snort是著名的轻量级IDS,昨天受一位网友提醒,首次尝试在debian上安装,过程非常简单。
为了便于分析结果,还安装了ACID。以下简要说一下过程。
首先安装apache+php4+mysql,网上有大量的相关文档,不再浪费资源论述。
建立mysql存储snort输出的数据库snortdb;
建立管理该数据库的帐号snort@localhost,除了GRANT权限都给。
不熟悉mysql命令的可以用phpmyadmin(这个玩意以前bug比较多)
基于web的可视化mysql管理工具
安装snort-mysql,会自动安装snort-common,snort-rules-default
#apt-get install snort-mysql
安装完以后回答配置脚本的几个问题,然后记得把snortdb里的tables建立起来
zcat /usr/share/doc/snort-mysql/contrib/create_mysql.gz | mysql -u [id] -p -h [host] [snort-database]
如果跟我上面说的一样,[id]=snort [host]=localhost [snort-database]=snortdb
你或许希望手动修改/etc/snort/snort.conf /etc/snort/rules/* 来迎合自己的系统情况。
安装acidlab
#apt-get install acidlab
也要回答几个问题,snort-achieve-db也用snotdb这个库
好了,大功告成,在浏览器里看看http://[yourhost]/acidlab/ 往下不用我多说了。
Debian真是好,省得自己一点一点改脚本让这几个东西配合。
最后提醒注意两点
1 建立.htpasswd保护http://[yourhost]/acidlab/目录
2 记得经常更新你的snort-rules
文章来源于领测软件测试网 https://www.ltesting.net/
版权所有(C) 2003-2010 TestAge(领测软件测试网)|领测国际科技(北京)有限公司|软件测试工程师培训网 All Rights Reserved
北京市海淀区中关村南大街9号北京理工科技大厦1402室 京ICP备2023014753号-2
技术支持和业务联系:info@testage.com.cn 电话:010-51297073