snort入侵检测系统安装.doc

基于ACID的snort入侵检测系统安装一、入侵检测系统及Snort介绍在当今的企业应用环境中，安全是所有网络面临的大问题。黑客和入侵者已成功的入侵了一些大公司的网络及网站。目前已经存在一些保护网络架构及通信安全的方法，例如防火墙、虚拟专用网（VPN）、数据加密等。入侵检测是最近几年出现的相对较新的网络安全技术。利用入侵检测技术，我们可以从已知的攻击类型中发现是否有人正在试图攻击你的网络或者主机。利用入侵监测系统收集的信息，我们可以加固自己的系统，及用作其他合法用途。目前市场中也有很多弱点检测工具，包括商品化的和开放源码形式的，可以用来评估网络中存在的不同类型的安全漏洞。一个全面的安全系统包括很多种工具：l 防火墙：用来阻止进入及走出网络的信息流。防火墙在商业化产品和开放源码产品中都有很多。最著名的商业化防火墙产品有Checkpoint (), Cisco ()及Netscreen()。最著名的开放源码防火墙是Netfilter/Iptables()。l 入侵检测系统（IDS）：用来发现是否有人正在侵入或者试图侵入你的网络。最著名的IDS是Snort,可以在下载。l 弱点评估工具：用来发现并堵住网络中的安全漏洞。弱点评估工具收集的信息可以指导我们设置恰当的防火墙规则，以挡住恶意的互联网用户。现在有许多弱点评估工具，比如Nmap(/)和Nessus(/).以上这些工具可以配合使用，交互信息。一些产品将这些功能捆绑在一起，形成一个完整的系统。Snort是一个开放源码的网络入侵检测系统（NIDS）,可以免费得到。NIDS是用来检测网络上的信息流的入侵检测系统（IDS）。IDS也包括安装在特定的主机上并检测攻击目标是主机的行为的系统。IDS迄今为止还是一门相当新的技术，而Snort在IDS中处于领先的地位。本书由入侵检测介绍及相关概念入手，你将学习如何安装及管理Snort以及与Snort协同工作的其他产品。这些产品包括MySQL数据库（）、入侵数据库分析管理工具ACID（/kb/acid）。Snort能够将日志数据（例如告警和其他日志消息）记录到数据库中。MySQL用作存储所有这些数据的数据库引擎。利用ACID及Apache ()Web服务器，我们可以分析这些数据。Snort、Apache、MySQL及ACID的共同协作，使我们可以将入侵检测数据记录到数据库，然后用web界面察看和分析这些数据。二、服务器配置1.卸载系统本身自带的apache、mysql、php服务器a. 检查系统安装的httpd包并删除：b. 检测系统安装的mysql包并删除c. 检测系统安装的php包并删除2.1安装apache服务器2.1.1先解压下载到本地的httpd包rootinfo lamp# tar -zxvf httpd-2.2.17.tar.gzrootinfo lamp# cd httpd-2.2.17 完成httpd包解压后，我们继续对httpd进行编译安装，-enable-module=so：加载module动态模块。rootinfo httpd-2.2.17# ./configure -prefix=/usr/local/apache -enable-module=sorootinfo httpd-2.2.17# makerootinfo httpd-2.2.17# make install编译安装完成后我们可以启动httpd服务了，现在来测试一下。rootinfo httpd-2.0.64# /usr/local/aparche/bin/apachectl start在浏览器中输入http:/ip/,结果如下2.2php5安装：2.2.1解压下载到本地的php包rootinfo lamp# tar -zxvf php-5.2.14.tar.gzrootinfo lamp# cd php-.2完成PHP包解压后，我们继续对PHP进行编译安装。rootinfo php-5.2.14# ./configure -prefix=/usr/local/php -with-apxs2=/usr/local/apache/bin/apxs -with-mysql=/usr/local/mysql/ rootinfo php-5.2.14#makerootinfo php-5.2.14#make testrootinfo php-5.2.14#make install编译安装完后需对/usr/local/aparche/conf/httpd.conf进行配置。rootinfo php-5.2.14# cpphp.ini-development /usr/local/php/lib/php.inirootinfo php-5.2.14# vi /usr/local/aparche/conf/httpd.conf#加入以下参数信息：AddType application/x-httpd-php .phpLoadModule php5_module modules/libphp5.so 找到DirectoryIndex index.html index.html.var，在后面加上index.php 让它把index.php做为默认页。将DocumentRoot /usr/local/aparche/htdocsweb站点文件存放路径改成你所在的Web站点路径。完成后重启Apache服务rootinfo php-5.2.14# /usr/local/apache/bin/apachectl restartrootinfo php-5.2.14# netstat -nat|grep 80tcp 0 0 :80:*LISTEN然后在你所在的站点下创建一个php文件，来测试PHP是否安装成功。我这边创建了一个简单的php文件，用于显示PHP配置信息，内容#cat /usr/loca/apach/htdocs/info.php现在我们在浏览器中重新加载01/info.php。如图PHP文件以被解析成功，表明我们以成功的安装了PHP。2.3安装MYsql数据库2.3.1创建mysql用户和mysql用户组,并添加用户到用户组groupadd mysqluseradd r g mysql mysql2.3.2创建安装目录mkdir /usr/local/mysql2.3.3在/urs/local下解压安装文件tar zxvf mysql-5.1.51.tar.gz2.3.4配置makefile文件cd mysql-5.51./configure prefix=/usr/local/mysql -enable-thread-safe-client -enable-assembler -with-big-tables -with-client-ldflags=-all-static -with-mysqld-ldflags=-all-static -with-charset=utf8 -with-collation=utf8_general_ci -with-extra-charsets=complex-prefix：指定安装目录，本文示例为/usr/local/mysql-localstatedir：指定默认数据库文件保存目录，默认为安装目录下的var目录-enable-thread-safe-client：编译线程安全版的MySQL客户端库-enable-assembler：使用一些字符函数的汇编版本-with-client-ldflags：客户端链接参数，本文示例为指定静态编译mysql客户端-with-mysqld-ldflags：服务器端链接参数，本文示例为指定静态编译mysql服务器-with-big-tables：在32位平台上支持大于4G行的表-with-charset：指定默认字符集。mysql默认使用latin1(cp1252)字符集，可以使用此选项更改。字符集可以是big5、cp1251、cp1257、czech、danish、dec8、dos、euc_kr、gb2312、gbk、german1、hebrew、hp8、hungarian、koi8_ru、koi8_ukr、latin1、latin2、sjis、swe7、tis620、ujis、usa7或win1251ukr。-with-collation：指定默认校对规则。mysql默认使用latin1_swedish_ci校对规则，可以使用此选项更改。-with-extra-charsets：服务器需要支持的字符集，有三种可能的值：空格间隔的一系列字符集名；complex ，包括不能动态装载的所有字符集；all，将所有字符集包括进二进制。本文示例为complex。注意：要想更改字符集和校对规则，要同时使用-with-charset和-with-collation选项。 校对规则必须是字符集的合法校对规则。(在mysql中使用SHOW COLLATION语句来确定每个字符集使用哪个校对规则)。2.35.编译源代码：make2.36安装make install1.37 复制默认全局启动参数配置文件到/etc目录cp ./support-files/f /etc/f2.38更改mysql数据目录属主和权限默认数据库文件保存目录为安装目录下的var目录，执行configure命令时可通过-localstatedir参数指定不同的目录，本文示例为默认位置。chown R mysql.mysql /usr/local/mysql/varchmod R 700 /usr/local/mysql/var2.3.9设置开机自启动服务控制脚本复制启动脚本到资源目录cp ./support-files/mysql.server /etc/rc.d/init.d/mysqld增加mysql服务控制脚本自行权限chmod +x /etc/rc.d/init.d/mysqld将mysql服务加入到系统服务目录chkconfig add mysqld检查mysql服务是否已经生效chkconfig -list mysqld命令输出类似下面的结果：mysqld 0:off 1:off 2:on 3:on 4:on 5:on 6:off表明mysqld服务已经生效，在2、3、4、5运行级别随系统启动而自动启动，以后可以使用service命令控制mysql的启动和停止。启动mysql服务service mysqld start停止mysql服务service mysqld stop2.3.10将mysql的bin目录加入到PATH环境变量编辑/etc/profile文件vi /etc/profile在文件最后添加如下两行：PATH=$PATH:/usr/local/mysql/binexport PATH-将本地数据区的变量转变成用户环境区的变量执行下边的命令使所做的更改生效./etc/profile2.3.11.启动mysql数据库，链接mysql数据库(第一次登陆数据库没有密码)service mysqld startmysql u rootWelcome to the MySQL monitor. Commands end with ; or g.Your MySQL connection id is 2Server version: 5.1.52 Source distributionCopyright (c) 2000, 2010, Oracle and/or its affiliates. All rights reserved.This software comes with ABSOLUTELY NO WARRANTY. This is free software,and you are welcome to modify and redistribute it under the GPL v2 licenseType help; or h for help. Type c to clear the current input statement.mysql show databases;+-+| Database |+-+| information_schema | test |+-+2 rows in set (0.00 sec)mysql quitBye2.3.12添加密码改变当前数据库(下边的命令均在mysql命令提示符下执行)use mysql设置从本地主机登录root账号密码set password rootlocalhost=password(123456);或update user set password=password(123456) where user=root and host=localhost执行下边的命令使更改生效flush privileges;执行下边的命令退出mysqlquit;或/q;到此为止，我们已经完成了LAMP（linux+Apache+Mysql+php）的安装。安装snort时，需要安装一些辅助软件，否则无法生成makefile文件。3.1安装zlib# cd /usr/local/tarballs# tar -zxvf zlib-1.2.3.tar.gz# cd zlib-1.2.3# ./configure# make # make install# cd .这里必须安装高于1.2.1版本的zlib，否则无法安装gd3.2安装libpcap# tar -zxvf libpcap-1.0.0.tar.gz# cd libpcap-1.0.0# ./configure# make# make install# cd .3.3安装libxml2# tar -zxvf libxml2-2.6.19.tar.gz# cd libxml2-2.6.19# ./configure# make# make install# cd .3.4安装libpng# tar -zxvf libpng-1.2.40.tar.gz# cd libpng-1.2.40# ./configure# make # make installcd .3.5安装gd# tar -zxvf gd-2.0.33.tar.gz# cd gd-2.0.33# ./configure# make# make install# cd .3.6安装jpeg# tar -zxvf jpegsrc.v7.tar.gz# cd jpeg-7# ./configure# make# make install# cd .3.7安装DBD-mysql# cd /usr/local/tarballs# tar -zxvf DBD-mysql-3.0008.tar.gz# cd DBD-mysql-3.0008# export LANG=C# perl Makefile.PL # -libs=-L/usr/local/mysql/lib/mysql -lmysqlclient -lz # -cflags=-I/usr/local/mysql/include/mysql # -testhost= # -mysql_config=/usr/local/mysql/bin/mysql_config# make# make install3.8安装pcre# cd /usr/local# tar -zxvf pcre-8.00.tar.gz# cd pcre-8.00# ./configure# make# make install3.9安装snort# cd .# mkdir /etc/snort# mkdir /var/log/snort# tar -zxvf snort-.tar.gz# cd snort-# ./configure -with-mysql=/usr/local/mysql# make#make install3.10安装规则# cd .# tar -zxvf snortrules-snapshot-21.8.tar.gz -C /usr/local/snort-# tar -zxvf snortrules-snapshot-CURRENT1.tar.gz -C /root# cd /usr/local/sbort-/rules# cp * /etc/snort# cd /etc# cp snort.conf /etc/snort# cp *.config /etc/snort# cp *.map /etc/snort上面用到了两个规则，因为在使用snortrules-snapshot-21.8.tar.gz解压的规则时，include $RULE_PATH/web-client.rulesinclude $RULE_PATH/netbios.rules这两个规则编译有问题，所以解压snortrules-snapshot-CURRENT1.tar.gz在/root/so_rules文件夹下# cp /root/so_rules/netbios.rules /etc/snort# cp /root/so_rules/web_client.rules /etc/snortinclude $RULE_PATH/mysql.rules也有同样的问题，在/etc/snort/snort.conf中屏蔽此规则：#include $RULE_PATH/mysql.rules3.11修改/etc/snort/snort.conf文件var HOME_NET 49/8var RULE_PATH /etc/snortvar PREPROC_RULE_PATH /usr/local/snort-/preproc_rules/输出日志存放到mysql数据库中output database: log, mysql, user=root password=123456 dbname=snort host=localhost3.12在mysql中建立数据库mysql create database snortmysql grant insert,select on root.* to snortlocalhostmysqlquit#cd /usr/local/snort-/schemas使用/snort/schema/下的create_mysql通过脚本方式建立snort运行时必须有表#/usr/local/mysql/bin/mysql p enter password:1234563.13安装配置WEB接口# cp /usr/local /acid-0.9.6b23.tar.gz /usr/local/apache/htdocs# cp /usr/local/adodb498.tgz /usr/local/apache/htdocs# cd /usr/local/apache/htdocs# tar -zxvf adodb498.tgz # tar -zxvf acid-0.9.6b23.tar.gz # cd acid# gedit a