@哈哈鱼
2年前 提问
1个回答

ids入侵检测系统怎么装

Anna艳娜
2年前

入侵检测系统(简称“IDS”)是一种对网络传输进行即时监视,在发现可疑传输时发出警报或者采取主动反应措施的网络安全设备。下面以安装snort入侵检测系统为例:

  1. 登录ids系统

登录实验机后,打开桌面上的putty程序,输入10.1.1.106,再点击Open.。

图片

图片

  1. 安装LAMP环境

在putty里面输入如下命令进行安装

apt-get install mysql-server libapache2-mod-php5 php5-mysql libphp-adodb

图片

注意:因为下载时间太长,会耽误过多的时间,所以提前已经安装好了。

这里给mysql的root用户,设置的密码是123456。

  1. 安装snort软件包
 #apt-get install snort-mysql

在安装过程中会提示下图所示信息。(这里是填写监听的网段)

图片

图片

  1. 创建snortdb数据库

    root@IDS:~# mysql -u root -p123456 #登录mysql

    进入数据库后,创建一个数据库命名为snortdb。

    mysql> create database snortdb;

    mysql> grant create, insert, select, update on snortdb.* to snort@localhost;

    mysql> set password for snort@localhost=password(‘snortpassword’);

    创建一个数据库用户,用户名为snort,密码为snortpassword。

图片

  将snort-mysql自带的软件包中附带的sql文件,导入到数据库中。

  # cd /usr/share/doc/snort-mysql/

  # zcat create_mysql.gz | mysql snortdb -u snort -psnortpassword

  # rm /etc/snort/db-pending-config

图片

  1. 配置snort

    配置好了数据库后,需要配置Snort配置文件(/etc/snort/snort.conf),告诉snort以后

    日志写入到snortdb数据库中。

    vi /etc/snort/snort.conf

    找到文件中“var HOME_NET any”一行,将其修改为要监控的网络段,

    并启用下面几行,如下:

    #var HOME_NET any

    var HOME_NET 10.1.1.0/24

    #

    #var HOME_NET any

    Set up the external network addresses as well. A good start may be “any”

    #var EXTERNAL_NET any

    var EXTERNAL_NET !$HOME_NET


    output database: log, mysql, user=root password=test dbname=db host=localhost

    output database: log, mysql, user=snort password=snortpassword dbname=snortdb host=localhost

    检测snort.conf配置文件是否正常:

    snort -c /etc/snort/snort.conf