一.嗅探器配置 1.配置源码安装开发环境 [root@localhost ~]# yum groupinstall "Legacy Software Support" "X Software Development" "Development Libraries" "Development Tools" -y 2.snort安装,自行下载rpm包 [root@localhost ~]# rpm -ivh snort-2.8.0.1-1.RH5.i386.rpm 嗅探器的功能比较单一,只是读取网络中的数据包,这样只需要安装snort就可以了,我们可以测试下snort的运行 [root@localhost ~]# snort -v //可以看到如下内容 Running in packet dump mode --== Initializing Snort ==-- Initializing Output Plugins! Verifying Preprocessor Configurations! *** *** interface device lookup found: eth0 *** Initializing Network Interface eth0 Decoding Ethernet on interface eth0 --== Initialization Complete ==-- ,,_ -*> Snort! <*- o" )~ Version 2.8.0.1 (Build 72) '''' By Martin Roesch & The Snort Team: http://www.snort.org/team.html (C) Copyright 1998-2007 Sourcefire Inc., et al. Using PCRE version: 6.6 06-Feb-2006 Not Using PCAP_FRAMES 02/21-00:50:30.870175 192.168.101.106:22 -> 192.168.101.166:2182 TCP TTL:64 TOS:0x10 ID:6386 IpLen:20 DgmLen:124 DF ***AP*** Seq: 0x59969BDA Ack: 0x8223B72 Win: 0x4BA TcpLen: 20 =+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+ 另外还有许多的参数可以使用,自己查看一下 二.数据包记录器配置 数据包记录器的配置是把我们收集到的信息,存放在我们的硬盘上,其实只是使用snort的一个参数。 [root@localhost ~]# mkdir snort //创建一个存放信息的目录 [root@localhost ~]# snort -vde -l ./snort //使用-l参数指定存放的目录 [root@localhost ~]# snort -vde -l ./snort &> /dev/null //不用在屏幕上显示 三.入侵检测系统的配置 本次实验主要是入侵检测系统的配置,在前面的基础之上,再进行如下操作 在安装之前,我们先介绍几个软件包 mysql :以mysql作为存放信息的数据库 apache :apache服务器 php :php 网页环境 Libpcap:linux/unix 平台下捕获数据包的函数库 adodb : 为php提供数据库支持 Base :是基本的分析和安全引擎 ,acid 为项目的代码为基础,提供web的前端 1. mysql,php,apache,libpcap安装 [root@localhost ~]# yum install php php-gd php-pear php-mysql mysql-server httpd libpcap 2.导入匹配规则 [root@localhost ~]# tar -zxvf snortrules-snapshot-2.8.tar.gz -C /etc/snort/ //这个需要自己下载,最好下载最新的版本,它是snort判断某些行为是否是对服务器进行攻击的规则 3.Base解压 [root@localhost ~]# tar -zxvf base-1.4.5.tar.gz -C /var/www/html //解压文件 [root@localhost ~]# mv /var/www/html/base-1.4.5 /var/www/html/base //修改文件名 4.pear的安装 (Pear是PHP扩展与应用库的缩写,它是一个php扩展及应用的一个代码仓库) [root@localhost ~]# pear install --force PEAR-1.8.1 //在线安装pear,需要自己的机器能够连接到网络 [root@localhost ~]# pear upgrade pear //如果不是最新版本的,可以更新一下(可做可不做) [root@localhost ~]# pear install Image_Graph-alpha Image_Canvas-alpha Image_Color Numbers_Roman Mail_Mime Mail //安装关连文件 [root@localhost base]# cp world_map6.png world_map6.txt /usr/share/pear/Image/Graph/Images/Maps/ //复制base文件到maps中 5.安装adobd [root@localhost ~]# unzip adodb514.zip [root@localhost ~]# mv adodb5 /var/www/html [root@localhost ~]# mv /var/www/html/adodb5 /var/www/html/adobd(这个地方本想用/var/www/html/adodb,写错了,但不影响使用,要保证下面的一定要和这个文件名一样) //把adobd放在网页主目录下 6.base的安装 [root@localhost html]# chmod o+w base //修改权限,让其它人可以进行写入 7.启动apache [root@localhost base]# service httpd start 8. 配置mysql数据库 [root@localhost html]# service mysqld start //启动mysql数据库服务 [root@localhost html]# mysqladmin -uroot password "123" //修改密码 [root@localhost html]# mysql -uroot -p //进行数据库 Enter password: mysql> create database snort; //创建snort数据库,存放snort收集的信息 Query OK, 1 row affected (0.00 sec) mysql> use snort; //进入snort数据库 Database changed mysql> source /usr/share/snort-2.8.0.1/schemas/create_mysql; //导入snort中数据库模板 9.修改snort输入内容存入mysql数据库 [root@localhost ~]# vim /etc/snort/snort.conf //在其中修改如下一行 output database: alert, mysql, user=root password=123 dbname=snort host=localhost 10.配置环境变量 [root@localhost ~]# export PCAP_FRAMES=max 11.安装snort与mysql连接的工具 [root@localhost ~]# rpm -ivh snort-mysql-2.8.0.1-1.RH5.i386.rpm 12.配置图形界面检测系统 在浏览器中输入http://192.168.101.106/base //服务器ip 如果出现以下错误,则需要调整php.ini的配置  修改如下 [root@localhost html]# vim /etc/php.ini 修改error_reporting = E_ALL为 error_reporting = E_ALL & ~E_NOTICE 即可 保存之后,重新启动httpd服务,刷新页面 [root@localhost html]# service httpd restart  点击,进入下一步  点击,进行下一步  再下一步  继续下一下  点击,创建表  创建成功之后,点击“step 5”进行下一步  输入帐号与密码进行登录 登录之后出现如下界面  12.测试 首先让snort挂载配置文件来进行监控 [root@localhost html]# snort -vde -c /etc/snort/snort.conf 使用工具portscan来扫描服务器,查看监控情况  点击 start 之后就会出现上面的内容 现在来查看snort扫描情况  点击10%字样,可以得到如下详细内容  点击第一个,查看一下 
转载请保留固定链接: https://linuxeye.com/configuration/1291.html |