Snort + Base 入侵检测配置
hjgreg 2013-02-22
snort的配置分为5个部分
一 snort 简单介绍
snort入侵检测的使用方法和处理工程
本文基于rhel5.4 libpcap-0.9.4-8.1 snort-2.8.0
首先需要下载mysql apache php libpcap adodb snort base等软件
libpcap 是linux/unix 平台下捕获数据包的函数库
mysql是数据库,存放捕获的数据
apache是web服务器
php 网页脚本语言
adobd 为php提供数据库支持 (adobd is database abstract library for php)
base 是基本的分析和安全引擎 ,一acid 为项目的代码为基础,提供web的前端
输出部分 syslog database pcap
软件
1.adodb514.zip
2.snort-mysql-2.8.0.1-1.RH5.i386.rpm
3.snortrules-snapshot-2.8.tar.gz
4.base-1.4.5.tar.gz
5.snort-2.8.0.1-1.RH5.i386.rpm
二 snort 以及规则安装 配置yum
# yum install php php-gd php-pear php-mysql mysql-server httpd libpcap -y
[root@localhost ~]# service httpd start
[root@localhost ~]# chkconfig httpd on
启动mysql 并且给管理员密码
[root@localhost ~]# service mysqld start
[root@localhost ~]# mysqladmin -u root -p password "123"
Enter password:
[root@localhost ~]# mysql -u root -p
Enter password:
创建数据库,表
mysql> create database snort;
mysql>use snort;
mysql>source /usr/share/snort-2.8.0.1/schemas/create_mysql; 导入模版
mysql>show tables; 查看导入的表格
mysql> \q
安装 snortrules-snapshot snort-mysql
# tar -zxvf snortrules-snapshot-2.8.tar.gz -C /etc/snort/
# rpm -ivh snort-mysql-2.8.0.1-1.RH5.i386.rpm