您或許是由於多次Snort安裝失敗的痛苦經歷對他產生了陰影,或許還停留在在尋找更好的安裝教程的旅程上,.......看完下文之後,希望對Snort安裝不再犯怵。
安裝系統分爲三個階段。
第一階段
本階段主要是準備環境,調試Snort主程序,難度係數****
步驟一:需要準備的軟件環境:
- VMware workstation 15 Pro
- CentOS-7-x86_64-Minimal-1908.iso
- Cent OS 7 最小化安裝
- libdnet-1.12.tg
- daq-2.0.7.tar.gz
- snort-2.9.16.tar.gz
- barnyard2-2-1.13.tar.gz
- adodb-5.20.17
- snortrules-snapshot-29160.tar.gz
- base-1.4.5.tar.gz
仔細覈對無誤後,開始用最小化安裝模式來安裝CentOS7
檢驗
步驟二:安裝相關依賴包
yum install -y epel-release
yum install -y gcc gcc-c++ flex bison zlib-devel zlib-static libpcap pcre-devel pcre-static libpcap-devel tcpdump git libtool luajit luajit-devel openssl openssl-devel net-tools
步驟三:安裝libdnet
tar -zxvf libdnet-1.12.tgz
cd /usr/local/src/libdnet-1.12/
./configure
make && make install
步驟四: 安裝DAQ 2.0.7
tar zxvf daq-2.0.7.tar.gz
cd daq-2.0.7
aclocal
autoconf
automake
./configure
make && make install
步驟五:安裝snort 2.9.16
tar zxvf snort-2.9.16.tar.gz
cd snort-2.9.16
./configure --enable-sourcefire
make && make install
步驟六:添加用戶和組
步驟七:準備配置 Snort
mkdir /etc/snort/
cd /etc/snort/
tar zxvf /usr/local/src/snortrules-snapshot-29160.tar.gz -C .
cp /etc/snort/etc/sid-msg.map /etc/snort
cp /usr/local/src/snort-2.9.16/etc/* .
查看/etc/snort目錄
chown -R snort:snort *
touch /etc/snort/rules/white_list.rules
touch /etc/snort/rules/black_list.rules
步驟八,配置snort.conf
vi /etc/snort/snort.conf
修改位置如下:
註銷247行內容
加入下面一行
完成snort.conf配置,保存退出。
步驟九 測試Snot
測試snort分爲兩部分內容:snort程序啓動測試和snort報警測試。
添加測試規則
vi /etc/snort/rules/local.rules
alert icmp any any -> $HOME_NET any (msg:"ICMP Packet Detected";sid:1000003;rev:1;)
輸入測試命令
snort -T -i ens33 -u snort -g snort -c /etc/snort/snort.conf
顯示Snort successfully validated the configuration!後程序自動退出。
snort報警測試
打開兩個終端分別輸入下面的命令:
啓動snort
snort -i ens33 -c /etc/snort/snort.conf -A fast
在另一個終端先觀察
在沒收到ICMP包是,系統不會報警。
開始ping Snort服務器
收到報警
snort報警測試成功。
在啓動snort的終端上,輸入Ctrl+C退出程序。
第二階段
第一階段我們成功的完了將snort報警記錄到文件,這一階段,我們不在向/var/log/snort目錄下的文件記錄,而是將報警記錄存放到MySQL數據庫中。我們需要完成以下步驟。
步驟1:安裝數據庫
yum install –y mariadb-server mariadb-devel
開機啓動數據庫
systemctl enable mariadb.service
啓動數據庫
systemctl start mariadb
爲數據庫管理員root賦予密碼(暫定爲123456)
/usr/bin/mysqladmin -u root password '123456'
爲了得到數據庫的模板我們需要解壓barnyard2-2-1.13.tar.gz文件
cd /usr/local/src
tar zxvf barnyard2-2-1.13.tar.gz
步驟2:設置權限
創建Snort數據庫並設定讀取權限。
登錄數據庫
CREATE DATABASE snort;
USE snort;
CREATE USER 'snort'@'localhost' IDENTIFIED BY '123456';
新建用戶snort,訪問本機數據庫的密碼是123456
GRANT CREATE,SELECT,UPDATE,INSERT,DELETE ON snort.* TO snort@localhost IDENTIFIED BY '123456';
賦予名爲“snort”的數據庫權限,授權用戶snort對數據庫的操作權限.
SET PASSWORD FOR 'snort'@'localhost'=PASSWORD('123456');
爲用戶snort設置訪問密碼
SOURCE /usr/local/src/barnyard2-2-1.13/schemas/create_mysql;
通過引入文件create_mysql來創建數據庫結構
FLUSH PRIVILEGES;
下面來查看數據庫snort的表
這只是一個空表沒有數據,我們需要繼續操作。
步驟3:安裝和配置Barnyard2
cd /usr/local/src/barnyard2-2-1.13/
./autogen.sh
./configure --with-mysql --with-mysql-libraries=/usr/lib64/mysql
make && make install
步驟4:準備配置barnyard2
mkdir /var/log/barnyard2
chown snort:snort /var/log/barnyard2
touch /var/log/snort/barnyard2.waldo
chown snort:snort /var/log/snort/barnyard2.waldo
cp /usr/local/src/barnyard2-2-1.13/etc/barnyard2.conf /etc/snort
vi /etc/snort/barnyard2.conf
修改如下幾處
配置完成,保存退出。
步驟5:測試banyard2
2-3分鐘後完成測試自動退出程序。
步驟6: snort+barnyard2測試
啓動snort
啓動barnyard2
觀察/var/log/snort目錄
沒有ping包之前的狀態。
在其他機器上ping Snort服務器。再次觀察snort目錄
觀察數據庫中的報警記錄條數
這樣snort.log.時間戳在存儲數據包的同時,將報警存入數據庫。
由此證明實驗成功。
步驟7:清空snort數據庫
mysql -u snort -p -D snort -e "delete from event"
第三階段: 安裝BASE
步驟0: 安裝http,php及相關擴展
yum install -y httpd php php-mysql php-gd
步驟1:準備軟件
yum install unzip
unzip adodb-5.20.17.zip
mv adodb5 /var/www/html/adodb
tar zxvf base-1.4.5.tar.gz -C /var/www/html/
mv /var/www/html/base-1.4.5/ /var/www/html/base
步驟2:修改php.ini
vi /etc/php.ini
設置權限
chown -R apache:apache /var/www/html/
步驟3:重啓服務設置防火牆
systemctl restart mariadb #重啓MariaDB
systemctl enable httpd.service #開機啓動Http服務
systemctl restart httpd.service 重啓http
開放80端口
firewall-cmd --zone=public --add-port=80/tcp
步驟4:檢查PHP環境
步驟5:
臨時關閉SELinux
setenforce 0
步驟6:設置BASE
成功!圖文資料看起來還是沒有視頻操作直觀,https://edu.51cto.com/lecturer/350944.html 。
