ACID的安装(点击大图!)
ACID ***数据库分析控制台,通过WEB界面来查看snort数据的工具。为了使用ACID,用户系统中必须安装Snort,Apache,MYSQL,PHP。他们之间的关系如下:
1:当***者进入用户的网络后,snort根据规则检测到***行为后,根据其配置文件/etc/snort/snort.conf的配置,将信息记录到MYSQL数据库中。
2:用户使用浏览器连接到IDS服务器,请求ACID页面。
3:PHP连接到数据库,提取信息。
4:Apache响应浏览器,用户就可以在浏览器中查看,操作等。
将Apache MYSQL PHP装上
安装ACID
以上软件包的作用:
Snort主程序,不用说了。
安装过程中,会创建:
/etc/snort 存放规则和配置文件
/var/log/snort 存放日志
/usr/share/doc/snort-xxx snort文档文件README就在这里。
/usr/sbin/snort-plain 主程序文件
/etc/rc.d/init.d/snortd start restart stop 脚本。
Snort-mysql 代替系统snort的主程序文件,使snort可以支持mysql数据库。
Php-acid ACID软件包。里面一堆的以PHP写的网页。
Php-adodb 跟PHP访问数据库有关,在/ar/www/adodb。
Php-jpgraph JPG图像函数库,ACID采用它来创建***数据的图表。分析图就是靠它来创建的,使用户能更直观的去分析。/var/www/jpgraph-xxx
安装完后创建一个PHP测试页,看看APACHE和PHP安装是否成功。
/var/www/html
Vi index.php
<?
Phpinfo();
?>
配置MYSQL
启动MYSQL,service mysqld start
会提示 需要设置root密码
Mysqladmin –u root password test
创建两个库 snort_log snort_archive
然后需要为这两个数据库创建相关的表,snort保存不同类型的数据需要不同的表。不过,snort软件包已经提供创建表的脚本啦,不用去手动创建。Archive是个长期存储信息的数据库。(假如你只有一个数据库的话,为了提高数据库的效率,你把一些数据从库中删除了,当有一天突然需要用的时候,那你就等着哭吧。所以archive就是专用来保存数据的,你可以把snort_log中的数据全删掉,以提高效率。以前的数据可以去archive中查找)
现在导入表:
>use snort_log;
>source /usr/share/snort-2.8.0.1/schemas/create_mysql;
> use snort_archive;
> source /usr/share/snort-2.8.0.1/schemas/create_mysql;
修改snort配置文件
/etc/snort/snort.conf
改成这样:
让***检测的数据记录到snort_log中。
ACID的配置:
Cp –a /var/www/acid /var/www/html
Copy到网站主目录中,这样你才能访问到呀。
修改配置文件:
Vim /var/www/html/acid/acid_conf.php
DBlib_path :adodb的安装路径
修改/etc/php.ini
我现在使用的ACID是基于PHP4 开发的,之前安装的PHP为版本5,所以有些功能受限,需要更改:
Register_log_arrays =Off 该为 On
Vim/var/www/html/acid/acid_db.inc
加个() 使ACID可以正常访问snort_archive。
最后一个
创建ACID用户
Htpasswd –b /var/www/acid-users username userpaassword
启动服务
Service httpd start
Service mysqld start
Snort –c /etc/snort/snort.conf –D
Man snort
输入URL
安装完毕,不过现在snort不起任何作用,你就算对他发个DOS***,都不带反应的。
因为rules是空的,IDS用规则来去检测,现在没有规则,他还能做什么?
导入规则:
Snort虽说是免费开源的,但他的规则可是需要拿钱买滴。。
扫了下端口,出现记录了。
#snort最新版为2.9.0.4,官方竟然没有给install for RHEL5手册。。。改天体验下2.9.0
转载于:https://blog.51cto.com/whyxx/568081