mehdi_sabzeie
Member
مقاله راهنماي نصب Snort
توجه: اين نوشته تحت قانون كپي رايت نيست و هر بلايي خواستيد مي توانيد سر آن در بياوريد:
نصب Snort، Apache، PHP، MySQL و Acid بر روي RH9.0
ACID: Analysis Console for Intrusion
مقدمه:
در اين مقاله نحوه نصب سيسنم تشخيص نفوذ Snort و Acid ارايه مي شود. توصيه مي شود كه از اديتور pico استفاده شود. در نصب Linux بايد به خاطر داشته باشيد كه ابزارهاي Apache، PHP يا MySQL را به هيچ عنوان نصب نكنيد. نصب اين ابزارها در هنگام نصب سيستم عامل باعث ايجاد تغييراتي در Kernel سيستم عامل مي شود كه مشكلات بسياري را ايجاد مي كند.
Download فايل هاي مورد نياز:
پيشنهاد مي شود فايل هاي مورد نياز را با توجه به آخرين نسخه آن از روي اينترنت Download كنيد. همچنين آنها را براي سهولت در دسترسي در يك شاخه مجزا نگهداري كنيد. ( براي مثال در /root/snortinstall). همچنين اگر به عنوان كاربر root وارد نشده ايد مي توانيد با استفاده از دستور su – و وارد كردن رمز عبور به عنوان كاربر مدير وارد شويد. در اينجا براي دسترسي به سرور از SSH استفاده مي كنيم. براي download فايل هاي مورد نياز، از دستور wget استفاده مي كنيم. همچنين برنامه هاي ديگري چون putty نيز براي اينكار وجود دارد.
آدرس هاي زير براي download بسته هاي مورد نياز در دسترس هستند:
Snort 2.0.2:
http://www.snort.org/dl/
MySQL 4.0.15a Source:
http://mysql.secsup.org/Downloads
apache 2.0.47:
http://www.apache.org/
PHP 4.3.3:
http://www.php.net/distributions
ADODB 3.90:
http://phplens.com/lens/dl/
Acid 0.9.6b23:
http://acidlab.sourceforge.net
Zlib 1.1.4:
http://flow.dl.sourceforge.net/sourceforge/libpng
JPGraph 1.13:
http://www.aditus.nu/jpgraph/downloads/
LibPcap 0.7.2:
http://www.tcpdump.org/release
آمادگي براي نصب:
Preparing for the install:
قبل از آغاز به نصب اطمينان حاصل كنيد كه تمام بسته هاي مورد نياز را download كرده ايد. سپس مراحل ذيل را انجام دهيد:
نصب zlib:
tar -xvzf zlib-1.1.4.tar.gz
cd zlib-1.1.4
./configure; make test
make install
cd ..
نصب LibPcap:
tar –xvzf libpcap-0.7.2.tar.gz
cd libpcap-0.7.2
./configure
make
make install
cd ..
نصب MySQL:
براي ارتباط با MySQL بايد user و group اي براي MySQL با دستورات زير بسازيم.
groupadd mysql
useradd -g mysql mysql
در /root فايل پروفايل .bash را ويرايش كرده و PATH را به مقدار زير تغيير دهيد:
PATH=$PATH:$HOME/bin:/usr/local/mysql/bin
به شاخه اي كه بسته هاي دانلود شده در آن قرار دارد رفته و دستورات زير را براي نصب و پيكربندي MySQL را وارد كنيد:
tar –xvzf mysql-4.0.15a.tar.gz
cd mysql-4.0.15a
./configure --prefix=/usr/local/mysql
make
make install
scripts/mysql_install_db
chown -R root /usr/local/mysql
chown -R mysql /usr/local/mysql/var
chgrp -R mysql /usr/local/mysql
cp support- files/my-medium.cnf /etc/my.cnf
سپس خطوط “/usr/local/mysql/lib/mysql” و “/usr/local/lib ” را به فايل /etc/ld.so.conf اضافه كنيد. سپس فرمان ldconfig –v را اجرا كنيد.
براي تست اينكه آيا MySQL بدرستي نصب شده، در خط فرمان، دستور زير را تايپ كنيد:
/usr/local/mysql/bin/mysqld_safe --user=mysql &
در صورتي كه به هيچ مشكلي بر نخورديد، در خط فرمان دستور ps –ef |grep mysql را وارد كنيد. در خروجي بايد متن زير را مشاهده كنيد:
[root@IDS mysql-4.0.13]# ps -ef |grep mysql
root 13297 2290 0 11:20 pts/0 00:00:00 /bin/sh /usr/local/mysql/bin/mysqld_safe --user=mysql
mysql 13319 13297 3 11:20 pts/0 00:00:00 /usr/local/mysql/libexec/mysqld --basedir=/usr/local/mysql
--datadir=/usr/local/mysql/var --user=mysql --pid-file=/usr/local/mysql/var/patrick-redhat.pid --skiplocking
در صورتي كه به مشكل برخورد نكرديد، مي توانيد به مرحله بعد برويد. در مرحله بعد با ايجاد يك سري تغييرات، MySQL در هنگام بالا آمدن سيستم، شروع به كار مي كند.
تنظيم MySQL براي اجرا در هنگام شروع سيستم:
فايل mysql.server را از زيرشاخه support-files به شاخه /etc/init.d با نام mysql با استفاده از cp mysql.server /etc/init.d/mysql كپي كنيد. ( زير شاخه support-files در قسمت mysql قرار دارد. براي مثال اگر فايل هاي دانلود شده شما در شاخه /root/snortinstall باشد، مسير مورد نظر در /root/snortinstall/mysql-4.0.15a/support-files خواهد بود).
دستورات زير را براي ايجاد symbolic link هاي مورد نياز در هنگام راه اندازي سيستم در run level هاي ٣ و ٥ وارد كنيد. MySQL به طور اتوماتيك در هنگام راه اندازي سيستم اجرا خواهد شد.
cd /etc/rc3.d
ln -s ../init.d/mysql S85mysql
ln -s ../init.d/mysql K85mysql
cd /etc/rc5.d
ln -s ../init.d/mysql S85mysql
ln -s ../init.d/mysql K85mysql
cd ../init.d
chmod 755 mysql
نصب و پيكربندي Apache با PHP:
در اين قسمت سرور وب Apache را بر روي /www نصب مي شود. به شاخه اي كه در آن بسته هاي مورد نياز download شده اند رفته و سرور را نصب كنيد:
tar -xvzf httpd-2.0.47.tar.gz
cd httpd_2.0.47
./configure --prefix=/www --enable-so
make
make install
/www/bin/apachectl
سيستم را براي اطمينان از اينكه سرور وب به درستي كار مي كند، تست كنيد.
/www/bin/apachectl stop
cd ..
tar -xvzf php-4.3.3.tar.gz
cd php-4.3.3
./configure --prefix=/www/php --with-apxs2=/www/bin/apxs --with-config- filepath=/
www/php --enable-sockets --with-mysql=/usr/local/mysql --with-zlibdir=/
usr/local --with-gd (one line)
make
make install
cp php.ini-dist /www/php/php.ini
فايل httpd.conf را در /www/conf ويرايش كنيد:
LoadModule php4_module modules/libphp4.so
AddType application/x-httpd-php .php (hit ctrl-w and search for AddType)
DirectoryIndex index.php index.html index.html.var (Search for DirectoryIndex)
در اينجا خروجي شبيه اين ديده مي شود كه نشان مي دهد، تمام موارد بدرستي انجام پذيرفته است.
#
# LoadModule foo_module modules/mod_foo.so
#LoadModule php4_module modules/libphp4.so
# AddType allows you to tweak mime.types without actually editing it, or $
# make certain files to be certain types.
#
AddType application/x-tar .tgz
AddType image/x- icon .ico
AddType application/x-httpd-php .php
DirectoryIndex index.php index.html index.html.var
حال Apache 2.0.47 در /www نصب شده است. به شاخه /www/bin رفته و فرامين زير را وارد كنيد:
cp apachectl /etc/init.d/httpd
cd /etc/rc3.d
ln -s ../init.d/httpd S85httpd
ln -s ../init.d/httpd K85httpd
cd /etc/rc5.d
ln -s ../init.d/httpd S85httpd
ln -s ../init.d/httpd K85httpd
فرامين بالا يك سري كد قابل اجرا را به پروسه بوت سيستم در run level ٣ و ٥ اضافه مي كند. براي تست درستي نصب Apache و PHP فايل test.php را در /www/htdocs ايجاد كنيد و <?php phpinfo(); ?> را در آن اضافه كنيد. سپس Apache را با /etc/rc5.d/S85httpd start اجرا كنيد. حال با استفاده از Web Browser خود آدرس http://127.0.0.1/test.php را وارد كنيد. در اين حالت بايد بتوانيد صفحه را brows كنيد.
نصب و تنظيم Snort و Snort rules:
groupadd snort
useradd -g snort snort
mkdir /etc/snort
mkdir /var/log/snort
tar -xvzf snort-2.0.2.tar.gz
cd snort-2.0.2
./configure --with-mysql=/usr/local/mysql
make
make install
نصب rule ها و فايل conf از شاخه نصب Snort:
cd rules
cp * /etc/snort
cd ../etc
cp snort.conf /etc/snort
cp *.config /etc/snort
پيكربندي فايل snort.conf:
فايل snort.conf در شاخه /etc/snort قرار دارد.
متغيير HOME_NET تعيين كننده اين است كه شبكه شما چه گستره آدرسي دارد.
RULE_PATH تعيين كننده اين است كه مسير rule ها چيست.
همچنين در اينجا تعيين مي شود كه log هاي مربوط به ديتا بيس، رمز عبور و ... چگونه است.
تنظيم snort براي شروع خودكار:
اسكريپت موجود در contrib كه S99snort ناميده مي شود را در /etc/init.d با نام snort كپي كنيد. (cp contrib/S99snort /etc/init.d/snort) و تغييرات زير را در آن اعمال كنيد.
CONFIG=/etc/snort/snort.conf
SNORT_GID=snort
سپس مسير خود را به /etc/init.d تغيير داده و خطوط زير را تايپ كنيد:
chmod 755 snort
cd /etc/rc3.d
ln -s ../init.d/snort S99snort
ln -s ../init.d/snort K99snort
cd /etc/rc5.d
ln -s ../init.d/snort S99snort
ln -s ../init.d/snort K99snort
برپايي پايگاه داده در MySQL:
در اينجا از يك نماد > براي نشان دادن خروجي استفاده مي شود. به خاطر داشته باشيد كه پس از پايان هر دستور sql يك “;” بايد قرار داشته باشد.
/usr/local/mysql/bin/mysql
mysql> SET PASSWORD FOR root@localhost=PASSWORD('new_password');
>Query OK, 0 rows affected (0.25 sec)
mysql> create database snort;
>Query OK, 1 row affected (0.01 sec)
mysql> grant INSERT,SELECT on root.* to snort@localhost;
>Query OK, 0 rows affected (0.02 sec)
mysql> SET PASSWORD FOR snort@localhost=PASSWORD('new_password');
>Query OK, 0 rows affected (0.25 sec)
mysql> grant CREATE, INSERT, SELECT, DELETE, UPDATE on snort.* to snort@localhost;
>Query OK, 0 rows affected (0.02 sec)
mysql> grant CREATE, INSERT, SELECT, DELETE, UPDATE on snort.* to snort;
>Query OK, 0 rows affected (0.02 sec)
mysql> exit
>Bye
از snort نسخه ٢.٠.٢ فرمان زير را اجرا كنيد:
/usr/local/mysql/bin/mysql -u root -p < ./contrib/create_mysql snort
Enter password:
سپس جداول DB را با استفاده از فرمان هاي زير ايجاد كنيد:
cd contrib
zcat snortdb-extra.gz |/usr/local/mysql/bin/mysql -p snort
Enter password:
حال بايد از ايجاد جدول DB مطمئن شويم.
/usr/local/mysql/bin/mysql –p
>Enter password:
mysql> SHOW DATABASES;
حال بايد خروجي زير را ببينيد:
+------------+
| Database
+------------+
| mysql
| snort
| test
+------------+
3 rows in set (0.00 sec)
mysql> use snort
>Database changed
mysql> SHOW TABLES;
+------------------+
| Tables_in_snort
+------------------+
| data
| detail
| encoding
| event
| flags
| icmphdr
| iphdr
| opt
| protocols
| reference
| reference_system
| schema
| sensor
| services
| sig_class
| sig_reference
| signature
| tcphdr
| udphdr
+------------------+
19 rows in set (0.00 sec)>Bye
نصب JPGraph:
به شاخه download خود برويد:
cp jpgraph-1.13.tar.gz /www/htdocs
cd /www/htdocs
tar –xvzf jpgraph-1.13.tar.gz
rm –rf jpgraph-1.13.tar.gz
cd jpgraph-1.13
rm -rf README
rm -rf QPL.txt
نصب ADODB:
به شاخه download خود برويد:
cp adodb390.tgz /www/htdocs/
cd /www/htdocs
tar -xvzf adodb390.tgz
rm –rf adodb390.tgz
نصب و پيكربندي Acid:
به شاخه download خود برويد:
cp acid-0.9.6b23.tar.gz /www/htdocs
cd /www/htdocs
tar –xvzf acid-0.9.6b23.tar.gz
rm -rf acid-0.9.6b23.tar.gz
پيكربندي Acid:
به /www/htdocs/acid رفته و فايل acid_conf.php را ويرايش كنيد. اين فايل بايد شبيه اين باشد:
$DBlib_path = "/www/htdocs/adodb";
/* The type of underlying alert database
*
* MySQL : "mysql"
* PostgresSQL : "postgres"
* MS SQL Server : "mssql"
*/
$DBtype = "mysql";
/* Alert DB connection parameters
* - $alert_dbname : MySQL database name of Snort alert DB
* - $alert_host : host on which the DB is stored
* - $alert_port : port on which to access the DB
* - $alert_user : login to the database with this user
* - $alert_password : password of the DB user
*
* This information can be gleaned from the Snort database
* output plugin configuration.
*/
$alert_dbname = "snort";
$alert_host = "localhost";
$alert_port = "";
$alert_user = "snort";
$alert_password = "new_password";
/* Archive DB connection parameters */
$archive_dbname = "snort";
$archive_host = "localhost";
$archive_port = "";
$archive_user = "snort";
$archive_password = "new_password ";
And a little further down
$ChartLib_path = "/www/htdocs/jpgraph-1.13/src";
/* File format of charts ('png', 'jpeg', 'gif') */
$chart_file_format = "png";
Apache را start كرده و به آدرس http://yourhost/acid/acid_main.php برويد. پيغامي شبيه پيغام زير را مشاهده خواهيد كرد.
Click on the “Setup Page” hyperlink to create the tables that Acid uses, then you will see the
following.
سپس بر روي كليد “Create Acid AG” كليك كنيد. به آدرس http://yourhost/acid/ رفته و در اينجا شما بايد صفحه ACID را ببينيد.
امن سازي شاخه ACID:
mkdir /www/passwords
/www/bin/htpasswd -c /www/passwords/passwords acid
acid نام user اي است كه براي ورود به شاخه مورد نظر مورد نياز است. در اينجا لازم است كه رمز عبور را نيز وارد كنيد. فايل httpd.conf (/www/conf) را ويرايش كرده و خطوط زير را به ان اضافه كنيد:
<Directory "/www/htdocs/acid">
AuthType Basic
AuthName "SnortIDS"
AuthUserFile /www/passwords/passwords
Require user acid
</Directory>
حال سرويس http را با فرمان /etc/init.d/httpd ، restart كرده و به acid webpage رفته، نام كاربري و كلمه عبور خود را وارد كنيد.
Check to see if everything is working:
بررسي نهايي:
در اينجا بايد سيستم را مجددا راه اندازي كنيد تا از اينكه همه چيز به خوبي start مي شود مطمئن شويد. مي توانيد اين كار را با استفاده از دستور ps –ef |grep <service> نيز انجام دهيد كه در آن <service> مي تواند mysql، httpd و ... باشد.
توجه: اين نوشته تحت قانون كپي رايت نيست و هر بلايي خواستيد مي توانيد سر آن در بياوريد:
نصب Snort، Apache، PHP، MySQL و Acid بر روي RH9.0
ACID: Analysis Console for Intrusion
مقدمه:
در اين مقاله نحوه نصب سيسنم تشخيص نفوذ Snort و Acid ارايه مي شود. توصيه مي شود كه از اديتور pico استفاده شود. در نصب Linux بايد به خاطر داشته باشيد كه ابزارهاي Apache، PHP يا MySQL را به هيچ عنوان نصب نكنيد. نصب اين ابزارها در هنگام نصب سيستم عامل باعث ايجاد تغييراتي در Kernel سيستم عامل مي شود كه مشكلات بسياري را ايجاد مي كند.
Download فايل هاي مورد نياز:
پيشنهاد مي شود فايل هاي مورد نياز را با توجه به آخرين نسخه آن از روي اينترنت Download كنيد. همچنين آنها را براي سهولت در دسترسي در يك شاخه مجزا نگهداري كنيد. ( براي مثال در /root/snortinstall). همچنين اگر به عنوان كاربر root وارد نشده ايد مي توانيد با استفاده از دستور su – و وارد كردن رمز عبور به عنوان كاربر مدير وارد شويد. در اينجا براي دسترسي به سرور از SSH استفاده مي كنيم. براي download فايل هاي مورد نياز، از دستور wget استفاده مي كنيم. همچنين برنامه هاي ديگري چون putty نيز براي اينكار وجود دارد.
آدرس هاي زير براي download بسته هاي مورد نياز در دسترس هستند:
Snort 2.0.2:
http://www.snort.org/dl/
MySQL 4.0.15a Source:
http://mysql.secsup.org/Downloads
apache 2.0.47:
http://www.apache.org/
PHP 4.3.3:
http://www.php.net/distributions
ADODB 3.90:
http://phplens.com/lens/dl/
Acid 0.9.6b23:
http://acidlab.sourceforge.net
Zlib 1.1.4:
http://flow.dl.sourceforge.net/sourceforge/libpng
JPGraph 1.13:
http://www.aditus.nu/jpgraph/downloads/
LibPcap 0.7.2:
http://www.tcpdump.org/release
آمادگي براي نصب:
Preparing for the install:
قبل از آغاز به نصب اطمينان حاصل كنيد كه تمام بسته هاي مورد نياز را download كرده ايد. سپس مراحل ذيل را انجام دهيد:
نصب zlib:
tar -xvzf zlib-1.1.4.tar.gz
cd zlib-1.1.4
./configure; make test
make install
cd ..
نصب LibPcap:
tar –xvzf libpcap-0.7.2.tar.gz
cd libpcap-0.7.2
./configure
make
make install
cd ..
نصب MySQL:
براي ارتباط با MySQL بايد user و group اي براي MySQL با دستورات زير بسازيم.
groupadd mysql
useradd -g mysql mysql
در /root فايل پروفايل .bash را ويرايش كرده و PATH را به مقدار زير تغيير دهيد:
PATH=$PATH:$HOME/bin:/usr/local/mysql/bin
به شاخه اي كه بسته هاي دانلود شده در آن قرار دارد رفته و دستورات زير را براي نصب و پيكربندي MySQL را وارد كنيد:
tar –xvzf mysql-4.0.15a.tar.gz
cd mysql-4.0.15a
./configure --prefix=/usr/local/mysql
make
make install
scripts/mysql_install_db
chown -R root /usr/local/mysql
chown -R mysql /usr/local/mysql/var
chgrp -R mysql /usr/local/mysql
cp support- files/my-medium.cnf /etc/my.cnf
سپس خطوط “/usr/local/mysql/lib/mysql” و “/usr/local/lib ” را به فايل /etc/ld.so.conf اضافه كنيد. سپس فرمان ldconfig –v را اجرا كنيد.
براي تست اينكه آيا MySQL بدرستي نصب شده، در خط فرمان، دستور زير را تايپ كنيد:
/usr/local/mysql/bin/mysqld_safe --user=mysql &
در صورتي كه به هيچ مشكلي بر نخورديد، در خط فرمان دستور ps –ef |grep mysql را وارد كنيد. در خروجي بايد متن زير را مشاهده كنيد:
[root@IDS mysql-4.0.13]# ps -ef |grep mysql
root 13297 2290 0 11:20 pts/0 00:00:00 /bin/sh /usr/local/mysql/bin/mysqld_safe --user=mysql
mysql 13319 13297 3 11:20 pts/0 00:00:00 /usr/local/mysql/libexec/mysqld --basedir=/usr/local/mysql
--datadir=/usr/local/mysql/var --user=mysql --pid-file=/usr/local/mysql/var/patrick-redhat.pid --skiplocking
در صورتي كه به مشكل برخورد نكرديد، مي توانيد به مرحله بعد برويد. در مرحله بعد با ايجاد يك سري تغييرات، MySQL در هنگام بالا آمدن سيستم، شروع به كار مي كند.
تنظيم MySQL براي اجرا در هنگام شروع سيستم:
فايل mysql.server را از زيرشاخه support-files به شاخه /etc/init.d با نام mysql با استفاده از cp mysql.server /etc/init.d/mysql كپي كنيد. ( زير شاخه support-files در قسمت mysql قرار دارد. براي مثال اگر فايل هاي دانلود شده شما در شاخه /root/snortinstall باشد، مسير مورد نظر در /root/snortinstall/mysql-4.0.15a/support-files خواهد بود).
دستورات زير را براي ايجاد symbolic link هاي مورد نياز در هنگام راه اندازي سيستم در run level هاي ٣ و ٥ وارد كنيد. MySQL به طور اتوماتيك در هنگام راه اندازي سيستم اجرا خواهد شد.
cd /etc/rc3.d
ln -s ../init.d/mysql S85mysql
ln -s ../init.d/mysql K85mysql
cd /etc/rc5.d
ln -s ../init.d/mysql S85mysql
ln -s ../init.d/mysql K85mysql
cd ../init.d
chmod 755 mysql
نصب و پيكربندي Apache با PHP:
در اين قسمت سرور وب Apache را بر روي /www نصب مي شود. به شاخه اي كه در آن بسته هاي مورد نياز download شده اند رفته و سرور را نصب كنيد:
tar -xvzf httpd-2.0.47.tar.gz
cd httpd_2.0.47
./configure --prefix=/www --enable-so
make
make install
/www/bin/apachectl
سيستم را براي اطمينان از اينكه سرور وب به درستي كار مي كند، تست كنيد.
/www/bin/apachectl stop
cd ..
tar -xvzf php-4.3.3.tar.gz
cd php-4.3.3
./configure --prefix=/www/php --with-apxs2=/www/bin/apxs --with-config- filepath=/
www/php --enable-sockets --with-mysql=/usr/local/mysql --with-zlibdir=/
usr/local --with-gd (one line)
make
make install
cp php.ini-dist /www/php/php.ini
فايل httpd.conf را در /www/conf ويرايش كنيد:
LoadModule php4_module modules/libphp4.so
AddType application/x-httpd-php .php (hit ctrl-w and search for AddType)
DirectoryIndex index.php index.html index.html.var (Search for DirectoryIndex)
در اينجا خروجي شبيه اين ديده مي شود كه نشان مي دهد، تمام موارد بدرستي انجام پذيرفته است.
#
# LoadModule foo_module modules/mod_foo.so
#LoadModule php4_module modules/libphp4.so
# AddType allows you to tweak mime.types without actually editing it, or $
# make certain files to be certain types.
#
AddType application/x-tar .tgz
AddType image/x- icon .ico
AddType application/x-httpd-php .php
DirectoryIndex index.php index.html index.html.var
حال Apache 2.0.47 در /www نصب شده است. به شاخه /www/bin رفته و فرامين زير را وارد كنيد:
cp apachectl /etc/init.d/httpd
cd /etc/rc3.d
ln -s ../init.d/httpd S85httpd
ln -s ../init.d/httpd K85httpd
cd /etc/rc5.d
ln -s ../init.d/httpd S85httpd
ln -s ../init.d/httpd K85httpd
فرامين بالا يك سري كد قابل اجرا را به پروسه بوت سيستم در run level ٣ و ٥ اضافه مي كند. براي تست درستي نصب Apache و PHP فايل test.php را در /www/htdocs ايجاد كنيد و <?php phpinfo(); ?> را در آن اضافه كنيد. سپس Apache را با /etc/rc5.d/S85httpd start اجرا كنيد. حال با استفاده از Web Browser خود آدرس http://127.0.0.1/test.php را وارد كنيد. در اين حالت بايد بتوانيد صفحه را brows كنيد.
نصب و تنظيم Snort و Snort rules:
groupadd snort
useradd -g snort snort
mkdir /etc/snort
mkdir /var/log/snort
tar -xvzf snort-2.0.2.tar.gz
cd snort-2.0.2
./configure --with-mysql=/usr/local/mysql
make
make install
نصب rule ها و فايل conf از شاخه نصب Snort:
cd rules
cp * /etc/snort
cd ../etc
cp snort.conf /etc/snort
cp *.config /etc/snort
پيكربندي فايل snort.conf:
فايل snort.conf در شاخه /etc/snort قرار دارد.
متغيير HOME_NET تعيين كننده اين است كه شبكه شما چه گستره آدرسي دارد.
RULE_PATH تعيين كننده اين است كه مسير rule ها چيست.
همچنين در اينجا تعيين مي شود كه log هاي مربوط به ديتا بيس، رمز عبور و ... چگونه است.
تنظيم snort براي شروع خودكار:
اسكريپت موجود در contrib كه S99snort ناميده مي شود را در /etc/init.d با نام snort كپي كنيد. (cp contrib/S99snort /etc/init.d/snort) و تغييرات زير را در آن اعمال كنيد.
CONFIG=/etc/snort/snort.conf
SNORT_GID=snort
سپس مسير خود را به /etc/init.d تغيير داده و خطوط زير را تايپ كنيد:
chmod 755 snort
cd /etc/rc3.d
ln -s ../init.d/snort S99snort
ln -s ../init.d/snort K99snort
cd /etc/rc5.d
ln -s ../init.d/snort S99snort
ln -s ../init.d/snort K99snort
برپايي پايگاه داده در MySQL:
در اينجا از يك نماد > براي نشان دادن خروجي استفاده مي شود. به خاطر داشته باشيد كه پس از پايان هر دستور sql يك “;” بايد قرار داشته باشد.
/usr/local/mysql/bin/mysql
mysql> SET PASSWORD FOR root@localhost=PASSWORD('new_password');
>Query OK, 0 rows affected (0.25 sec)
mysql> create database snort;
>Query OK, 1 row affected (0.01 sec)
mysql> grant INSERT,SELECT on root.* to snort@localhost;
>Query OK, 0 rows affected (0.02 sec)
mysql> SET PASSWORD FOR snort@localhost=PASSWORD('new_password');
>Query OK, 0 rows affected (0.25 sec)
mysql> grant CREATE, INSERT, SELECT, DELETE, UPDATE on snort.* to snort@localhost;
>Query OK, 0 rows affected (0.02 sec)
mysql> grant CREATE, INSERT, SELECT, DELETE, UPDATE on snort.* to snort;
>Query OK, 0 rows affected (0.02 sec)
mysql> exit
>Bye
از snort نسخه ٢.٠.٢ فرمان زير را اجرا كنيد:
/usr/local/mysql/bin/mysql -u root -p < ./contrib/create_mysql snort
Enter password:
سپس جداول DB را با استفاده از فرمان هاي زير ايجاد كنيد:
cd contrib
zcat snortdb-extra.gz |/usr/local/mysql/bin/mysql -p snort
Enter password:
حال بايد از ايجاد جدول DB مطمئن شويم.
/usr/local/mysql/bin/mysql –p
>Enter password:
mysql> SHOW DATABASES;
حال بايد خروجي زير را ببينيد:
+------------+
| Database
+------------+
| mysql
| snort
| test
+------------+
3 rows in set (0.00 sec)
mysql> use snort
>Database changed
mysql> SHOW TABLES;
+------------------+
| Tables_in_snort
+------------------+
| data
| detail
| encoding
| event
| flags
| icmphdr
| iphdr
| opt
| protocols
| reference
| reference_system
| schema
| sensor
| services
| sig_class
| sig_reference
| signature
| tcphdr
| udphdr
+------------------+
19 rows in set (0.00 sec)>Bye
نصب JPGraph:
به شاخه download خود برويد:
cp jpgraph-1.13.tar.gz /www/htdocs
cd /www/htdocs
tar –xvzf jpgraph-1.13.tar.gz
rm –rf jpgraph-1.13.tar.gz
cd jpgraph-1.13
rm -rf README
rm -rf QPL.txt
نصب ADODB:
به شاخه download خود برويد:
cp adodb390.tgz /www/htdocs/
cd /www/htdocs
tar -xvzf adodb390.tgz
rm –rf adodb390.tgz
نصب و پيكربندي Acid:
به شاخه download خود برويد:
cp acid-0.9.6b23.tar.gz /www/htdocs
cd /www/htdocs
tar –xvzf acid-0.9.6b23.tar.gz
rm -rf acid-0.9.6b23.tar.gz
پيكربندي Acid:
به /www/htdocs/acid رفته و فايل acid_conf.php را ويرايش كنيد. اين فايل بايد شبيه اين باشد:
$DBlib_path = "/www/htdocs/adodb";
/* The type of underlying alert database
*
* MySQL : "mysql"
* PostgresSQL : "postgres"
* MS SQL Server : "mssql"
*/
$DBtype = "mysql";
/* Alert DB connection parameters
* - $alert_dbname : MySQL database name of Snort alert DB
* - $alert_host : host on which the DB is stored
* - $alert_port : port on which to access the DB
* - $alert_user : login to the database with this user
* - $alert_password : password of the DB user
*
* This information can be gleaned from the Snort database
* output plugin configuration.
*/
$alert_dbname = "snort";
$alert_host = "localhost";
$alert_port = "";
$alert_user = "snort";
$alert_password = "new_password";
/* Archive DB connection parameters */
$archive_dbname = "snort";
$archive_host = "localhost";
$archive_port = "";
$archive_user = "snort";
$archive_password = "new_password ";
And a little further down
$ChartLib_path = "/www/htdocs/jpgraph-1.13/src";
/* File format of charts ('png', 'jpeg', 'gif') */
$chart_file_format = "png";
Apache را start كرده و به آدرس http://yourhost/acid/acid_main.php برويد. پيغامي شبيه پيغام زير را مشاهده خواهيد كرد.
Click on the “Setup Page” hyperlink to create the tables that Acid uses, then you will see the
following.
سپس بر روي كليد “Create Acid AG” كليك كنيد. به آدرس http://yourhost/acid/ رفته و در اينجا شما بايد صفحه ACID را ببينيد.
امن سازي شاخه ACID:
mkdir /www/passwords
/www/bin/htpasswd -c /www/passwords/passwords acid
acid نام user اي است كه براي ورود به شاخه مورد نظر مورد نياز است. در اينجا لازم است كه رمز عبور را نيز وارد كنيد. فايل httpd.conf (/www/conf) را ويرايش كرده و خطوط زير را به ان اضافه كنيد:
<Directory "/www/htdocs/acid">
AuthType Basic
AuthName "SnortIDS"
AuthUserFile /www/passwords/passwords
Require user acid
</Directory>
حال سرويس http را با فرمان /etc/init.d/httpd ، restart كرده و به acid webpage رفته، نام كاربري و كلمه عبور خود را وارد كنيد.
Check to see if everything is working:
بررسي نهايي:
در اينجا بايد سيستم را مجددا راه اندازي كنيد تا از اينكه همه چيز به خوبي start مي شود مطمئن شويد. مي توانيد اين كار را با استفاده از دستور ps –ef |grep <service> نيز انجام دهيد كه در آن <service> مي تواند mysql، httpd و ... باشد.
