Cómo instalar y usar Snort
Antes de instalar Snort, confirme si LAMP está instalado en su sistema. De lo contrario, ingrese el siguiente comando para instalarlo:
$ sudo apt-get install mysql-server libapache2. -mod-php5 php5-mysql libphp-adodb
Instalar e implementar la herramienta Snort
1. Instalar el paquete de software Snort
$ sudo apt-get install. snort-mysql
Se solicitará la siguiente información durante el proceso de instalación
En este momento, la tarjeta de red ingresada debe ser consistente con la tarjeta de red que está utilizando actualmente; de lo contrario, la instalación no tendrá éxito. Verifique la información de su tarjeta de red usando el comando $ ifconfig
A continuación, seleccione el segmento de red que desea monitorear. Por ejemplo, si desea monitorear todo el segmento de red 192.168.0.0/16. , complete el segmento de red.
Finalmente, se le preguntará si desea configurar la base de datos, seleccione "Sí".
Una vez completada la instalación, aparecerá el siguiente mensaje de error
Este mensaje de error indica que no hemos configurado una base de datos mysql para snort. A continuación, creamos una base de datos para snort
2. Crear base de datos snortdb
Después de ingresar a la base de datos, crea una base de datos llamada snortdb
Crea un usuario de base de datos para snort. Y establezca la contraseña en snortpassword
Después de crear la base de datos snortdb, necesitamos importar el archivo sql incluido en el paquete de software snort-mysql a la base de datos;
$ cd /usr. /share/doc/snort-mysql
$ zcat create_mysql.gz | mysql snortdb -u snort -psnortpassword
Después de importar a la base de datos, puede ir a la base de datos de snortdb para verificar si la importación es exitosa.
Si se completa la importación de datos, entonces debemos eliminar el archivo /etc/snort/db-pending-config; de lo contrario, snort pensará que la base de datos aún no está lista.
$ sudo rm /etc/snort/db-pending-config
3. Configurar Snort
Después de configurar la base de datos en el paso anterior, debemos configure el archivo de configuración de Snort (/etc/snort/snort.conf), diciéndole a Snort que escriba registros en la base de datos de Snortdb en el futuro.
$ sudo nano /etc/snort/snort.conf
Primero, busque la línea "var HOME_NET any" en el archivo, modifíquela al segmento de red que queremos monitorear y habilite "var EXTERNAL_NET !$HOME_NET" cerca de las siguientes líneas, como se muestra en la configuración:
Luego, busque La línea "base de datos de salida: log, mysql" en este archivo está comentada de forma predeterminada. Si no está comentada, complete el siguiente contenido debajo de la línea.
Cuando se realiza esta configuración, el registro y la información de alerta se escriben en la base de datos especificada.
Luego, verifique si el archivo de configuración snort.conf es normal:
$ sudo snort -c /etc/snort/snort.conf
Si es lo anterior Aparece información. Si aparece un cerdito, significa que la configuración se realizó correctamente. Presione "Ctrl + C" para salir.
Finalmente, iniciamos snort:
$ sudo /etc/init.d/snort start
Necesitarás usarlo después de un inicio exitoso
$ ps aux | grep snort
Compruebe si snort realmente se inició correctamente. Generalmente, los pasos de instalación que sigo no tendrán éxito porque todavía hay un archivo (/var/log/snort/alert) cuyo propietario no ha sido modificado.
$ sudo chown snort /var/log/snort/alert
Iniciar snort de nuevo
$ sudo /etc/init.d/snort start
Utilice el comando $ ps aux | grep snort para comprobar si el inicio se realizó correctamente. Si falla, puede verificar los motivos específicos a través del archivo de registro /var/log/syslog.
Aquí hablemos de por qué necesita iniciar snort primero y luego modificarlo (el propietario del archivo /var/log/snort/alert, porque no hay ningún archivo de alerta en /var/log/ directorio snort/ de forma predeterminada. Simplemente pase Iniciar snort primero y se creará automáticamente un archivo de alerta
.