Snort入侵检测是一款免费的轻量级入侵检测IDS系统,本篇文章主要介绍snort入侵检测系统的安装过程和操作命令。
Snort入侵检测安装和设置
在正式进行软件安装之前,请检查系统,确保拥有符合ANSI标准的C/C++编译器等软件研发工具。
1.安装入侵事件数据库MySQL
首先,以终极用户的身份登录系统,创建MySQL 用户和MySQL用户组; 然后,以MySQL身份登录,按照缺省设置将MySQL安装在/usr/local目录下;接下来,将原始码树中的缺省设置文件My.cnf拷贝到/etc目录下;再用终极用户身份执行源码树中Scripts目录下的可执行脚本文件Mysql_install_db创建初始数据库; 随后,用/etc/init.d/mysql.server命令启动数据库服务器,使用/usr/local/bin/mysqladmin程式改动数据库管理员的口令。
2.安装Snort入侵检测
首先安装Snort入侵检测所依赖的网络抓包库Libpcap,将其按照缺省设置安装在/usr/local目录下之后,开始正式安装Snort入侵检测。
#gzip -d -c snort-1.8.6.tar.gz | tar xvf -
#cd snort-1.8.6
#./configure --prefix=/usr/local --with-mysql=/usr/local
--with-libpcap-includes=/usr/local \
--with-libpcap-libraries=/usr/local
#make
#make install
安装完毕后,将源码树中的Snort.conf文件、Classification.config文件和规则文件(*.rules)拷贝到系统的/etc目录下。
按照下列步骤设置Snort入侵检测,以便将其捕捉的网络信息输出到MySQL数据库。
(1)创建Snort入侵检测入侵事件数据库和存档数据库。
#/usr/local/bin/mysqladmin -u root -p create snort
#/usr/local/bin/mysqladmin -u root -p create snort_archive
(2)执行Snort入侵检测源码树下Contrib目录下的Create_mysql SQL脚本文件,创建相关表。
#/usr/local/bin/mysql -u root -D snort -p 网络安全是个复杂的问题,只依靠1~2种网络安全产品是不能解决问题的,必须综合应用多种安全技术,并将其功能有机地整合到一起,进而构成统一的网络安全基础设%
