Linux下入侵检测系统

1、 资料 Linux 下入侵检测系统(snort +guardian)Linux , guardian , snort , 入侵检测系统文章来源: 原创 作者 : 没长叶子的树2007-05-09 . 05/51003176_3.shtml入侵检测 构建小型入侵检测系统libpcap 下载地址: Snort: 下载地址: /dl/current/snort-.tar.gzguardian 下载地址: /dl/contrib/. guardian-1.6.tar.gzpcre 下载地址: . p;releas

2、e_id=472551安装 : 解压 libpcap 包 , 并进入解压出来的目录, 执行 ./configure 执行 make ; make install 命令编译并安装 执行 updatedb ; locate libpcap 命令 , 如果有信息返回, 则说明 libpcap 安装成功, 如果没有则说明安装未成功, 需要重新安装. 解压 pcre 包 , 并在解压出的目录中执行./configure ; make ; make install安装 . 解压 snort 包并进入其目录, 执行 ./configure 执行 make ; make install 安装 snort.注意

3、 : 在执行 snort 的 ./configure 时 , 可以使用-enable-smbalerts 选项 , 该选项可以通过SAMBA! snort的报警消息发送到Windows主机。配置 snort: 在解压出来的snort 目录下执行cp etc/snort.conf /etc 在解压出来的snort 目录下执行mkdir /etc/snort . 在 /pub-bin/downloads.cgi下载 snort 规则文件, 并将其放在/etc/snort 目录下 , 并对其解包.注意 :snort 规则需下载注册用户的. 执行 mkdir /v

4、ar/log/snort 命令 , 创建 snort 日志目录 vi /etc/snort.conf 文件 , 跳到第 26 行 , 放开 var HOME_NET 字段 , 并在后面按原来的格式填上要监控的网段. 跳到 114 行 , 找到 var RULE_PATH 字段 , 并在其后面填上完整的snort 规则存放路径, 这里为 /etc/snort/rules. 跳到第 476 行 , iis_unicode_map 字段 , 在其后面写上/etc/snort/rules/unicode.map1252 跳到第 905 行 , 找到 include classification.con

5、fig项 , 将其改为: include/etc/snort/rules/classification.config 跳到第 913 行 , 找到 include reference.config 项 , 将其改为include/etc/snort/rules/reference.config 将 /usr/local/bin/snort -d -D -h /24 -c /etc/snort.conf添加到/etc/rc.d/rc.local 文件中 .注意：在此处的-h后面应该填上要监控的网段，这一部的意思是开机自动启动NIDS入侵检测系统 .? /etc/snort/ru

6、les 跳到第 953 行 , 找到 include $RULE_PATH/bad-traffic.rules . 从这行开始一直到最后, 全部为 snort 的规则集合, 可根据个人需要进行调试. 以 # 号为准表示是否启用.? 建议去掉这些规则前面的# 号 , 即放开这些规则.# include $RULE_PATH/web-attacks.rules# include $RULE_PATH/backdoor.rules# include $RULE_PATH/shellcode.rules# include $RULE_PATH/policy.rules# include $RULE_P

7、ATH/porn.rules# include $RULE_PATH/info.rules# include $RULE_PATH/icmp-info.rules# include $RULE_PATH/virus.rules# include $RULE_PATH/chat.rules# include $RULE_PATH/multimedia.rules# include $RULE_PATH/p2p.rules# include $RULE_PATH/spyware-put.rules配置 guardian: 解包, 跳转到解压出来的目录, 依次执行以下几条复制命令. echo >

8、; /etc/guardian.ignore cp guardian.pl /usr/local/bin/ cp scripts/iptables_block.sh /usr/local/bin/guardian_block.sh cp scripts/iptables_unblock.sh /usr/local/bin/guardian_unblock.sh cp guardian.conf /etc/ 执行 vi /etc/guardian.conf 命令编辑guardian 的配置文件. 找到 HostIpAddr , 将其前面的# 好去掉 , 并在其后面填上本机的IP 地址 . 找到

9、Interface, 在后面写上监控的网卡地址名称. LogFile 定义 guardian 的日志文件.注意 : 该文件需要根据定义的路径手动创建, 其权限设为600? IgnoreFile 要忽略的IP 地址存放文件, 即要对某个IP 地址不做检测, 将其加在该文件中即可 .? TimeLimit 定义封锁IP 的最长时间,当为 99999999 时为没有时限.? AlertFile 定义从那里读取snort 的日志 , 在此处为/var/log/snort/alert , 这里要填写绝对路径.? 将 /usr/bin/perl /usr/local/bin/guardian.pl -c

10、/etc/guardian.conf命令加入到/etc/rc.d/rc.local 文件中 , 让其开机自动执行.配置 snort 规则自动更新 编写以下脚本:#!/bin/sh cd /etc/snortwget /pub-bin/dow . ot-CURRENT_s.tar.gztar zxvf snortrules-snapshot-CURRENT.tar.gz exit 0 将以上内容保存为snortupdate.sh , 并用 chmod a+x 给予其可执行权限. 将 snortupdate.sh 文件放到/etc/cron.daily 文件夹

11、中, 或者用 crontab -e 命令 , 在cron 程序的配置文件中加入“ 0 3 * * * snortupdate.sh 文件存放路径”一行 , 让其每天3 点自动执行一次更新脚本.解决 guardian 程序自动退出问题有时候 guardian 程序会自动退出, 所以编写以下脚本#!/bin/bash/usr/local/bin/snort -d -D -h /24 -c /etc/snort.conf/usr/bin/perl /usr/local/bin/guardian.pl -c /etc/guardian.conf将其保存为可执行文件, 放到 /etc/

12、cron.hourly 文件夹中, 让其每小时自动启动一次.说明 :该 IDS 系统首先用snort 来进行监控, 并记录日志, 然后通过guardian 程序对日志文件进行分析 , 发现有恶意IP 访问时自动将其转给iptables 并将拒绝其访问请求. 所以需要iptables 的支持 , 使用 chkconfig -level 2345 iptables on命令让 iptables 自动启动.用chkconfig -level 2345 crond on设置 cron 程序自动运行.snort 的日志文件为/var/log/snort/alertguardian 需要 perl 语言的

13、支持, 需先安装perl 语言 . 构建大型入侵检测系统软件包:mysql下载地址:httpd下载地址:php 下载地址: adodb下载地址:base 下载地址: 注意：在该方案中mysql版本为5.0.37 , PHP版本为4.4.2。 . 搭建 apache+php+mysql 环境安装 mysql说明 : 在安装 mysql 之前 , 建议用 linux 图形界面中的软件包管理工具删除掉系统原有的mysql 数据库及其相关的所有程序 groupadd mysql useradd -g mysql mysql 解压 mysql 安装包包, 将解压出来的目录更名为mysql 并将整个目录移

14、动到/usr/local下 cd /usr/local/mysql scripts/mysql_install_db -user=mysql chown -R root . chown -R mysql data chgrp -R mysql . bin/mysqld_ safe -user=mysql &注意 : 该命令是以mysql 用户来启动数据库, 并在后台运行, 如果报告错误, 可重启计算机后执行 .安装 apache（ 建议删除掉系统原有的httpd 服务及其相关的软件包） 解压 apache 包 进入到解压出来的目录，执行以下配置命令 ./configure-prefix

15、=/usr/local/apache2/ -enable-module=ssl-enable-module=so -enable-module=rewrite 执行上面命令的时候注意中途有没有报错，如果报错需要根据错误重新配置。 执行 make ; make install 编译安装 安装 PHP 切换到 php 目录，执行以下命令 ./configure-with-apxs2=/usr/local/apache2/bin/apxs-with-mysql=/usr/local/mysql 执行 make ; make install 编译安装 在当前目录下执行cp php.ini-dist /

16、usr/local/lib/php.ini命令来复制php 配置文件。 vi /usr/local/apache2/conf/httpd.conf文件，查找LoadModule php4_modulemodules/libphp4.so 字段，如果没有则手动加到第53 行附近。 在该文件的第305 行下面加入AddType application/x-httpd-php-source .phpsAddType application/x-httpd-php .php .phtml 保存退出，执行/usr/local/apache2/bin/apachectl -t命令检查apache 配置文件

17、的正确性，如果配置无误的话会提示Syntax OK 。 执行 /usr/local/apache2/bin/apachectl start命令启动apache ，如果没有提示则表示启动成功。. 重新安装配置snort 配置snort ./configure -with-mysql=/usr/local/mysql make;make install 根据前面的配置方法对snort 进行配置。 . 建立 snort 数据库 执行/usr/local/mysql/bin/mysql 命令连接mysql 数据库 执行 create database snort; 创建 snort 数据库 执行 gr

18、ant INSERT,SELECT on snort.* to snortlocalhost; #其中 snortlocahost中的 snort 为管理 snort 数据库的用户名, 可自行定义, 但是要和后面的一致. 执行 set password for 'snort''localhost'=password('snort'); #对 snort 账户设置密码 , 括号内单引号中的内容为密码内容. 以上三条命令如果执行成功会有提示, 注意后面的分号. 执行 exit 退出数据库. 在解压出来的 snort安装目录中，执行/usr/local

19、/mysql/bin/mysql- D snort - uroot - p < ./schemas/create_mysql命令 , 然后输入mysql 数据库 root 账户的密码, 如果没有密码则直接回车, 稍等完成snort 数据库的创建. . 配置 snort 日志存放方式, 即将日志导入到数据库中.编辑 /etc/snort.conf 文件 , 并跳转到第830 行 , 做如下更改.output database: alert, mysql, user=snort password=snort dbname=snorthost=localhost将这一行前面的#号去掉, 后面的

20、字段中user 为 snort 数据库的用户名,password 为密码 ,其他的不用改. 保存退出即可. 配置 base 将 base 的安装包解压, 并将解压出来的目录更名为base, 存放到/usr/local/apache2/htdocs 目录下 . vi /usr/local/apache2/conf/httpd.conf文件 , 在 252 行附近加入以下内容Alias /base "/usr/local/apache2/htdocs/base"<Directory "/usr/local/apache2/htdocs/base">

21、;AllowOverride NoneOptions NoneOrder allow,denyAllow from allDirectoryIndex index.php</Directory> 解压 adodb 安装包 , 并将解压出来的目录更名为adodb, 放在/usr/local/apache2/htdocs 目录下 . 在 /usr/local/apache2/htdocs/base目录下执行以下几步操作. cp base_conf.php.dist base_conf.php vi base_conf.php 更改以下几个地方 $BASE_urlpath , 此处指定base 的存放位置, 将其改为./base $BASE_installID 此处设置base 系统的标题, 可自定义, 为可选项 $DBlib_path = '/usr