在Debian上安裝輕量級入侵監測系統(轉)

在Debian上安裝輕量級入侵監測系統(轉)[@more@]

snort是著名的輕量級IDS，昨天受一位網友提醒，首次嘗試在debian上安裝，過程非常簡單。

為了便於分析結果，還安裝了ACID。以下簡要說一下過程。

首先安裝apache+php4+mysql，網上有大量的相關文件，不再浪費資源論述。

建立mysql儲存snort輸出的資料庫snortdb；

建立管理該資料庫的帳號snort@localhost，除了GRANT許可權都給。

不熟悉mysql命令的可以用phpmyadmin(這個玩意以前bug比較多)

基於web的視覺化mysql管理工具

安裝snort-mysql，會自動安裝snort-common，snort-rules-default

#apt-get install snort-mysql

安裝完以後回答配置指令碼的幾個問題，然後記得把snortdb裡的tables建立起來

zcat /usr/share/doc/snort-mysql/contrib/create_mysql.gz | mysql -u [id] -p -h [host] [snort-database]

如果跟我上面說的一樣，[id]=snort [host]=localhost [snort-database]=snortdb

你或許希望手動修改/etc/snort/snort.conf /etc/snort/rules/* 來迎合自己的系統情況。

安裝acidlab

#apt-get install acidlab

也要回答幾個問題，snort-achieve-db也用snotdb這個庫

好了，大功告成，在瀏覽器裡看看http://[yourhost]/acidlab/ 往下不用我多說了。

Debian真是好，省得自己一點一點改指令碼讓這幾個東西配合。

最後提醒注意兩點

1 建立.htpasswd保護http://[yourhost]/acidlab/目錄

2 記得經常更新你的snort-rule