ubuntu snort-mysql_安装和配置入侵检测与Snort，ACIDBASE，MySQL和Apache2在Ubuntu 9.04使用SPM...

使用Snort，ACIDBASE，MySQL和Apache2在Ubuntu 9.04上安装和配置入侵检测

本教程介绍如何在Ubuntu 9.04上使用Ubuntu的Synaptic Package Manager软件包安装和配置Snort入侵检测系统(IDS)，ACIDBASE(Basic Analysis and Security Engine)，MySQL和Apache2。 Snort将帮助您监控网络并提醒您有关可能的威胁。 Snort将其日志文件输出到一个MySQL数据库，ACIDBASE将用于在Web浏览器中的图形界面中显示。

系统准备和软件安装

1.1安装

1.2网络与系统配置

将计算机连接到网络。 虽然不同网络配置的数量将允许系统工作，但首选网络配置如下：位于DMZ(非军事区)

NAT的静态IP地址将其IP隐藏在防火墙后面

连接到交换机上的监控端口。

创建名为的新管理员，密码为 。

1.3软件安装

安装完成后，首先要做的是安装Ubuntu推荐的所有更新。 要访问更新，请进入系统>管理>更新管理器 。 输入您的密码，然后选择检查 。 选择安装更新 。

从桌面转到系统>管理>突发包管理器 。 输入您的密码并选择搜索 。

搜索以下软件包并安装它们：酸碱与所有受影响的包装

Snort-MySQL与所有受影响的软件包

MySql-server-5.0与所有受影响的软件包

Libpcap0.8-dev

libmysqlclient15-dev

MySql-client-5.0

野牛

柔性

Apache2

Libapache2-mod-php5

Php5-gd

Php5-mysql

Libphp-adodb

梨梨

SSH

2.获得根访问权

从桌面转到应用程序>附件>终端并键入：

$ sudo -i

$ Then your password.

3.配置Snort

配置文件snort.conf需要修改以适应个人需要。

用文本编辑器(nano，vi，vim等)打开/etc/snort/snort.conf 。

# vim /etc/snort/snort.conf

将var HOME_NET更改为var HOME_NET 192.168.1.0/24 (您的家庭网络可能与192.168.1.0不同)。 如果您有多个网络进行监控，则应按如下方式输入： var HOME_NET [192.168.1.0/24,10.10.1.0/24] 。 将var EXTERNAL_NET更改为var EXTERNAL_NET！$ HOME_NET (这是说明除HOME_NET之外的所有内容都是外部的)。

将var RULE_PATH ../rules更改为var RULE_PATH / etc / snort / rules 。 向下滚动列表到＃输出数据库的部分：log，mysql，user = ，从该行前面删除＃ 。

示例： 输出数据库：log，mysql，user = password = dbname = snort host = localhost (创建新用户时见上文)。

记下用户名，密码和dbname。 当我们设置MySQL数据库时，您将需要这些信息。 保存并退出。

4.设置snort并归档MySQL数据库

4.1 MySQL设置

登录MySQL服务器。

# mysql -u root -p

有时候没有密码设置，所以只需按Enter键即可。

如果您登录失败，请再次尝试上述命令并输入YOUR_PASSWORD 。

如果没有密码，您需要为root帐户创建密码。

注意：一旦你进入MySQL， ＃现在是一个mysql>

mysql> create user @localhost;

mysql> SET PASSWORD FOR r@localhost=PASSWORD(‘’);

mysql> SET PASSWORD FOR root@localhost=PASSWORD(‘);

4.2创建Snort数据库

mysql> create database snort;

mysql> grant INSERT,SELECT on root.* to snort@localhost;

mysql> grant CREATE,INSERT,SELECT,DELETE,UPDATE on snort.* to @localhost;

mysql> grant CREATE,INSERT,SELECT,DELETE,UPDATE on snort.* to snort;

4.3创建存档数据库

mysql> create database archive;

mysql> grant CREATE,INSERT,SELECT,DELETE,UPDATE on archive.* to @localhost;

mysql> grant CREATE,INSERT,SELECT,DELETE,UPDATE on archive.* to archive;

mysql> exit

4.4在Snort和Archive数据库中创建表

我们将使用snort模式来进行snort和archive数据库的布局。

# cd /usr/share/doc/snort-mysql

# zcat create_mysql.gz | mysql –u –h localhost –p snort

# zcat create_mysql.gz | mysql –u –h localhost –p archive

4.5确认数据库的创建和新创建的表的存在

登录到MySQL并检查我们刚刚创建的数据库和这些数据库中的表。 如果一切都创建成功，您将在mysql数据库中看到四(4)个数据库(mysql，test，snort和archive)，每个数据库中都有大约16个表。

# mysql -u root –p

mysql> show databases;

mysql> use snort;

mysql> show tables;

mysql> use archive;

mysql> show tables;

mysql> exit

4.6测试Snort

终端类型：

# snort -c /etc/snort/snort.conf

如果一切顺利，你应该看到一只猪。

结束测试命中ctrl + c 。