RHEL5下snort 的具体配置 :Mysql +Snort +apache +php+ acid+adodb+jpgraph 的配置

RHEL5下snort 的具体配置

Mysql +Snort +apache +php+ acid+adodb+jpgraph 的配置介绍

这是我的一些版本，时间等相关信息

一 我先我们需要做的就是下载软件包

我们所需要的软件包

二 准备工作

在安装之前，我们先关闭防火墙，禁用掉SELinux

Snort需要libpcap和pcre这两个软件包的支持

我们首先来安装一下

[root@localhost src]# mount /dev/cdrom /mnt/cdrom

mount: block device /dev/cdrom is write-protected, mounting read-only

[root@localhost src]# cd /mnt/cdrom/Server

[root@localhost Server]# rpm -e --nodeps libpcap

[root@localhost Server]# rpm -e --nodeps pcre

[root@localhost Server]# rpm -ivh libpcap-0.9.4-11.el5.i386.rpm

warning: libpcap-0.9.4-11.el5.i386.rpm: Header V3 DSA signature: NOKEY, key ID 37017186

Preparing... ########################################### [100%]

1:libpcap ########################################### [100%]

[root@localhost Server]# rpm -ivh libpcap-devel-0.9.4-11.el5.i386.rpm

warning: libpcap-devel-0.9.4-11.el5.i386.rpm: Header V3 DSA signature: NOKEY, key ID 37017186

Preparing... ########################################### [100%]

1:libpcap-devel ########################################### [100%]

[root@localhost Server]# rpm -ivh pcre-6.6-1.1.i386.rpm

warning: pcre-6.6-1.1.i386.rpm: Header V3 DSA signature: NOKEY, key ID 37017186

Preparing... ########################################### [100%]

1:pcre ########################################### [100%]

[root@localhost Server]# rpm -ivh pcre-devel-6.6-1.1.i386.rpm

warning: pcre-devel-6.6-1.1.i386.rpm: Header V3 DSA signature: NOKEY, key ID 37017186

Preparing... ########################################### [100%]

1:pcre-devel ########################################### [100%]

[root@localhost Server]#

这里说明一下，可能这四个包中有两个是没有被完全安装的，我们首先对他们进行强制卸载，在进行安装，

[root@localhost Server]# cd /usr/local/src/

[root@localhost src]# umount /dev/cdrom

[root@localhost src]# tar -zxvf mysql-4.0.27.tar.gz

进入软件包所在目录，卸载光驱。

三：解压并安装mysql

[root@localhost src]# cd mysql-4.0.27

[root@localhost mysql-4.0.27]# groupadd mysql

[root@localhost mysql-4.0.27]# useradd -g mysql mysql

[root@localhost mysql-4.0.27]#

创建用户和组，并进入解压后文件目录，（顺序不分先后）

[root@localhost mysql-4.0.27]# echo ‘/* Linuxthreads */’>> /usr/include/pthread.h

[root@localhost mysql-4.0.27]# ./configure --prefix=/usr/local/mysql

重定向语句到文件，进行编译前准备，指定安装目录为/us/local/mysql

看到此界面就可以执行make命令了

[root@localhost mysql-4.0.27]# make install

[root@localhost mysql-4.0.27]# cd /usr/local/mysql

[root@localhost mysql]# /usr/local/mysql/bin/mysql_install_db --user=mysql

进入目录，初始化数据库

[root@localhost mysql]# chown -R root .

[root@localhost mysql]# chown -R mysql var

[root@localhost mysql]# chgrp -R mysql .

[root@localhost mysql]#

改变目录权限

执行命令

[root@localhost mysql]# /usr/local/mysql/bin/mysqld_safe --user=mysql &

后台运行mysql

第四步安装snort

[root@localhost mysql]# cd /usr/local/src

[root@localhost src]# tar -zxvf snort-2.8.4.1.tar.gz

进入目录

解压文件

[root@localhost src]# cd snort-2.8.4.1

[root@localhost snort-2.8.4.1]# ./configure --with-mysql=/usr/local/mysql

Snort调用mysql

没有错误，我们继续

执行命令make

[root@localhost snort-2.8.4.1]# make

执行make install 命令

[root@localhost snort-2.8.4.1]# make install

创建配置文件目录，和日志目录

[root@localhost snort-2.8.4.1]# mkdir /etc/snort

[root@localhost snort-2.8.4.1]# mkdir /var/log/snort

[root@localhost snort-2.8.4.1]# cd /usr/local/src

[root@localhost src]# tar -zxvf snortrules-snapshot-CURRENT.tar.gz

解压规则文件包

解压后查看一下

[root@localhost src]# mv rules/ /etc/snort/

[root@localhost src]# mv doc /etc/snort/

[root@localhost src]# cd etc

[root@localhost etc]# ls

classification.config Makefile.am sid threshold.conf

generators open-test.conf sid-msg.map unicode.map

gen-msg.map reference.config snort.conf

[root@localhost etc]# cp * /etc/snort/

[root@localhost etc]# pwd

/usr/local/src/etc

[root@localhost etc]#

我们需要拷贝rules 文件doc文件 以及etc下的所有文件到/etc/snort

下面我们需要修改snort.conf 这个配置文件

修改网段

修改此处路径为rules的绝对路径

修改829行 修改用户，密码，以及主机名，还有就是把前面的#号去掉

这里我就把密码设为123了

启用规则Web backdoor shellcode policy porn info icmp virus chat multimedia p2p等，具体请参考图示

修改完毕保存退出

创建snort数据库

[root@localhost etc]# /usr/local/mysql/bin/mysqladmin -u root password 123

[root@localhost etc]# /usr/local/mysql/bin/mysql -u root -p

Enter password:

##赋予root用户远程密码123

##用root用户远程登录mysql，输入密码

Welcome to the MySQL monitor. Commands end with ; or \g.

Your MySQL connection id is 2 to server version: 4.0.27

Type 'help;' or '\h' for help. Type '\c' to clear the buffer.

mysql>

mysql> GRANT ALL PRIVILEGES ON *.* TO 'root'@'%' IDENTIFIED BY '123' WITH GRANT OPTION;

Query OK, 0 rows affected (0.00 sec)
mysql>
赋予root用户对数据库的权限

mysql> create database snort ;

Query OK, 1 row affected (0.00 sec)

##创建数据库snort

mysql>connect snort ;

Connection id: 8

Current database: snort

连接或者说是使用snort数据库

mysql>source /usr/local/src/snort-2.8.4.1/schemas/create_mysql ;

##使用 create_mysql 创建脚本

##用source 命令指定路径

##该脚本的具体位置参考下文蓝色部分，是snort解压后的目录下schemas里的

[root@localhost etc]# cd /usr/local/src/snort-2.8.4.1/schemas/

[root@localhost schemas]# ls

create_db2 create_mysql create_postgresql Makefile.am

create_mssql create_oracle.sql Makefile Makefile.in

[root@localhost schemas]# pwd

/usr/local/src/snort-2.8.4.1/schemas

[root@localhost schemas]#

执行下列命令

mysql>grant CREATE,INSERT,SELECT,DELETE,UPDATE on snort.* to snort;

Query OK, 0 rows affected (0.00 sec)

mysql>grant CREATE,INSERT,SELECT,DELETE,UPDATE on snort.* to snort@localhost;

Query OK, 0 rows affected (0.00 sec)

mysql> flush privileges; ##刷新

Query OK, 0 rows affected (0.01 sec)

mysql>

这时候 就可以用show tables ;命令查看创建的表了

注意：sql语句用分号结尾

退出数据库，这时我们可以用这样两条命令启动snort

#snort -d -h 192.168.1.0/24 -l /var/log/snort -c /etc/snort/snort.conf -i eth0 -A full
# snort -d -D -c /etc/snort/snort.conf
不过前一条会出现很多信息

[root@localhost schemas]# snort -c /etc/snort/snort.conf

假如只用一个-c参数的话 最后会出现一个初始化完成的画面，这可以说明我们的snort安装已经没有问题了

第五步 安装Apache

[root@localhost schemas]# cd /usr/local/src

[root@localhost src]# tar -zxvf httpd-2.0.58.tar.gz

进入目录

解压文件

解压完成后，进入目录，执行./configure

这里呢由于命令较长，所以用一个\ 表示命令没打完

[root@localhost httpd-2.0.58]# ./configure \

> --prefix=/usr/local/apache \

> --enable-module=ssl \

> --enable-module=so

其实这条命令等同于

[root@localhost httpd-2.0.58]# ./configure --prefix=/usr/local/apache --enable-module=ssl --enable-module=so

##这里指明Apache的安装路径 以及动态调用的模块

准备完成，没有错误

[root@localhost httpd-2.0.58]# make

使用make命令

执行安装

Make install

Ok 安装完毕

[root@localhost httpd-2.0.58]# /usr/local/apache/bin/apachectl start

[root@localhost httpd-2.0.58]# netstat -tnl

启动一下Apache看看，没问题在查看一下端口

这里的tcp链接呢是有80的，说明我们Apache安装成功

3306是mysql的端口，这里需要注意的是，我们源码包安装后，启动方法是和rpm有区别的

如果你的Apache服务起不来，请确保rpm包的httpd服务没有占用80端口，

第六步，安装php

[root@localhost httpd-2.0.58]# cd /usr/local/src/

[root@localhost src]# tar -zxvf php-4.4.2.tar.gz

进入目录，解压文件

[root@localhost src]# cd php-4.4.2

[root@localhost php-4.4.2]# ./configure \

>--prefix=/usr/local/php \

>--with-mysql=/usr/local/mysql \

>--with-apxs2=/usr/local/apache/bin/apxs \

> --with-gd \

>--with-zlib

具体命令 就是指明php的安装路径，以及调用mysql Apache gd是制图工具，zlib库文件

执行make命令

执行make install 命令

安装完成

[root@localhost php-4.4.2]# cp php.ini-dist /usr/local/bin/php.ini

复制配置文件

修改apache配置文件 使其能够识别.PHP结尾的网页文件

[root@localhost php-4.4.2]# vi /usr/local/apache/conf/httpd.conf

加入

AddType application/x-httpd-php .php

注意大小写，

重启Apache 服务

[root@localhost php-4.4.2]# /usr/local/apache/bin/apachectl stop

[root@localhost php-4.4.2]# /usr/local/apache/bin/apachectl start

[root@localhost php-4.4.2]#

写一个php的测试页

[root@localhost php-4.4.2]# vi /usr/local/apache/htdocs/index.php

#这个测试页内容的意思就是在屏幕上输出一个Happy Birthday !!!
#用root用户密码123 登录位于192.168.1.101上的数据库
#创建一个test1 的数据库

我们登录数据库看一下，这个test1 与没有创建出来
[root@localhost php-4.4.2]# /usr/local/mysql/bin/mysql -u root -p

Enter password:

Ok。我们的php已经可以正常的连接mysql了

第七步 .安装acid+adodb+jpgraph

[root@localhost src]# tar -zxvf jpgraph-1.27.tar.gz

具体命令：

[root@localhost src]# mv acid /usr/local/apache/htdocs/

[root@localhost src]# mv adodb /usr/local/apache/htdocs/

[root@localhost src]# mv jpgraph-1.27 /usr/local/apache/htdocs/ jpgraph

这里呢，我是剪切过去的，但jpgraph-1.27是剪切后改名字为 jpgraph

修改acid的配置文件

[root@localhost src]# vi /usr/local/apache/htdocs/acid/acid_conf.php

#注意路径

$DBlib_path = "";

修改为

修改数据库名字，端口默认那就好了，用户名 ，已经用户密码

69行这里也需要填写绝对路径

这里呢

/usr/local/mysql/bin/mysqld_safe --user=mysql &

snort -d -D -c /etc/snort/snort.conf

/usr/local/apache/bin/apachectl start

这些命令呢。我们可以写入/etc/rc.local 让它开机自动运行

[root@localhost bin]# vi /etc/rc.local

#打开浏览器 输入http://你的ip地址/acid/acid_main.php

选择setup page

选择。Create Acid AG

可以看到已经成功安装了

回到/acid

现在就可以访问HTTP：//192.168.1.101/acid 了

这个就是查看UDP数据包的结果

第八步：简单测试

以下是我进行ICMP 攻击时候的样子

具体信息

不过源地址都是伪造的，哈哈，还不错吧，试试呗