ids入侵检测系统怎么装
入侵检测系统(简称“IDS”)是一种对网络传输进行即时监视,在发现可疑传输时发出警报或者采取主动反应措施的网络安全设备。下面以安装snort入侵检测系统为例:
- 登录ids系统
登录实验机后,打开桌面上的putty程序,输入10.1.1.106,再点击Open.。
- 安装LAMP环境
在putty里面输入如下命令进行安装
apt-get install mysql-server libapache2-mod-php5 php5-mysql libphp-adodb
注意:因为下载时间太长,会耽误过多的时间,所以提前已经安装好了。
这里给mysql的root用户,设置的密码是123456。
- 安装snort软件包
#apt-get install snort-mysql
在安装过程中会提示下图所示信息。(这里是填写监听的网段)
创建snortdb数据库
root@IDS:~# mysql -u root -p123456 #登录mysql
进入数据库后,创建一个数据库命名为snortdb。
mysql> create database snortdb;
mysql> grant create, insert, select, update on snortdb.* to snort@localhost;
mysql> set password for snort@localhost=password(‘snortpassword’);
创建一个数据库用户,用户名为snort,密码为snortpassword。
将snort-mysql自带的软件包中附带的sql文件,导入到数据库中。
# cd /usr/share/doc/snort-mysql/
# zcat create_mysql.gz | mysql snortdb -u snort -psnortpassword
# rm /etc/snort/db-pending-config
配置snort
配置好了数据库后,需要配置Snort配置文件(/etc/snort/snort.conf),告诉snort以后
日志写入到snortdb数据库中。
vi /etc/snort/snort.conf
找到文件中“var HOME_NET any”一行,将其修改为要监控的网络段,
并启用下面几行,如下:
#var HOME_NET any
var HOME_NET 10.1.1.0/24
#
#var HOME_NET any
Set up the external network addresses as well. A good start may be “any”
#var EXTERNAL_NET any
var EXTERNAL_NET !$HOME_NET
output database: log, mysql, user=root password=test dbname=db host=localhost
output database: log, mysql, user=snort password=snortpassword dbname=snortdb host=localhost
检测snort.conf配置文件是否正常:
snort -c /etc/snort/snort.conf