1.資料：http://netsecurity.51cto.com/art/201009/224860.htm
2.簡介：　
????? snort系統(tǒng)組成：snort由三個重要的子系統(tǒng)構成：數(shù)據(jù)包×××，檢測引擎，日志與報警系統(tǒng)。
　　Snort有三種工作模式：嗅探器、數(shù)據(jù)包記錄器、網(wǎng)絡***檢測系統(tǒng)。嗅探器模式僅僅是從網(wǎng)絡上讀取數(shù)據(jù)包并作為連續(xù)不斷的流顯示在終端上。數(shù)據(jù)包記錄器模式把數(shù)據(jù)包記錄到硬盤上。網(wǎng)路***檢測模式是最復雜的，而且是可配置的。我們可以讓snort分析網(wǎng)絡數(shù)據(jù)流以匹配用戶定義的一些規(guī)則，并根據(jù)檢測結果采取一定的動作。
3.實驗：
（1 安裝必備軟件
longtop@longtop-desktop:~$ sudo apt-get install libpcap0.8-dev libmysqlclient-dev mysql-client mysql-server bison flex apache2 libapache2-mod-php5 php5-gd php5-mysql libphp-adodb php-pear pcregrep snort snort-rules-default
MySQL 數(shù)據(jù)庫時彈出設置 MySQL 根用戶口令的界面，臨時設置其為“test”。
（2 在 MySQL 數(shù)據(jù)庫中為 Snort 建立數(shù)據(jù)庫
longtop@longtop-desktop:~$ sudo apt-get install snort-mysql

longtop@longtop-desktop:~$ mysql -u root -p

mysql> create database snort;
Query OK, 1 row affected (0.00 sec)

mysql> grant create,insert,select,update on snort.* to snort@localhost;
Query OK, 0 rows affected (0.01 sec)

mysql> grant create,insert,select,update on snort.* to snort;
Query OK, 0 rows affected (0.00 sec)

mysql> set password for snort@localhost=password('snort-db');
Query OK, 0 rows affected (0.00 sec)

mysql> exit
Bye

longtop@longtop-desktop:~$ cd /usr/share/doc/snort-mysql
longtop@longtop-desktop:/usr/share/doc/snort-mysql$ zcat create_mysql.gz|mysql -u snort -D snort -psnort-db

（3 設置 snort 把 log 文件輸出到 MySQL 數(shù)據(jù)庫中
longtop@longtop-desktop:/usr/share/doc/snort-mysql$ sudo vim /etc/snort/snort.conf
在配置文件中將 HOME_NET 有關項注釋掉，然后將 HOME_NET 設置為本機 IP 所在網(wǎng)絡，將 EXTERNAL_NET 相關項注釋掉，設置其為非本機網(wǎng)絡，如下所示：
#var HOME_NET any
var HOME_NET 192.168.0.0/16
#var EXTERNAL_NET any
var EXTERNAL_NET !$HOME_NET
將 output database 相關項注釋掉，將日志輸出設置到 MySQL 數(shù)據(jù)庫中，如下所示：
output database: log, mysql, user=snort password=snort-db dbname=snort host=localhost
#output database: log, mysql
這樣，snort 就不再向 /var/log/snort 目錄下的文件寫記錄了，轉而將記錄存放在 MySQL 的snort數(shù)據(jù)庫中。這時候可以測試一下 Snort 工作是否正常：
$ sudo snort -c /etc/snort/snort.conf
如果出現(xiàn)一個用 ASCII 字符畫出的小豬，那么 Snort 工作就正常了，可以使用 Ctrl-C 退出；如果 Snort 異常退出，就需要查明以上配置的正確性了。

（4 測試 Web 服務器 Apache 和 PHP 是否工作正常

配置 apache 的 php 模塊，添加 msql 和 gd 的擴展。
$ sudo vim /etc/php5/apache2/php.ini
extension=msql.so
extension=gd.so
重啟apache
sudo /etc/init.d/apache2 restart
在/var/www/目錄下新建一個文本文件test.php
$ sudo vim /var/www/test.php
輸入內容：
<?php
phpinfo();
?>
然后在瀏覽器中輸入 http://localhost/test.php，如果配置正確的話，就會出現(xiàn) PHP INFO 的經(jīng)典界面，就標志著 LAMP 工作正常。

（5 安裝和配置 acid-base
$ sudo apt-get install acidbase

安裝過程中需要輸入 acidbase 選擇使用的數(shù)據(jù)庫，這里選 MySQL，根用戶口令 test，和 acid-base 的口令(貌似也可以跳過不設置)。
將acidbase從安裝目錄中拷貝到www目錄中，也可以直接在apache中建立一個虛擬目錄指向安裝目錄，這里拷貝過來主要是為了安全性考慮。
sudo cp –R /usr/share/acidbase/ /var/www/
因為 acidbase 目錄下的 base_conf.php 原本是一個符號鏈接指向 /etc/acidbase/ 下的base_conf.php，為了保證權限可控制，我們要刪除這個鏈接并新建 base_conf.php 文件。
longtop@longtop-desktop:/var/www/acidbase$ sudo rm base_conf.php
longtop@longtop-desktop:/var/www/acidbase$ sudo touch base_conf.php
暫時將 /var/www/acidbase/ 目錄權限改為所有人可寫，主要是為了配置 acidbase 所用。
$ sudo chmod 757 acidbase/
現(xiàn)在就可以開始配置 acid-base 了，在瀏覽器地址欄中輸入 http://localhost/acidbase，就會轉入安裝界面安裝
這里需要將 acidbase 目錄的權限改回去以確保安全性，然后在后臺啟動 snort，就表明 snort ***檢測系統(tǒng)的安裝完成并正常啟動了：

$ sudo chmod 775 acidbase/
$ sudo snort -c /etc/snort/snort.conf -i eth0 –D
[檢查***檢測系統(tǒng)工作狀況，更改***檢測規(guī)則]

正常情況下在一個不安全的網(wǎng)絡中，登錄 acidbase 后一會兒就能發(fā)現(xiàn)網(wǎng)絡***。如果沒有發(fā)現(xiàn)網(wǎng)絡***，可以添加更嚴格的規(guī)則使得正常的網(wǎng)絡連接也可能被報***，以測試 Snort IDS 的工作正確性，比如在 /etc/snort/rules/web-misc.rules 的最后添加下面的話：

$ sudo vi /etc/snort/rules/web-misc.rules
alert tcp any :1024 -> $HTTP_SERVER 500:

這一行的意思是：對從任何地址小于 1024 端口向本機 500 以上端口發(fā)送的 tcp 數(shù)據(jù)包都報警。殺死 Snort 的后臺進程并重新啟動，就應該能檢測到正常的包也被當作***了。

$ sudo kill `pgrep snort`
$ sudo snort –c /etc/snort/snort.conf –i eth0 -D

總結

使用Ubuntu安裝Snort***檢測系統(tǒng)和網(wǎng)頁控制臺是相當容易的，因為 Ubuntu 提供了很方便的軟件包安裝功能，只是有時候定制性能太差，需要用戶手動去尋找軟件包的安裝位置。

轉載于:https://blog.51cto.com/975220/525179

總結

以上是生活随笔為你收集整理的在ubuntu10.4安装snort ACID的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內容還不錯，歡迎將生活随笔推薦給好友。