snort基础设定.doc

這個軟體功能,大家想必都知道吧,而且可以把codered等相關東東也擋下來哦,不廢話,進入正題. 先安裝snort再來安裝snortsnarf snort到 HYPERLINK /dl/ /dl/ 下載,我使用snort-1.9.1.tar.gz的版本,因為2.0還在更新當中,怕還不穩定. 而snortsnarf是在 HYPERLINK /dl/contrib/data_analysis/snortsnarf/ /dl/contrib/data_analysis/snortsnarf/ 中下載,我是使用SnortSnarf-020316.1.tar.gz,這個東東是將snort的資料分析並變成html,是相當方便的分析器. 導入正題吧!! 我的兩個檔案都在/root/tmp中,所以 cd /root/tmp tar –zxvf snort-1.9.1.tar.gz cd snort-1.9.1 ./configure -----如有使用mysql等東東,需要加參數,如 –enable-mysql等,因為我沒有,所以不用了 make make install 安裝完後,檔案在 /usr/local/bin裡 有沒有成功,使用 /usr/local/bin/snort –v就可以知道了 接著是組態檔的設定囉,將snort.conf拷貝至/etc cp /root/tmp/snort-1.9.1/etc/snort.conf /etc 將兩個副檔名為config拷貝至/etc cp /root/tmp/snort-1.9.1/etc/*.config /etc 如此snort.conf才可正常工作 接著將其規則拷貝至 /usr/local/bin/snort_rules 中,同snort主程式的目錄,沒特別原因,只是方便管理 mkdir /usr/local/bin/snort_rules cp –R /root/tmp/snort-1.91/rules 至於snort.conf的設定,主要修改下列地方： var HOME_NET /24 ?-----填想偵側的網域,當然是自己的c class,當然預設值也可以 var RULE_PATH /usr/local/bin/snort_ruels ?---------設定rules所在的位置 其它使用預設值即可,等自個有空再慢慢研究 接著要在/var/log做個目錄夾,否則使用時會有問題. mkdir /var/log/snort 最後一步就是啟動啦 我的啟動方法是: # snort -D -c /etc/snort.conf -D (以daemon方式啟動,就是背景執行啦) -c (指定snort依snort.conf設定檔的內容執行) 如果想定時執行的話,自己.到/etc/crontab裡設定囉!!! 就可以在/var/log/snort裡看到alert等檔案囉!!! 想要每次開機自動跑的話 在/etc/rc.d/rc.loca/中加入上面那行就可以了. 再來是snortsnarf檔的設定囉,為什麼不安裝呢? 因為它解壓縮後,沒有安裝檔,完全手動,包括了參數設定,花了我不少時間. cd /root/tmp/ tar –zxvf SnortSnarf-020316.1.tar.gz cd SnortSnarf-020316.1 接著要一步步做囉,方法類似openwebmail的方式 先???目錄 mkdir /var/www/cgi-bin/snort ?-存放perl的地方 mkdir /var/www/html/snort ?-待會要輸出index.html的地方 再拷貝檔案 cp /root/tmp/SnortSnarf-020316.1/cgi/* /var/www/cgi-bin/snort cp –R /root/tmp/SnortSnarf-020316.1/include /var/www/cgi-bin/snort cp /root/tmp/SnortSnarf-020316.1/snortsnarf.pl /var/www/cgi-bin/snort cp –R /root/tmp/ SnortSnarf-020316.1/Time-modules/Tmie /var/www/cgi-bin/snort 最後就是參數的設定了 touch /var/www/cgi-bin/snort/snortsnarf.sh vi /var/www/cgi-bin/snort/snortsnarf.sh #!/bin/bash cd /var/www/cgi-bin/snort snortsnarf.pl -cgidir /v