一般使用上有兩種套件
1. apt-get install snort //單純只有Snort
2. apt-get install snort-mysql //Snort加MYSQL
注意
1. 這兩套差別在於Snort-mysql這一套件內有create_mysql.gz,這是Snort在MYSQL的資料表,需匯入資料庫。
2. 將Alert存入MYSQL資料庫的路徑,已不是寫在Snort的設定檔Snort.conf裡面而是改寫在database.conf裡面。
3. 執行apt-get install snort-mysql安裝時,在安裝MYSQL時,請選擇"否",另外安裝MYSQL資料庫 apt-get install mysql-server,有時這樣安裝起來後,在要設定資料庫時,會找不到資料庫。
一般都是用root執行,可以輸入sudo su切換為root腳色,命令前可省略再打sudo
步驟
執行apt-get install snort-mysql 在安裝MYSQL時選擇否,之後會出現要設定監控IP區段的畫面,打入IP區段,其實根本不會寫入設定檔,打心酸的
接下來編輯Snort設定檔 vi /etc/snort/snort.conf
命令列前面有#符號就是不執行,找到這一列 ipvar HOME_NET any
把any修改為你要監控的網段 例192.168.1.0/24
接下來使用oinkmaster來更新規則檔(rules)
編輯oinkmaster的設定檔 vi /etc/oinkmaster.conf
裡面會看到snort-2.7跟2.8的預設路徑,隨便拿一行來用,要把預設路徑前面#符號刪除
url = http://www.snort.org/pub-bin/oinkmaster.cgi/<oinkcode>/snortrules-snapshot-<版本>.tar.gz
oinkcode要去snort官網註冊(www.snort.org)才有,請觀看下列圖片
當你輸入帳號密碼,進入/Get Rules/Get an Oinkcode裡面
黑色遮住的地方,就是你的Oinkcode
範例 url = http://www.snort.org/pub-bin/oinkmaster.cgi/<oinkcode>/snortrules-snapshot-2931.tar.gz
透過 oinkmaster 指令進行 rules 的更新 oinkmaster -o /etc/snort/rules/
接下來,使用snort -T -c /etc/snort/snort.conf 指令,測試新rules有無問題。
會出現FILE_DATA_PORTS的問題
請在Snort的設定檔裡增加這一行 vi /etc/snort/snort.conf
#List of file data ports for file inspection
portvar FILE_DATA_PORTS [$HTTP_PORTS,110,143]
沒有留言:
張貼留言