snort入侵检测系统安装.docx

基于ACID的snort入侵检测系统安装 一、入侵检测系统及Snort介绍 在当今的企业应用环境中，安全是所有网络面临的大问题。黑客和入侵者已成功的入侵了一些大公司的网络及网站。目前已经存在一些保护网络架构及通信安全的方法，例如防火墙、虚拟专用网（VPN）、数据加密等。入侵检测是最近几年出现的相对较新的网络安全技术。利用入侵检测技术，我们可以从已知的攻击类型中发现是否有人正在试图攻击你的网络或者主机。利用入侵监测系统收集的信息，我们可以加固自己的系统，及用作其他合法用途。目前市场中也有很多弱点检测工具，包括商品化的和开放源码形式的，可以用来评估网络中存在的不同类型的安全漏洞。 一个全面的安全系统包括很多种工具： ? 防火墙：用来阻止进入及走出网络的信息流。防火墙在商业化产品和开放源码产品中都有很多。最著名的商业化防火墙产品有Checkpoint (), Cisco ()及Netscreen()。最著名的开放源码防火墙是Netfilter/Iptables()。 ? 入侵检测系统（IDS）：用来发现是否有人正在侵入或者试图侵入你的网络。最著名的IDS是Snort,可以在 下载。 ? 弱点评估工具：用来发现并堵住网络中的安全漏洞。弱点评估工具收集的信息可以指导我们设置恰当的防火墙规则，以挡住恶意的互联网用户。现在有许多弱点评估工具，比如Nmap( /)和Nessus( /). 以上这些工具可以配合使用，交互信息。一些产品将这些功能捆绑在一起，形成一个完整的系统。 Snort是一个开放源码的网络入侵检测系统（NIDS）,可以免费得到。NIDS是用来检测网络上的信息流的入侵检测系统（IDS）。IDS也包括安装在特定的主机上并检测攻击目标是主机的行为的系统。IDS迄今为止还是一门相当新的技术，而Snort在IDS中处于领先的地位。 本书由入侵检测介绍及相关概念入手，你将学习如何安装及管理Snort以及与Snort协同工作的其他产品。这些产品包括MySQL数据库（）、入侵数据库分析管理工具ACID（/kb/acid）。Snort能够将日志数据（例如告警和其他日志消息）记录到数据库中。MySQL用作存储所有这些数据的数据库引擎。利用ACID及Apache ()Web服务器，我们可以分析这些数据。Snort、Apache、MySQL及ACID的共同协作，使我们可以将入侵检测数据记录到数据库，然后用web界面察看和分析这些数据。 二、服务器配置 1.卸载系统本身自带的apache、mysql、php服务器 检查系统安装的httpd包并删除： 检测系统安装的mysql包并删除 检测系统安装的php包并删除 2.1安装apache服务器 2.1.1先解压下载到本地的httpd包 [root@info lamp]# tar -zxvf httpd-2.2.17.tar.gz [root@info lamp]# cd httpd-2.2.17?????? 完成httpd包解压后，我们继续对httpd进行编译安装，--enable-module=so：加载module动态模块。 [root@info httpd-2.2.17]# ./configure --prefix=/usr/local/apache --enable-module=so [root@info httpd-2.2.17]# make [root@info httpd-2.2.17]# make install 编译安装完成后我们可以启动httpd服务了，现在来测试一下。 [root@info httpd-2.0.64]# /usr/local/aparche/bin/apachectl start 在浏览器中输入 http://ip/,结果如下 2.2php5安装： 2.2.1解压下载到本地的php包 [root@info lamp]# tar -zxvf php-5.2.14.tar.gz [root@info lamp]# cd php-5.2.14 2.2.2完成PHP包解压后，我们继续对PHP进行编译安装。 [root@info php-5.2.14]# ./configure --prefix=/usr/local/php --with-apxs2=/usr/local/apache/bin/apxs --with-mysql=/usr/local/mysql/ [root@info php-5.2.14]#make [root@info php-5.2.14]#make test [root@info php-5.2.14]#make install 编译安装完后需对/usr/local/aparche/conf/httpd.conf进行配置。 [roo