1、安装snort
sudo apt-get install snort-mysql
2、删除/etc/snort/db-pending-config这个标志文件
sudo rm /etc/snort/db-pending-config
3、为snort创建数据库
mysql -uroot -p
CREATE DATABASE snortdb;
grant CREATE,INSERT,SELECT,UPDATE on snortdb.* to snort@localhost;
SET PASSWORD FOR snort@localhost=PASSWORD('snortpassword');
4、退出mysql后把snort-mysql的sql文个导入数据库
zcat create_mysql.gz | mysql snortdb -u snort -psnortpassword
5、配置snort,修改/etc/snort/snort.conf
sudo /etc/snort/snort.conf
找到 var HOME_NET any 注释,更改为var HOMT_NET 168.168.168.1/255
找到 var EXTERNAL_NET any 注释,更改为var EXTERNAL_NET !$HOME_NET
找到output database: log, mysql, user=root password=test dbname=db host=localhost启用他,修改为自己的数据信息,并且增加一项output database: alert, mysql, user=root password=test dbname=db host=localhost,这样log和alert都可以正常使用。
6、测试配置是否正常snort ,运行睛面语句,当看到小猪就说明正常了
sudo snort -c /etc/snort/snort.conf
7、启动snort
sudo /etc/init.d/snort start
8、安装base对sonrt进行入侵记录分析,base需要apache支持,没有的要安装LAMP
sudo apt-get install acidbase
sudo mkdir /var/www/acidbase
sudo cp -rf /usr/share/acidbase /var/www/acidbase //不放过来就是不行,可能是权限的问题
sudo rm base_conf.php
9、配置apache,把URL指向/var/www/acidbase目录,然后打开URL进行访问
10、安装配置BASE 安装完后打开生成的base_conf.php,修改以下变量
$BASE_path="/usr/share/acidbase";
到此就可以入侵检测分析了。
在CentOS上配置基于主机的入侵检测系统(IDS):http://www.linuxdiyf.com/linux/10335.html
如何在Ubuntu上安装Snort入侵检测系统:http://www.linuxdiyf.com/linux/5431.html