我是 Linux 环境的新手。我试图在我的 Ubuntu 机器上安装 snort,安装时,它经常卡在中间并显示: libnet, zlib, daq are not found
。所以我尝试下载这些软件包。然后我再次开始安装 snort,这次显示pcre is not found
。在 Windows 中,如果我安装某些软件,它会询问需要安装这些软件包,然后它会下载这些软件包来执行安装。同样,在安装开始之前,是否有任何命令或其他东西可以知道需要哪些文件。
答案1
呼噜是一个基于签名的入侵检测系统,它根据您使用的规则丢弃或接受来自特定接口的数据包。请按照以下步骤正确安装它:
第一部分:准备系统
在实际安装 Snort 之前,请运行以下命令来安装所有必需的先决条件:
sudo apt-get update
sudo apt-get dist-upgrade
运行上述命令后重新启动系统
再次打开命令行界面并运行以下命令:
sudo apt-get install build-essential sudo apt-get install -y libpcap-dev libpcre3-dev libdumbnet-dev sudo apt-get install -y zlib1g-dev liblzma-dev openssl libssl-dev sudo apt-get bison flex
现在您的系统已准备好安装 Snort
第二部分:安装 Daq
Snort 需要“Daq”才能运行。您可以为所有下载内容创建一个单独的文件夹 mkdir ~/snort
。它将把所有下载内容保存在一个地方。使用以下命令下载并提取“Daq”:
cd ~/snort
wget https://www.snort.org/downloads/snort/daq-2.0.6.tar.gz
tar -xvzf daq-2.0.6.tar.gz
cd daq-2.0.6
./configure
make
sudo make install
- 上述命令将下载“daq”源代码,然后正确安装。
第三部分:安装 Snort
您现在可以下载 Snort 源代码了。运行以下命令:
cd ~/snort
wget https://www.snort.org/downloads/snort/snort-2.9.8.3.tar.gz
tar -xvzf snort-2.9.8.3.tar.gz
cd snort-2.9.8.3
./configure
make
sudo make install
sudo ldconfig
sudo ln -s /usr/local/bin/snort /usr/sbin/snort
Snort 现已安装在您的系统上,但您仍需要正确配置它才能使用它。运行该snort -V
命令以确保 Snort 已正确安装在您的系统上。
第四部分:创建一些必需的目录
“Snort” 需要一些文件夹和文件来放置其日志、错误和规则文件。如果您擅长使用 bash 脚本,请创建它,否则请立即运行这些命令,或者您可以逐个执行它们:
sudo groupadd snort
sudo useradd snort -r -s /sbin/nologin -c SNORT_IDS -g snort
sudo mkdir /etc/snort
sudo mkdir /etc/snort/rules
sudo mkdir /etc/snort/rules/iplists
sudo mkdir /etc/snort/preproc_rules
sudo mkdir /usr/local/lib/snort_dynamicrules
sudo mkdir /etc/snort/so_rules
sudo touch /etc/snort/rules/iplists/black_list.rules
sudo touch /etc/snort/rules/iplists/white_list.rules
sudo touch /etc/snort/rules/local.rules
sudo touch /etc/snort/sid-msg.map
sudo mkdir /var/log/snort
sudo mkdir /var/log/snort/archived_logs
sudo chmod -R 5775 /etc/snort
sudo chmod -R 5775 /var/log/snort
sudo chmod -R 5775 /var/log/snort/archived_logs
sudo chmod -R 5775 /etc/snort/so_rules
sudo chmod -R 5775 /usr/local/lib/snort_dynamicrules
sudo chown -R snort:snort /etc/snort
sudo chown -R snort:snort /var/log/snort
sudo chown -R snort:snort /usr/local/lib/snort_dynamicrules
cd ~/snort/snort-2.9.8.3/etc/
sudo cp *.conf* /etc/snort
sudo cp *.map /etc/snort
sudo cp *.dtd /etc/snort
cd ~/snort/snort-2.9.8.3/src/dynamic-preprocessors/build/usr/local/lib/snort_dynamicpreprocessor/
sudo cp * /usr/local/lib/snort_dynamicpreprocessor/
警告:请不要忽略这些命令。
第六节:编辑 Snort 配置文件
我们还需要修改一些配置文件,以便在网络入侵检测模式下运行 Snort。为此,我们需要注释掉 snort 配置文件中的所有规则。命令如下:
sudo sed -i "s/include \$RULE\_PATH/#include \$RULE\_PATH/" /etc/snort/snort.conf
一旦注释掉所有规则,就可以测试运行 Snort 了。
第七部分:测试 Snort
为了确保 Snort 在网络入侵检测模式下运行,我们需要在规则文件中插入一条规则。因此,打开它并运行以下规则:
alert ip any any -> any any (msg:"ATTACK RESPONSES id check returned root"; content: "uid=0(root)"; classtype:bad-unknown;
sid:498;修订:3;)
- 现在使用以下命令运行 Snort:
sudo snort -A console -q -u snort -g snort -c /etc/snort/snort.conf -i ens3
笔记:它将开始监听接口 ens3,因此,请确保将其替换为您的接口名称。运行 Snort 后,打开另一个SSH 连接到服务器并运行此命令:ping -b 255.255.255.255 -p "7569643d3028726f6f74290a" -c3
现在您应该能够在启动 Snort 的 SSH 上看到警报。