部份]—请选取底下部份
XWindowsSystem
GnomeDesktopEnvironment
KDEDesktopEnvironment(不安装)
Editors
EngineeringandScientific(不安装)
GraphicalInternet
Textbasedinternet
Office/Productivity(不安装)
SoundandVideo(不安装)
AuthoringandPublishing(不安装)
Graphics
GamesandEntertainment(不安装)
Server(全不安装)
Developmenttools
Kerneldevelopment
XSoftwareDevelopment
GnomeSoftwareDevelopment(不安装)
KDESoftwareDevelopment(不安装)
Administration(不安装)
SystemTools
Printingsupport(不安装)
选取”确定”
不做开机磁盘,所以选取”否”
用不到窗口就可以选”略过X窗口设定”
选取”确定”
4.调整Redhat9.0的设定
在文字模式下打入指令”setup”
选取”systemservices”,然后选”RunTool”
开机启动关掉几项服务:
apmd,cups,firstboot,isdn,netfs,nfslock,pcmcia,
portmap,sgi_fam
然后打入”reboot”,重新开机
5.
下载安装相关系统软件
请先下载须要安装到的软件(请尽量用最稳定的版本)
1.下载MySQL4.0.13版本
http:
//mysql.secsup.org/Downlads/MySQL-4.0/mysql-4.0.13.tar.gz
2.下载Snort2.0.0版本
http:
//www.snort.org/dl/snort-2.0.0.tar.gz
3.下载Apache2.0.47版本
http:
//www.apache.org/dist/httpd/httpd-2.0.47.tar.gz
4.下载Php4.3.2版本
5.下载Adodb3.50版本
6.下载Acid0.9.6b23版本
7.下载Zlib1.1.4版本
8.下载JPGraph1.12.2版本
http:
//www.aditus.nu/jpgraph/downloads/jpgraph-1.12.2.tar.gz
9.下载LibPcap0.7.2版本
http:
//www.tcpdump.org/release/libpcap-0.7.2.tar.gz
先把所有的软件下载到自己的PC再上传至RH9.0目录下。
6.安装相关系统软件
6.1.安装zlib1.1.4
tar–zxvfzlib-1.1.4.tar.gz
cdzlib-1.1.4
./configure;maketest
makeinstall
cd..
6.2.安装LibPcap0.7.2
tar–zxvflibpcap.tar.gz
cdlibpcap-0.7.2
./configure
make
makeinstall
cd..
6.3.安装MySQL4.0.13
建立MySQL使用者和群组:
groupaddmysql
useradd–gmysqlmysql
在/root底下找到檔名叫“.bash_profile”,开启编辑软件找到PATH这行
改成
PATH=$PATH:
$HOME/bin:
/usr/local/mysql/bin
回到放source的目录下
tar–zxvfmysql-4.0.13.tar.gz
cdmysql-4.0.13
./configure--prefix=/usr/local/mysql
make
makeinstall
scripts/mysql_install_db
chown–Rroot/usr/local/mysql
chown–Rmysql/usr/local/mysql/var
chgrp–Rmysql/usr/local/mysql
cpsupport-files/my-f/etc/f
再来编辑/etc/ld.so.conf
加入两行
/usr/local/mysql/lib/mysql和/usr/local/lib
用root执行指令”ldconfig–v”
设定MySQL自动开机执行
找到你安装目录所在的地方
cdmysql-4.0.12/support-files
cpmysql.server/etc/init.d/mysql
cd/etc/rc3.d
ln–s../init.d/mysqlS85mysql
ln–s../init.d/mysqlK85mysql
cd/etc/rc5.d
ln–s../init.d/mysqlS85mysql
ln–s../init.d/mysqlK85mysql
cd../init.d
chmod755mysql
假如安装到这边都没有发生过错误,请利用下面的指令测试看看你安装的MySQL运作正不正常。
指令”ps–ef|grepmysql”
至少要出现上图里的那几项,如果没有请检查看看之前安装过程有无问题。
6.4.安装Apache2.0.46含PHP4.3.2
apache2.0.47
我们将安装apacheserver在根目录的/www底下,你也可以选择你自己喜欢安装的目录;且我们将安装PHP模块整合进apacheserver。
tar–zxvfhttpd-2.0.46.tar.gz
cdhttpd_2.0.46
./configure--prefix=/www–enable-so
make
makeinstall
执行”/www/bin/apachectlstart”确定apache有正常启动执行
执行”/www/bin/apachectlstop”确定apache有正常启动执行
cd..
tar–zxvfphp-4.3.2.tar.gz
这里有问题,若出现--with-jpeg-direrror则不要将gdcompiler即–with-gd错误讯息如下图
cdphp-4.3.2
./configure--prefix=/www/php--with-apxs2=/www/bin/apxs--with-config-file-path=/www/php--enable-sockets--with-mysql=/usr/local/mysql--with-zlib-dir=/usr/local–with-gd(请注意要一次打完)使用copypaste以免打错
make
makeinstall
[root@snortphp-4.3.2]#./configure--prefix=/www/php--with-apxs2=/www/bin/apxs--with-config-file-path=/www/php--enable-sockets--with-mysql=/usr/local/mysql--with-zlib-dir=/usr/local--with-gd
error
configure:
error:
libjpeg.(a|so)notfound.
libtool--finish/root/php-4.3.2/libs
^^^^^^^^^^^^路径请自行修改
cpphp.ini-dist/www/php/php.ini
现在请编辑/www/conf目录底下的档案httpd.conf,找到底下几行
#LoadModulephp4_modulemodules/libphp4.so
#AddTypeapplication/x-httpd-php.php
然后把目录切换到/www/bin底下,执行底下部份指令
cd/www/bin
cpapachectl/etc/init.d/httpd
cd/etc/rc3.d
ln–s../init.d/httpdS85httpd
ln–s../init.d/httpdK85httpd
cd/etc/rc5.d
ln–s../init.d/httpdS85httpd
ln–s../init.d/httpdK85httpd
完成以上的步骤后,建立一个PHP测试档测试看看是否安装设定建立正常
请开启文件编辑软件,在目录/www/htdocs底下建立一个档名”test.php”
打上”
phpphpinfo();?
>”,如下图所示
[root@snorthtdocs]#catindexphpinfo.php
php
phpinfo();
?
>
存储完毕后,联机测试会产生底下画面,表示设定正常执行。
6.5.安装Snort2.0.0及SnortRules
建立使用者及群组
groupaddsnort
useradd–gsnortsnort
mkdir/etc/snort
mkdir/var/log/snort
tar–zxvfsnort-2.0.0.tar.gz
cdsnort-2.0.0
./configure--with-mysql=/usr/local/mysql
make
makeinstall
建立规则文件数据,请切换到来源目录下
cdrules
cp*/etc/snort
cd../etc
cpsnort.conf/etc/snort
cp*.config/etc/snort
修改你所使用的snort.conf文件,此文件放在/etc/snort目录底下
找到此行
#varHOME_NET10.1.1.0/24将其改成你所属的IP网段
如果不做修改可以用内定值
varHOME_NETany
更改底下此行之路径
varRULE_PATH/etc/snort/
找到这行,将其前面的”#”拿掉即可动snort
#preprocessorportscan$HOME_NET43portscan.log
找到此行,并修改部份内容
outputdatabase:
alert,mysql,user=snortpassword=your_passworddbname=snorthost=localhost
上面所提到的your_password请填上自己喜好的密码
以上修改完毕请记得要存盘。
再来将snort设定开机可自动执行
请切换到snort来源目录底下,其底下有个子目录叫”contrib”
cpS99snort/etc/init.d/snort
然后开启编辑软件,编辑/etc/init.d/snort
vi/etc/init.d/snort
找到此行并进行修改
CONFIG=/etc/snort/snort.conf
#SNORT_GID=nogroup
再找到”-g$SNORT_GID”,将此行拿掉,所在之地方如下图所示
切换目录到/etc/init.d
chmod755snort
cd/etc/rc3.d
ln–s../init.d/snortS99snort
ln–s../init.d/snortK99snort
cd/etc/rc5.d
ln–s../init.d/snortS99snort
ln–s../init.d/snortK99snort
6.6.设定MySQL相关设定
/usr/local/mysql/bin/mysql
mysql>setpasswordforroot@localhost=password("sysnet880522");
>QueryOK,0rowsaffected(0.25sec)
mysql>createdatabasesnort;
>QueryOK,1rowaffected(0.01sec)
mysql>grantINSERT,SELECTonroot.*tosnort@localhost;
>QueryOK,0rowsaffected(0.02sec)
mysql>setpasswordforsnort@localhost=password("sysnet880522");
>QueryOK,0rowsaffected(0.25sec)
mysql>grantCREATE,INSERT,SELECT,DELETE,UPDATEonsnort.*tosnort@localhost;
>QueryOK,0rowsaffected(0.02sec)
mysql>grantCREATE,INSERT,SELECT,DELETE,UPDATEonsnort.*tosnort;
mysql>exit
>Bye
将目录切换至snort来源目录下
/usr/local/mysql/bin/mysql-p<./contrib/create_mysqlsnort
>Enterpassword:
切换至snort其子目录contrib下
zcatsnortdb-extra.gz|/usr/local/mysql/bin/mysql–psnort
现在我们来检测snortDB建立是否正确
/usr/local/mysql/bin/mysql–p
>Enterpassword:
mysql>SHOWDATABASES;
+----------+
|Database|
+----------+
|mysql|
|snort|
|test|
+----------+
3rowsinset(0.00sec)
6.7.安装JPGraph1.12.2
切换你所下载之目录下
cpjpgraph-1.12.2.tar.gz/www/htdocs
cd/www/htdocs
tar–zxvfjpgraph-1.12.2.tar.gz
rm–rfjpgraph-1.12.2.tar.gz
cdjpgraph-1.12.2
rm–rfREADME
6.8.安装Adodb350
切换你所下载之目录下
cpadodb350.tgz/www/htdocs/
cd/www/htdocs
tar–zxvfadodb350.tgz
rm–rfadodb350.tgz
6.9.安装Acid0.9.6b23及设定
切换你所下载之目录下
cpacid-9.6b23.tar.gz/www/htdocs
cd/www/htdocs
tar–zxvfacid-0.9.6b23.tar.gz
rm–rfacid-0.9.6b23.tar.gz
设定Acid,请切换至/www/htdocs/acid/目录下,编辑文件名”acid_conf.php”
修改此行
$Dblib_path=”/www/htdocs/adodb”;
$Dbtype=“mysql”;
$alert_dbname=“snort”;
$alert_host=“localhost”;
$alert_port=“”;
$alert_user=“snort”;
$alert_password=“your_password”;
/*ArchiveDBconnectionparameters*/
$archive_dbname=“snort”;
$archive_host=“localhost”;
$archive_port=“”;
$archive_user=“snort”;
$archive_password=“your_password”;
再将页面往下移一小段
找到此行
$ChartLib_path=“/www/htdocs/jpgraph-1.12.2/src”;
/*Fileformatofcharts(‘png’,‘jpeg’,‘gif’)*/
$chart_file_format=“png”;
然后打上你的网址http:
//yourhost/acid/acid_main.php,会产生如下图之网页
点选页面上”setuppage”,然后会产生以下之画面
然后点选右边的”CreateACIDAG”,即完成所有的设定。
最后利用几个指令做最后的检测
ps–ef|grep
servi