ITPub博客

首页 > Linux操作系统 > Linux操作系统 > 制作BSD下的nids系统

制作BSD下的nids系统

原创 Linux操作系统 作者:coolwinds 时间:2005-03-22 15:03:49 0 删除 编辑
以下四篇文章均ZT自 http://www.linuxsir.org 论坛 《制作BSD下的nids系统 》 《在Debian上安装轻量级入侵监测系统》 《构建小型的入侵检测系统(RedHat9)》 《打造FC3下的snort+BASE 中文入侵检测系统》 本人最近真正研究这些东西,当然好东东大家共享嘛![@more@]制作BSD下的nids系统 http://secu.zzu.edu.cn/modules.php?...rticle&artid=25 ##################################################] Snort是非常出名的一个入侵检测系统,他可以分析流经他的数据,并产生检测报告,可是默认产生的报告给人一种很乱,毫无头绪的感觉,但是如果我们把他的日志输出到MySQL数据库的话,我们就可以比较方便的查询我们所关心的信息了。 Roman Danyliw写了一套叫Analysis Console for Intrusion Databases (ACID)的PHP程序,可以让我们很方便直观的分析snort的日志并且可 以收集来自多个sensor(探头)的数据以实现分布式的NIDS或建立分布式的蜜罐网络信息收集中心。 今天,我们就说说如何在一个FreeBSD的系统下利用Snort,MySQL和ACID建立一个完整的NIDS 本文涉及到的任何软件都可以在郑州大学网络安全园下载的到,我把所有需要的软件打了个包,方便大家下载 http://secu.zzu.edu.cn 本文假设你有一定的BSD系统和MySQL数据库的操作经验 我们的操作系统是FreeBSD 5.0 首先以root用户登陆系统 把zip包解压缩到/down目录之后,把dist目录的文件全部复制到/usr/port/distfiles下面 #mv port/* /usr/port/distfiles 先使用port安装mysql server #cd /usr/ports/databases/mysql323-server/ ; make ; make install 初始化并启动mysql server #/usr/local/bin/mysql_install_db #/usr/local/etc/rc.d/mysql-server.sh 确认Mysql服务已经打开 #netstat -an | grep 3306 tcp4 0 0 *.3306 *.* LISTEN 接着给root用户设置一个密码并登陆 #mysqladmin -u root password yourpassword #mysql -u root -p password 先创建一个叫"snort"的数据库。 简单的说明一下grant的用法 格式:grant 操作权限 on 数据库.* to 用户名@登录主机 identified by "密码" ,详细内容 mysql> create database snort ; mysql>use snort; 创建数据表 mysql> source /usr/src/snort-1.9.1/contrib/create_mysql 现在为snort创建一个叫"zzu"的用户,如果要做多个snort sensor的话,这个用户最好有点含义,因为等会我们配置snort的时候不容易弄乱。 mysql>grant insert,select,create,delete on snort.* to zzu@ur sensor'ip identified by "urpassword" 如果你需要做多个sensor的数据收集的话,重复这个步骤并更改用户名和IP,这样等会配置起来方便很多的。 mysql>grant insert,select,create,delete on snort.* to smth@another sensor'ip identified by "urpassword" ……………… ############################################################################################# 然后cd /usr/src #tar zxvf /down/apache_1.3.27.tar.gz #tar zxvf /down/php-4.3.1.tar.gz #tar zxvf /down/webmin-1.030.tar.gz 安装apache #./configure --prefix=/usr/local/apache --enable-shared=max ; make ; make install 使用port装GD2 #cd /usr/ports/graphics/gd/ ; make ; make install 装PHP #./configure --with-mysql --with-apxs=/usr/local/apache/bin/apxs --with-zlib --with-jpeg --with-gd --with-png --enable-track-vars --enable-sockets --disable-debug ; make ; make install 复制并修改php.ini cp php.ini-dist /usr/local/lib/ 把display_errors设置成Off 修改httpd.conf文件并添加下面几行 把ServerSignature On 改成ServerSignature Off 添加 AddType Application/x-httpd-php .php AddType Application/x-httpd-php .php3 AddType Application/x-httpd-php .php4 #cp /usr/local/apache/bin/apachectl /usr/sbin/ #apachectl start 在WWW目录下vi info.php 看看输出的结果有没启动gd,sockets,mysql支持,如果没有请检查上面步骤是否有疏漏 ############################################################################################## 现在开始装snort 先装port安装libnet 再把把SNORT装上,请使用最新的snort.1.91,编译的时候让他支持mysql,如果有兴趣的话,让他也支持resp,关于resp更多信息请看snort 的man文档 #cd /usr/src/snort-1.9.1 #./configure --help #./configure --with-mysql --enab

来自 “ ITPUB博客 ” ,链接:http://blog.itpub.net/83980/viewspace-793617/,如需转载,请注明出处,否则将追究法律责任。

下一篇: a funny story:-)
请登录后发表评论 登录
全部评论

注册时间:2012-10-23

  • 博文量
    253
  • 访问量
    947361