30.10.12

Ubutu12.04+Snort 2.9.2+mysql (一)

在Ubutu 上可用apt-get指令安裝Snort,Snort版本是2.9.2
一般使用上有兩種套件
1. apt-get install snort                       //單純只有Snort
2. apt-get install snort-mysql            //Snort加MYSQL

注意
1. 這兩套差別在於Snort-mysql這一套件內有create_mysql.gz,這是Snort在MYSQL的資料表,需匯入資料庫。
2. 將Alert存入MYSQL資料庫的路徑,已不是寫在Snort的設定檔Snort.conf裡面而是改寫在database.conf裡面。
3. 執行apt-get install snort-mysql安裝時,在安裝MYSQL時,請選擇"否",另外安裝MYSQL資料庫 apt-get install mysql-server,有時這樣安裝起來後,在要設定資料庫時,會找不到資料庫。

一般都是用root執行,可以輸入sudo su切換為root腳色,命令前可省略再打sudo


步驟
執行apt-get install snort-mysql 在安裝MYSQL時選擇,之後會出現要設定監控IP區段的畫面,打入IP區段,其實根本不會寫入設定檔,打心酸的
接下來編輯Snort設定檔       vi /etc/snort/snort.conf
命令列前面有#符號就是不執行,找到這一列  ipvar HOME_NET any
把any修改為你要監控的網段     例192.168.1.0/24
接下來使用oinkmaster來更新規則檔(rules)
編輯oinkmaster的設定檔   vi /etc/oinkmaster.conf
裡面會看到snort-2.7跟2.8的預設路徑,隨便拿一行來用,要把預設路徑前面#符號刪除
url = http://www.snort.org/pub-bin/oinkmaster.cgi/<oinkcode>/snortrules-snapshot-<版本>.tar.gz
oinkcode要去snort官網註冊(www.snort.org)才有,請觀看下列圖片


當你輸入帳號密碼,進入/Get Rules/Get an Oinkcode裡面
黑色遮住的地方,就是你的Oinkcode


範例 url = http://www.snort.org/pub-bin/oinkmaster.cgi/<oinkcode>/snortrules-snapshot-2931.tar.gz

透過 oinkmaster 指令進行 rules 的更新 oinkmaster -o /etc/snort/rules/

接下來,使用snort -T -c /etc/snort/snort.conf 指令,測試新rules有無問題。

會出現FILE_DATA_PORTS的問題

請在Snort的設定檔裡增加這一行 vi /etc/snort/snort.conf

#List of file data ports for file inspection

portvar FILE_DATA_PORTS [$HTTP_PORTS,110,143]









沒有留言:

張貼留言