ACID的安装(点击大图!)
ACID ***数据库分析控制台,通过WEB界面来查看snort数据的工具。为了使用ACID,用户系统中必须安装Snort,Apache,MYSQL,PHP。他们之间的关系如下:
1:当***者进入用户的网络后,snort根据规则检测到***行为后,根据其配置文件/etc/snort/snort.conf的配置,将信息记录到MYSQL数据库中。
2:用户使用浏览器连接到IDS服务器,请求ACID页面。
3:PHP连接到数据库,提取信息。
4:Apache响应浏览器,用户就可以在浏览器中查看,操作等。
![clip_p_w_picpath001[6]](https://s1.51cto.com/attachment/201105/18/2227948_1305719003hGTS.gif "clip_p_w_picpath001[6]")
将Apache MYSQL PHP装上
![clip_p_w_picpath003[9]](https://s1.51cto.com/attachment/201105/18/2227948_1305719006Wyks.jpg "clip_p_w_picpath003[9]")
安装ACID
以上软件包的作用:
Snort主程序,不用说了。
安装过程中,会创建:
/etc/snort 存放规则和配置文件
/var/log/snort 存放日志
/usr/share/doc/snort-xxx snort文档文件README就在这里。
/usr/sbin/snort-plain 主程序文件
/etc/rc.d/init.d/snortd start restart stop 脚本。
Snort-mysql 代替系统snort的主程序文件,使snort可以支持mysql数据库。
Php-acid ACID软件包。里面一堆的以PHP写的网页。
Php-adodb 跟PHP访问数据库有关,在/ar/www/adodb。
Php-jpgraph JPG图像函数库,ACID采用它来创建***数据的图表。分析图就是靠它来创建的,使用户能更直观的去分析。/var/www/jpgraph-xxx
安装完后创建一个PHP测试页,看看APACHE和PHP安装是否成功。
/var/www/html
Vi index.php
<?
Phpinfo();
?>
配置MYSQL
启动MYSQL,service mysqld start
会提示 需要设置root密码
![clip_p_w_picpath005[9]](https://s1.51cto.com/attachment/201105/18/2227948_1305719007idWv.jpg "clip_p_w_picpath005[9]"){kind=small}
Mysqladmin –u root password test
![clip_p_w_picpath007[4]](https://s1.51cto.com/attachment/201105/18/2227948_1305719008Rp3C.jpg "clip_p_w_picpath007[4]")
创建两个库 snort_log snort_archive
然后需要为这两个数据库创建相关的表,snort保存不同类型的数据需要不同的表。不过,snort软件包已经提供创建表的脚本啦,不用去手动创建。Archive是个长期存储信息的数据库。(假如你只有一个数据库的话,为了提高数据库的效率,你把一些数据从库中删除了,当有一天突然需要用的时候,那你就等着哭吧。所以archive就是专用来保存数据的,你可以把snort_log中的数据全删掉,以提高效率。以前的数据可以去archive中查找)
现在导入表:
>use snort_log;
>source /usr/share/snort-2.8.0.1/schemas/create_mysql;
> use snort_archive;
> source /usr/share/snort-2.8.0.1/schemas/create_mysql;
修改snort配置文件
/etc/snort/snort.conf
改成这样:
![clip_p_w_picpath009[4]](https://s1.51cto.com/attachment/201105/18/2227948_1305719010LLZi.jpg "clip_p_w_picpath009[4]"){kind=small}
让***检测的数据记录到snort_log中。
ACID的配置:
Cp –a /var/www/acid /var/www/html
Copy到网站主目录中,这样你才能访问到呀。
修改配置文件:
Vim /var/www/html/acid/acid_conf.php
![clip_p_w_picpath010[4]](https://s1.51cto.com/attachment/201105/18/2227948_1305719010RRTx.gif "clip_p_w_picpath010[4]")
DBlib_path :adodb的安装路径
![clip_p_w_picpath011[4]](https://s1.51cto.com/attachment/201105/18/2227948_1305719010oDPs.gif "clip_p_w_picpath011[4]")
![clip_p_w_picpath012[4]](https://s1.51cto.com/attachment/201105/18/2227948_1305719010FYst.gif "clip_p_w_picpath012[4]"){kind=small}
php-jpgraph的安装路径
修改/etc/php.ini
我现在使用的ACID是基于PHP4 开发的,之前安装的PHP为版本5,所以有些功能受限,需要更改:
Register_log_arrays =Off 该为 On
Vim/var/www/html/acid/acid_db.inc
![clip_p_w_picpath014[4]](https://s1.51cto.com/attachment/201105/18/2227948_13057190121J8B.jpg "clip_p_w_picpath014[4]"){kind=small}
加个() 使ACID可以正常访问snort_archive。
最后一个
创建ACID用户
Htpasswd –b /var/www/acid-users username userpaassword
![clip_p_w_picpath015[4]](https://s1.51cto.com/attachment/201105/18/2227948_130571901284Km.gif "clip_p_w_picpath015[4]"){kind=small}
启动服务
Service httpd start
Service mysqld start
Snort –c /etc/snort/snort.conf –D
![clip_p_w_picpath017[4]](https://s1.51cto.com/attachment/201105/18/2227948_1305719013jAYx.jpg "clip_p_w_picpath017[4]")
Man snort
![clip_p_w_picpath018[4]](https://s1.51cto.com/attachment/201105/18/2227948_13057190150CDg.gif "clip_p_w_picpath018[4]")
输入URL
![clip_p_w_picpath020[4]](https://s1.51cto.com/attachment/201105/18/2227948_1305719016RStO.jpg "clip_p_w_picpath020[4]")
![clip_p_w_picpath022[4]](https://s1.51cto.com/attachment/201105/18/2227948_1305719019Z7ti.jpg "clip_p_w_picpath022[4]")
安装完毕,不过现在snort不起任何作用,你就算对他发个DOS***,都不带反应的。
![clip_p_w_picpath024[4]](https://s1.51cto.com/attachment/201105/18/2227948_1305719021DSm8.jpg "clip_p_w_picpath024[4]")
因为rules是空的,IDS用规则来去检测,现在没有规则,他还能做什么?
导入规则:
![clip_p_w_picpath026[4]](https://s1.51cto.com/attachment/201105/18/2227948_1305719023KOQb.jpg "clip_p_w_picpath026[4]")
Snort虽说是免费开源的,但他的规则可是需要拿钱买滴。。
![clip_p_w_picpath028[4]](https://s1.51cto.com/attachment/201105/18/2227948_1305719025OT7Z.jpg "clip_p_w_picpath028[4]")
扫了下端口,出现记录了。
![clip_p_w_picpath030[4]](https://s1.51cto.com/attachment/201105/18/2227948_130571902889Ay.jpg "clip_p_w_picpath030[4]")
#snort最新版为2.9.0.4,官方竟然没有给install for RHEL5手册。。。改天体验下2.9.0
转载于:https://blog.51cto.com/whyxx/568081
373
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
