Tải về bài: IDS - SNORT
Download source trên: http://www.snort.org
Giới thiệu:
- Snort là một kiểu IDS (Instruction Detection System).
- IDS là một hệ thống được cài đặt trên mạng (hay máy tính) và nhiệm vụ của nó là giám sát những gói tin vào ra hệ thống. Nếu một cuộc tấn công được phát hiện bởi Snort thì nó có thể phản ứng bằng nhiều cách khác nhau phụ thuộc vào cấu hình thiết lập, chẳng hạn như nó có thể gởi thông điệp cảnh báo đến nhà quản trị hay loại bỏ gói tin khi phát hiện có sự bất thường trong các gói tin đó.
1. Cài các gói sau
mysql
mysql-bench
mysql-server
mysql-devel
mysqlclient10
php-mysql
httpd
gcc
pcre-devel
php-gd
gd
mod_ssl
glib2-devel
gcc-c++
libpcap-devel
php
php-pear
yum-utils
Thực hiện
- Tạo thư mục /media/CentOS
#mkdir /media/CentOS
- Mount ổ đĩa để sử dụng
#mount /dev/cdrom /media/CentOS
- Cài đặt (có 2 cách cài)
+ Cài từng gói
#yum --disablerepo=\* --enablerepo=c5-media install mysql
+ hoặc cài tất cả các gói một lần (mỗi package cách nhau một khoảng trắng)
#yum --disablerepo=\* --enablerepo=c5-media install mysql mysql-bench mysql-server
2. Cài đặt Snort
- Download source trên trang chủ của Snort: http://www.snort.org
- giải nén
#tar -zxvf snort-2.8.4.1.tar.gz
- cd vào thư mục đã giải nén của Snort
- Cài đặt lần lượt các lệnh sau
#./configure --with-mysql --enable-dynamicplugin
#make
#make install
3. Cấu hình snort
- Tạo group snort
- Tạo user snort
#useradd -g snort -s /sbin/nologin snort
- Tạo các thư mục sau
#mkdir /etc/snort
#mkdir /etc/snort/rules
#mkdir /var/log/snort
- cd vào thư mục /etc trong source của snort (chú ý!)
#cd /etc
- copy file
#cp * /etc/snort
4. Cấu hình các thông số của Snort
* File cấu hình /etc/snort/snort.conf
- Sửa dòng 46
var HOME_NET 192.168.9.0/24
- Sửa dòng 49
var EXTERNAL_NET !$HOME_NET
- Sửa dòng 110
var RULE_PATH /etc/snort/rules
- Bỏ dấu # trước dòng 709 và 710
output alert_unified: filename snort.alert, limit 128
output log_unified: filename snort.log, limit 128
* Tạo file khởi động dịch vụ snort
- Chép nort vào /etc/init.d
- Cấp quyền cho file snort
#chmod 755 /etc/init.d/snort
5. Cài đặt rule cho SNORT
- Tải rule mới nhất về: http://dl.snort.org/sub-rules/snortrules-snapshot-2.8_s.tar.gz hoặc vào trang chủ http://www.snort.org
- Giải nén
#tar -zxvf snortrules-snapshot-2.8.tar.gz
- cd vào thư mục đã giải nén.
#cd rules
- Copy tất cả rules vào thư mục /etc/snort/rules
#cp * /etc/snort/rules
6. Cấu hình các dịch vụ sau auto start
#chkconfig httpd on
#chkconfig mysqld on
#chkconfig snort on
- Start dịch vụ
#service httpd start
#service mysqld start
7. Tạo database
- Chạy lần lượt những lệnh sau:
- Import cấu trúc database cho database snort
#mysql -u root -p <
snort-2.8.4.1/schemas/create_mysql snort
8. Tăng tốc snort - cài đặt BARNYARN
- Tải về gói: barnyard-0.2.0.tar.gz và giải nén.
- cd vào thư mục đã giải nén
- Cài đặt
#./configure --enable_mysql
#make
#make install
- Copy file cấu hình barnyard
#cd etc/
#cp barnyard.conf /etc/snort
- Start dịch vụ snort
#service snort start
9. Cấu hình barnyard
- Thêm 2 dòng sau theo thứ tự vào dòng 128, 129 của file /etc/snort/barnyard.conf
- Tạo file khởi động cho barnyard
- Tạo file log cho barnyard
