Bài hướng dẫn này sử dụng ubuntu.
Tạo password root
$sudo passwd
[sudo] password for ......: nhập pass của user....
Enter new UNIX password:
Retype new UNIX password:
passwd: password update successfully
Từ bây giờ khởi động ubuntu bạn chuyển về root để dễ dàng trong vấn đề cài đặt nhé.
$ su
Password:
root@.........#
Snort và các option cơ bản trong snort
Cài đặt snort:
#apt-get install snort
Để xem các giao thức TCP, IP hearder chúng ta dùng option -v
#snort -v
Xem application-layer headers dùng -d, xem data link-layer headers dùng -e, chúng ta có thể sử dụng cả 3 option như sau:
#snort -dev
Xuất ra file log dùng option -l
#snort -de -l /var/log
Ghi log với mã nhị phân
#snort -l /var/log -b
Ghi log với những thông tin của đường mạng -h
#snort -l /var/log -h 192.168.1.0/24
Ghi log với tên định trước -L
#snort -l /var/log -L test
Start snort với rules trong file snort.conf
#snort -c /etc/snort/snort.conf
Start snort với fast option dùng -A
#snort -dev -c /etc/snort/snort.conf -A fast
Đọc file log -r
#snort -dv -r /var/log/snort.log.1085725466
Đọc file log và lưu các traffic với mã nhị phân ASCII
#snort -dv -r /var/log/snort.log.1048454844 -l /var/log
Đọc file log và chỉ show các traffic có dạng TCP
#snort -dv -r /var/log/snort.log.444657944 tcp
Chạy snort với mode background
#snort -D -c/etc/snort/snort.conf -l /var/log
Để xem snort đăng chạy với chế độ nào:
#ps -ef | grep snort
Tích hộp các ứng dụng giao diện cho snort
Apache HTTP Server
Từ terminal gõ:
# apt-get install apache2
Khởi động Apache server:
# /etc/init.d/apache2 start
Test: mở mozilla firefox gõ: localhost
How to install PHP 5
# apt-get install php5
# apt-get install libapache2-mod-php5
# a2enmod php5
khởi động lại apache
# /etc/init.d/apache2 restart
Thư mục /var/www/ sẽ là thư mục gốc.
How to install MYSQL for Apache HTTP Server
# apt-get install mysql-server
# gedit /etc/mysql/my.cnf
Tìm dòng bind-address = 127.0.0.1 và bõ dấu comment
...
#bind-address = 127.0.0.1 -> bind-address = 127.0.0.1
...
khởi động lại mysql
# /etc/init.d/mysql restart
# apt-get install libapache2-mod-auth-mysql
# apt-get install php5-mysql
# aptitude install phpmyadmin
# gedit /etc/php/apache2/php.ini
Bạn sẽ bỏ dấu comment ";extension=mysql.so" thành
...
extension=mysql.so
...
Mở mozilla firefox và gõ: http://localhost/phpmyadmin
Chúng ta đã cài xong mysql và apache để phục vụ cho snort.
Chúng ta cấu hình (tạo cơ sở dữ liệu để lưu log)
# mysql -u root -p
mysql>create database snort;
mysql>grant create,select,delete,update,insert on snort.* to snort@localhost;
mysql>grant create,select,delete,update,insert on snort.* to snort;
mysql>set password for snort@localhost=password(``your_pass`);
mysql>show grants for `snort`@`localhost`;
mysql> exit;
Chúng ta tạo xong database và chia quyền cho user snort
Kế tiếp import table cho database snort
file import vào chứa trong thư mục snort, nên chúng ta cần cài snort, sau đó sẽ import vào sau, vậy bây giờ cài snort nhé.
How to install SNORT for mysql
# apt-get install snort-mysql
# gedit /etc/snort/snort.conf
Tìm đến và sửa thành:
output database: log, mysql, user=snort password=your_password dbname=snort host=localhost
bỏ dấu # ở đầu dòng nhé.
Tìm đến dòng
output database: log, mysql,
Bỏ dòng này bằng cách thêm dấu # đầu dòng.
Bây giờ chúng ta thực hiện thao tác import table cho snort
Chuyển tới thư mục chứa file tạo bảng.
# cd /usr/share/doc/snort-mysql
# zcat create_mysql.gz | mysql -u snort -p snort
Bạn mở phpmyadmin hoặc vào thẳng trong mysql để xem bảng của database.
# mysql -u snort -p
mysql> show databases;
+------------+ | Database +------------+ | mysql | snort | test +------------+ 3 rows in set (0.00 sec) mysql> use snort; >Database changed mysql> show tables; +------------------+ | Tables_in_snort +------------------+ | data | detail | encoding | event | flags | icmphdr | iphdr | opt | protocols | reference | reference_system | schema | sensor | services | sig_class | sig_reference | signature | tcphdr | udphdr +------------------+ +------------------+ 19 rows in set (0.00 sec)>Bye
Tùy theo bảng snort mà chúng ta có 19 table hay 16 table.
Thế là xong. bây giờ khởi động snort.
# snort -d -v -D -i eth0 -c /etc/snort/snort.conf
Để test thử xem snort làm ăn ra sao rùi, bạn dùng chương trình nmap để scan vào máy có dịch vụ snort nhé.
# mysql -u snort -p
mysql>select * from event;
+--------+---------+--------------+---------------------------+ | sid | cid | signature | timestamp |
+--------+-------- +--------------+---------------------------+
| 1 | 1 | 1 |2009-09-29 14:38:57 | | 1 | 2 | 2 |2009-09-29 14:38:57 |
................ thế là thành công một tí rồi.
How To install BASE:
Cần cài đặt adodb:
Tải về từ: http://sourceforge.net/projects/adodb/files/adodb509a.tgz
http://sourceforge.net/projects/adodb/files/adodb-php5-only/adodb-509a-for-php5/adodb509a.tgz/download Chúng ta copy vào thư mục /var/www
#cp adodb590a.tgz /var/www
#cd /var/www
giải né:
#tar -xvzf adodb590a
Tải BASE
http://sourceforge.net/projects/secureideas/files/
http://sourceforge.net/projects/secureideas/files/BASE/base-1.4.4/base-1.4.4.tar.gz/download
Copy vào thư mục /var/www
#cp base-1.4.4.tar.gz
#cd /var/www
giải nén
#tar -xvzf base-1.4.4.tar.gz
Đổi tên file base_conf.php.dist thành base_conf.php
#cp base_conf.php.dist base_conf.php
#gedit base_conf.php.php
chỉnh các dòng sau:
$DBlib_path = '/var/www/adodb'; $DBtype = 'mysql'; $alert_dbname = 'snort'; $alert_host = 'localhost'; $alert_port = ''; $alert_user = 'snort'; $alert_password = 'your_password'; $archive_exists = 1; # Set this to 1 if you have an archive DB $archive_dbname = 'snort'; $archive_host = 'localhost'; $archive_port = ''; $archive_user = 'snort'; $archive_password = 'your_password'; /* Whois query */ $external_whois_link = 'index.php'; /* DNS query */ $external_dns_link = 'index.php'; /* SamSpade "all" query */ $external_all_link = 'index.php'; Sửa lại đường dẫn cho BASE: Thử nhé
Đổi đường dẫn cho base:
# mv base-1.4.4/ base/
Mở trình duyệt:
htttp://localhost/base/
Theo phiên bản này thì khi tôi cài có một số lỗi trong các file của index.php.
Chúng ta mở code và chỉnh sửa các lỗi lại, thông thường là do không tồn tại các files .php trong khai báo của trang chủ, chúng ta xóa các khai báo include này đi.
và cuối cùng chúng ta được
Click vào Create BASE để tạo cơ sở dữ liệu cho BASE
|
