系统管理员每天都会检测系统是否运转正常,查看系统日志有没有错误信息报告等等,有时可能会怀疑系统是不是被攻击了,这里我介绍一下Snort入侵检测工具。
Snort可以说是入侵检测软件中比较不错的工具,Snort默认会把信息记录在日志文件中,当然也可以保存在数据库中。
ubuntu系统提供了snort-mysql软件包,可以将Snort的日志保存在Mysql数据库中。当然如果手工查看、分析日志信息比较麻烦,这里需要另一个辅助软件BASE(acidbase软件包),它可以很直观使管理员查看Snort分析的结果。
在安装Snort之前,请确认你的系统是否安装了LAMP,如果没有安装的话,请输入以下命令安装:
$ sudo apt-get install mysql-server libapache2-mod-php5 php5-mysql
libphp-adodb
安装部署Snort工具
1. 安装Snort软件包
$ sudo apt-get install snort-mysql
在安装过程中会提示以下信息
这时,输入的网卡要与你的现在使用的网卡一致,否则安装不成功,查看你的网卡信息使用命令 $
ifconfig
接下来,选择要监听网络段,比如要监听整个192.168.0.0/16这个网络段,就填写上这个网络段,
最后,提示是否设置数据库,选择“Yes”。
安装结束,会提示以下错误信息
这个错误信息,提示我们还没有为snort配置一个mysql数据库。接下来我们为snort创建一个数据库
2. 创snortdb数据库
进入数据库后,创建数据库名为snortdb
创建一个snort的数据库用户,并设置密码为snortpassword
创建好数据库snortdb以后,我们需要将snort-mysql自带的软件包中附带的sql文件导入到数据库中;
$ cd /usr/share/doc/snort-mysql
$ zcat create_mysql.gz | mysql snortdb -u snort -psnortpassword
导入到数据库中以后,可以去snortdb数据库中查看是否导入成功。
如果导入数据完成以后,接着我们需要把/etc/snort/db-pending-config文件删掉,否则snort会认为数据库任然没有准备好。
$ sudo rm /etc/snort/db-pending-config
3. 配置Snort
上一步配置好了数据库,我们需要配置Snort配置文件(/etc/snort/snort.conf),告诉Snort以后日志写入到Snortdb数据库中.
$ sudo nano /etc/snort/snort.conf
首先,找到文件中“var HOME_NET
any”一行,将其修改为我们邀监控的网络段,并启用临近下面几行的“var EXTERNAL_NET !$HOME_NET”,如图配置:
接着,找到该文件中“output
database:log,mysql,”这行,默认它是注释的,如果没有将其注释掉,并在该行的下方填写以下内容,
该设置时将log和alert信息都写入到指定的数据库中。
然后, 检测snort.conf配置文件是否正常:
$ sudo snort -c /etc/snort/snort.conf
如果出现以上信息,有一个小猪出现,则说明配置成功了,按“Ctrl +C”退出。
最后,我们启动snort:
$ sudo /etc/init.d/snort start
启动成功以后需要使用
$ ps aux | grep snort
检测是否snort真的启动成功。一般安装我的步骤做的话是不会成功的,因为还有一个文件(/var/log/snort/alert)的所有者没有修改。
$ sudo chown snort /var/log/snort/alert
再启动snort
$ sudo /etc/init.d/snort start
通过$ ps aux | grep
snort命令,查看是否启动成功。如果没有成功,可以通过/var/log/syslog日志文件查看具体的原因。
这里说一下为什么要先启动一下snort再修改(/var/log/snort/alert文件的所有者,因为默认在/var/log/snort/目录没有alert这个文件,只要通过先启动一下snort就会自动创建一个alert文件。
安装、配置BASE
BASE是Basic Analysis and Security
Engine的缩写,意思是“基本分析与安全引擎”。
1. 安装acidbase软件包
$ sudo apt-get install acidbase
在安装过程中,选择mysql数据库,并输入root用户的密码。
在安装acidbase软件包,会安装一个snort数据库,并且snort用户不能登入数据库,提示以下信息
如果出现这种现象,需要按照安装snort第二步中关于创建snortdb数据库,中重新创建snort用户。snort数据库是一个空数据库,可以将snort数据库删掉,我们只需要snortdb数据库。
2. 配置Apache文件
在配置Apache文件前,处于安全考虑,我们需要先将acidbase的安装目录复制到/var/www目录中,
$ sudo cp -r /usr/share/acidbase/ /var/www/
修改apache配置文件
$ sudo vi /etc/apache2/sites-available/default
在文件的底部,这一行之前,加入acidbase相关的内容:
保存文件,退出后,重新加载apache配置:
$ sudo /etc/init.d/apache2 reload
3. 配置BASE
首先, 将现有的配置文件改名,否则无法使用web界面配置BASE
$ sudo mv /etc/acidbase/base_conf.php /etc/acidbase/base_conf.php-orig
现在通过浏览器打开http://192.168.0.14/acidbase/,开始配置(其中192.168.0.14是系统的ip地址),效果如图:
点击“Continue”,进入Step 1 of 5界面,如图:
选择chinese(繁体中文),不要选择“simplified-chinese”,这个语言文件有问题,估计与acidbase版本有问题。然后输入ADODB的路径“/usr/share/php/adodb”,提交。
进入Step 2 of 5 界面,如图:
输入数据库的信息,包括数据库名、用户名、密码。提交,
进入Step 3 of 5 输入一个用户名密码,用于登录BASE,如图:
提交,进入Step 4 of 5
点击
按钮,在数据库中创建一些BASE用到的表。
如果出现
表示数据表创建成功。点击
进入step 5 of 5,如图:
将生成的配置文件复制下来,并保存
$ sudo vi /etc/acidbase/base_conf.php
将代码保存到base_conf.php文件中。
完成以后,可以通过http://192.168.0.1/acidbase/如图所示,查看Snort截获的入侵日志
注意:上述安装步骤是在Ubutu Server 9.10版本安装测试的。但在Ubuntu Server 10.04
LTS 版本安装到最后一步,查看入侵的详细内容时,会报以下错误:
PHP Fatal error: Call to undefined method
ProtocolFieldCriteria::ProtocolFieldCriteria() in
/var/www/acidbase/includes/base_state_citems.inc.php on line 1034,
错误的原因是Snort在与PHP集成时,因为版本的不同造成的Bug,需要安装最新的Snort版本关于Ubuntu
10.04LTS系统的软件,默认Ubuntu10.04LTS安装的软件还是比较旧的版本。以后有机会在ubuntu10.04LTS测试成功时,再写一个篇关于如何在Ubuntu
10.0LTS系统上安装Snort。
248
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
