linux下Snort系统配置文档

Snort配置

1、首先打开系统服务 mysqld、httpd

2、安装mysql-devel：

运行命令：rmp –ivh  mysql-devel-5.1.45-2.fc13.i686.rpm

3、安装libcap：

(1)、解压缩：tar –zxvf  libpcap-1.0.0.tar.gz

(2)、cd lipcap-1.0.0

(3)、编译：./configure

(4)、安装：make ，成功之后make install安装

4、安装pcre：

安装包为：pcre-8.00.tar.gz，安装步骤同上。

5、安装apache：

安装包为：apache_1.3.36.tar.gz，安装步骤同上。

安装时可能出现的错误：

      … … make时可能会发生冲突错误（如下）： /usr/include/stdio.h:637:附注：’getline’的一个声明在此。… …

解决方法：将stdio.h中的第637行上的getline定义注释掉或者删除，之后重新make

6、安装snort：

(1)、解压缩文件：tar –zxvf  snort-2.8.5.1.tar.gz

(2)、cd snort-2.8.5.1

(3)、编译：./configure  --with-mysql （安装的snort要支持mysql数据库）

(4)、编译成功后make，成功之后make install 安装snort

(5)、检查snort是否安装成功：命令snort –v 检查是否安装成功

(6)、创建snort用户组和用户：groupadd snort (创建用户组snort)，useradd –g snort snort (创建用户snort)

7、配置snort：

(1)、创建目录：

       mkdir /etc/snort

       mkdir /etc/snort/rules

       mkdir /var/log/snort

(2)、添加rules文件：

Ø  解压缩rules文件：tar –zxvf snortrules-snapshot-CURRENT.tar.gz;

Ø  cd  snortrules-snapshot-CURRENT;

Ø  将rules文件（共57项）全部复制到/etc/snort/rules/目录下：cp * /etc/snort/rules/

(3)、配置snort文件

Ø  到snort安装文件中的etc文件目录下：cd  …/etc

Ø  将snort相关文件复制到/etc/snort下：cp  *  /etc/snort/

(4)、编辑修改/etc/snort下snort.conf：

Ø  将“var RULE_PATH  …/rules”改为“varRULE_PATH  /etc/snort/rules”;

Ø  将snort报警数据记录到mysql数据库：去掉注释：output database :log,mysql,user=snort password=snort dbname=snort host=localhost;其中user是mysql数据库的一个用户，password是相应的登陆密码

8、配置mysql数据库：

    (1)、mysql配置：

Ø  进入mysql数据库（无密码）：mysql

Ø  设置root用户密码（root密码设置为123456）：mysql> SET PASSWORD FORroot@localhost=PASSWORD('123456’);

Ø  创建snort数据库：mysql> create database snort；

Ø  mysql赋予权限：mysql> grant  INSERT,SELECT on root.* to snort@localhost;

Ø  设置snort用户密码（snort密码设置为snort）：mysql> SET PASSWORD FORsnort@localhost=PASSWORD(‘snort’);

Ø  mysql赋予权限：mysql> grantCREATE,INSERT,SELECT,DELETE,UPDATE on snort.* to snort@localhost;

Ø  mysql赋予权限：mysql> grant CREATE,INSERT,SELECT,DELETE,UPDATEon snort.* to snort;

Ø  退出mysql：mysql> exit；

(2)、创建表，检查snort数据库：

Ø  创建snort自带的mysql表（create_mysql）：mysql -u root -p </home/llp/snort/snort-2.8.5.1/schemas/create_mysql snort；

Ø  进入mysql数据库检查：mysql –p，输入密码进入；

Ø  查看数据库mysql> SHOW DATABASES;有四个数据库（4 rows in set）

Ø  查看snort数据库中的表：mysql> use snort进入snort数据库， mysql> SHOW TABLES;可以看到有16个表（16rows in set）。

9、Snort测试：

命令snort –c /etc/snort/snort.conf –i eth0指定snort.conf文件并选择eth0网卡运行snort，使snort工作在报警模式下。如下图为snort正常工作：

10、           安装adodb：

Ø  cd到adodb504.tgz所在目录下；

Ø  cp adodb504.tgz /var/www/；

Ø  cd /var/www；

Ø  解压缩：tar –zxvf adodb504.tgz；

Ø  删除压缩包：rm –rf adodb504.tgz；

11、           安装配置base:

Ø  cd 到base-1.4.5.tar.gz目录下；

Ø  cp base-1.4.5.tar.gz/var/www/html/;

Ø  cd  /var/www/html;

Ø  解压缩：tar –zxvf base-1.4.5.tar.gz;

Ø  删除压缩包：rm –rf base-1.4.5.tar.gz

Ø  重命名，改名为base：mv base-1.4.5 base

Ø  cd /var/www/html/bases

Ø  复制base_conf.php.dist并命名为base_conf.php的文件：cp base_conf.php.dist base_conf.php

Ø  配置base_conf.php文件：

$BASE_urlpath= 'base';  

 $DBlib_path ='/var/www/adodb5/'; 

 $DBtype ='mysql';

 $alert_dbname   = 'snort';

$alert_host    = 'localhost';

$alert_port    = '';

$alert_user    = 'snort';

$alert_password = 'snort';

Ø  进入base界面：http://localhost/base如下图：

Ø  点击“setup”编译优化base数据库，之后点击“Create BASE AG”如下图：

Ø  点击“Main page”进入BASE主界面，如图：

Ø  注：snort_conf.php中可以选择语言种类，默认是$BASE_Language = 'english'; 此处可以修改为 “chinese” 中文显示。

12、           安装配置phpMyAdmin:

Ø  安装过程同上base，将phpMyAdmin-3.3.10-all-languages.tar.gz解压缩到/var/www/html/下，文件夹可重命名为phpmyadmin；

Ø  在phpmyadmin目录下，cp config.sample.inc.php config.inc.php

Ø  修改配置config.inc.php：设置界面登陆口令：

           $cfg['Servers'][$i]['controluser'] ='root';

          $cfg['Servers'][$i]['controlpass'] = '123456';

Ø  注：要保证修改后的config.inc.php的只读权限，否则权限出错。

Ø  进入phpmyadmin界面，http://localhost/phpmyadmin，如下图所示

 

 

;