(完整版)Snort详细安装步骤

Snort 安装步骤
一，在本机的HOST文件里解析WINDIS，使其能解析出来
二．安装winpcap,一路next下去
二，安装snort，选择默认的安装目录
里面
四，修改snort里面的配置文件
五，六，
七、
八、
九、
十、
十一、
十二、将snort配置为系统服务
十一、测试snort 的安装，输入snort -W
2.用一台机子与其通信，用ping 192.168.4
3.200 –t 检测snort
这时候在命令行中使用’CTRL+C’或者通过任务管理器来结束Snort。

找到’Snort ’条目，将其启动类型设置为’自动’。

实验小结：
本次实验主要是配置snort入侵检测系统，最主要的步骤是在后面做检测snort是否成功安装时，输入snort -W 时，出现的网卡标号，要与目前机子使用的对照一下，并在输入snort –v –i() 中括号内输入刚才出现的那张网卡的标号，
是1，还是2 ，这样，在有流量通过这张网卡时，snort才可以检测得到数据包。

安装方法：如果你安装好了libpcap后，对snort安装将是很简单，关于libpcap的安装说明，你可以看看blackfire(/~bobdai/的一些文章，关于WINDOWS下的winpcap你可以看我站上的SNIFFER FOR NT上的安装说明。

装好libpcap后，你可以使用通常的命令：1.) ./configure 2.) make3.) make install 装好后你可以使用make clean清除一些安装时候产生的文件。

（有些系统如freebsd已经支持了libpcap，所以很轻松，不用再装了）。

而WINDOWS更简单，只要解包出来就可以了；参数介绍：命令行是snort -[options] <filters>选项：-A <alert> 设置<alert>的模式是full,fast,还是none full模式是记录标准的alert模式到alert文件中；Fast模式只写入时间戳，messages, IPs,ports到文件中，None模式关闭报警。

-a 是显示ARP包；-b 是把LOG的信息包记录为TCPDUMP格式，所有信息包都被记录为两进制形式，名字如snort-0612@1385.log，这个选项对于FAST 记录模式比较好，因为它不需要花费包的信息转化为文本的时间。

Snort在100Mbps网络中使用"-b"比较好。

-c <cf> 使用配置文件<cf>,这个规则文件是告诉系统什么样的信息要LOG，或者要报警，或者通过。

-C 在信息包信息使用ASCII码来显示，而不是hexdump，-d 解码应用层。

-D 把snort以守护进程的方法来运行，默认情况下ALERT记录发送到/var/log/snort.alert文件中去。

-e 显示并记录2个信息包头的数据。

-F <bpf>从<bpf>文件中读BPF过滤器（filters），这里的filters是标准的BPF格式过滤器，你可以在TCPDump里看到，你可以查看TCPDump 的man页怎样使用这个过滤器。

实验九 snort入侵检测系统软件的使用【实验目的】（1）理解入侵检测的作用和检测原理。

（2）理解误用检测和异常检测的区别。

（3）掌握Snort的安装、配置。

（4）掌握用Snort作为基于主机的入侵检测系统(HIDS)的使用。

【实验内容】（1）安装和配置入侵检测软件。

【实验环境】WindowsXP以上操作系统【实验步骤】（1）安装数据包截取驱动程序。

双击安装文件winpcap.exe ，一直单击“NEXT”按钮完成安装。

（2）安装snort 入侵检测系统：运行snort.exe ，按照安装向导提示完成安装。

其中在installation options窗口中选择第一个选项，表示不将报警数据日志写入到数据库或将日志写入到snort 支持的windows版本的数据库MYSQL和其他ODBC数据库中。

在choose components窗口中，建议将三个组件都选中。

（3）安装the appserv open object ：运行appserv.exe ，按照安装向导提示完成安装。

其中apache HTTP Server窗口中输入WEB服务器的域名主机名称和IP 地址、管理员的EMAIL地址、WEB 服务的端口号。

在弹出的MYSQL Database 窗口中输入MYSQL的相关信息，MYSQL 数据库用户的用户和密码等。

安装完成后，WWW目录为默认的WEB页的发布目录。

在开始菜单中启动APACHE 服务器和MYSQL数据库服务器，在本地计算机的浏览器中输入http://127.0.0.1 ，若出现教材中图7-16 的窗口表示APACHE服务器工作正常。

（4）ACID软件包的安装：解压缩acid.rar 数据包，解压缩到c:\appserv\www\acid 目录中。

（5）ADODB软件包的安装：解压缩adodb.rar 数据包，解压缩到c:\appserv\www\adodb 目录中。

（6）PHP图形库的安装：解压缩jpgraph.rar 数据包，解压缩到c:\appserv\www\jpgraph 目录中。

Snort在Windows下的集成式安装一．1.安装Snort和Wincap包2.AppServ3.安装AppServ在Server Name中输入域名localhost：Administrator's Email Address 中输入邮箱地址：*****************监听端口设为8080。

点击next，进入下一界面：在出现的界面中输入密码（enter root password）："Character Sets and Collations"选择"GB 2312Simplified Chese",下图所示：然后单击"Install",进入安装过程，出现下图：安装完成后将C:\Appserv\php5目录下的php.ini-dist 文件改名为php.Ini，并启动Apache和MySql。

（控制面板—管理—服务确保Apache和MySql已启动）安装完成后可以查看（MySQL启动如下图）在浏览器中输入http://localhost :8080 出现：表示安装成功！（2）测试AppServ首先查看"控制面板"/"管理"/"服务",确保Apache和MySQL已经启动，然后，在浏览器中输入http://localhost :8080/phpinfo.php,（下图）可以了解php的一些信息。

最后打开浏览器，输入http://localhost :8080/phpMyAdmin/index.php,（下图）输入用户名root和密码，可以浏览数据库内容(1)配置AppServ第一步编辑Apache服务器配置文件。

打开Apache2.2\conf文件中的httpd.conf,检查相应的一些值第二步编辑phpMyAdmin中的关键文件。

打开C:\AppServ\www\phpMyAdmin\libraries目录下的config.default.php文件第三步配置php.ini。

Snort 的安装一．安装Apache服务器1．为了保证Apache能够正常的安装与运行,在安装前应先把IIS的服务关闭,以免造成端口冲突,确保IIS服务已经禁用和关闭自启动2．把IIS服务关了后，就可以正常安装Apahce服务了3．安装Apache服务4．安装完Apache之后我们可以在浏览器中输入http：//localhost 测试Apache 安装是否成功，出现“It work ！”字样，则表示Apache安装成功。

二．安装PHP1．首先解压PHP文件到c:\ids\php5文件夹2．复制c:\ids\php5目录下php5ts.dll 文件到c:\windows\system32 目录下。

3．复制php5目录下的php.ini-dist 到c:\windows 下，并重命名为php.ini 4．修改c:\ids\apache\conf\httpd.conf 文件, 加入apache 对php 的支持，在文档的编辑器中点击查找“vhost_alias.sa”,然后再下一行加入：loadmodule php5_module c:\ids\php\php5apache2.dll，新版本的写法：loadmodule php5_module c:/ids/php5/php5apache2_2.dll 5．加入：addtype application/x-httpd-php .php，如图6．修改c:\widows\php.ini 文件,在文档的编辑器中点击查找“gz .tgz”,找到；extension=php_gd2.dll去掉extension=php_gd2.dll 前的分号7．复制c:\ids\php5\ext 文件夹下php_gd2.dll 文件到c:\windows 文件夹下8．进行相关配置后，我们重启下Apache，然后在Apache网页存放目录下c:\ids\apache\htdocs文件夹下编写test.php文件，内容为<?php phpinfo();?>，然后我们打开浏览器，输入http://localhost/test.php，如果浏览到php的信息页面则说明一切正常。

在windows环境下snort的安装配置1.安装apache (2)2：安装 PHP5： (4)3）安装winpcap (7)4）安装snort (7)5）安装和设置mysql (8)5）安装adodb: (14)6）安装jpgrapg 库 (15)7）安装acid (15)8）建立acid 运行必须的数据库： (16)9）解压 snortrules-snapshot-CURRENT.tar.gz到c:\snort目录下 (16)10）启动snort (17)11）测试snort (17)Snort 是一套非常优秀的IDS和网络监测系统，值得大中型网络管理者和网络安全爱好人员去学习使用．安装平台: Windows Server 2003 + My SQL + Apache + PHP5需要软件包:(以下软件包都可以从ftp上直接下载获取)1）Snort_2_6_1_1_Installer.exe Windows 版本的Snort 安装包2）snortrules-snapshot-CURRENT.tar.gz snort规则库3）winpcap3.1 网络数据包截取驱动程序（4.0Beta 2 版也可）4）acid-0.9.6b23.tar.gz 基于php 的入侵检测数据库分析控制台5）mysql-5.0.27-win32.zip Windows 版本的mysql安装包6）apache.zip Windows 版本的vapache 安装包7）jpgraph-2.1.4.tar.gz 图形库for PHP8）adodb465.zip ADOdb（Active Data Objects Data Base）库for PHP 9）php-5.2.0-Win32.zip Windows 版本的php 脚本环境支持入侵检测系统的安装说明：（注：软件包较多。

需要细心，和耐心。

现在就开始我们的snort配置之旅吧，痛苦着并快乐着。

s n o r t配置步骤1．在Windows环境下安装snort。

（1）安装Apache_2.0.46①双击apache_2.0.46-win32-x86-no_src.msi，安装在文件夹C:\apache下。

安装程序会在该文件夹下自动产生一个子文件夹apache2。

②为了避免Apache Web服务器的监听端口与Windows IIS中的Web服务器的80监听端口发生冲突，这里需要将Apache Web服务器的监听端口进行修改。

打开配置文件C:\apache\apache2\conf\httpd.conf，将其中的Listen 80，更改为Listen50080。

如图3.34所示。

图3.34修改apache的监听端口③单击“开始”按钮，选择“运行”，输入cmd，进入命令行方式。

输入下面的命令：C:\>cd apache\apache2\binC:\apache\apache2\bin\apache –k install这是将apache设置为以Windows中的服务方式运行。

如图3.35所示。

图3.35 Apache以服务方式运行（2）安装PHP①解压缩php-4.3.2-Win32.zip里面的文件至C:\php\。

②复制C:\php下php4ts.dll至%systemroot%\System32，复制C:\php下php.ini-dist至%systemroot%\，然后修改文件名为：php.ini。

③添加gd图形库支持，把C:\php\extensions\ php_gd2.dll拷贝到%systemroot%\System32，在php.ini中添加extension=php_gd2.dll。

如果php.ini有该句，将此语句前面的“；”注释符去掉。

如图3.36所示图3.36修改php.ini配置文件④添加Apache对PHP的支持。

在C:\apache\apache2\conf\httpd.conf中添加：LoadModule php4_module "C:/php/sapi/php4apache2.dll"AddType application/x-httpd-php .php如图3.37和图3.38所示。

安装环境主要硬件：ProLiant DL365 G12200MHZ*21024MB667MHZ * 4主要软件：Windows Server 2003 + Sp2MS SQL 2000 + Sp4相关软件及下载地址：Apache_2.2.6-win32-x86 5.2.4 1.3.8 project/group_id=1033485.6.1adodb502a p roject/group_id=42718配置过程先看一下软件在安装的过程中需要选择安装路径或解压缩路径时的大致目录结构D:\win-ids>treeFolder PATH listingVolume serial number is 0006EE50 9C9B:B24BD:.+---adodb+---apache\_____D:\win-ids\apache\htdocs\base+---eventwatchnt+---oinkmaster+---perl+---php+---snort1 安装apache: 设置server information，根据自己的实际情况进行修改“For all user on port 80…”安装路径d:\win-ids\apache完毕后应该可以看到apache在系统托盘上的图标了，在浏览器中打开看是否有成功页面的提示编辑d:\win-ids\apache\conf\1.3.1注意，此步在和之间进行时操作。

因为我们所选择的软件均为当前最新版本。

而apache2.2.6与是有点小问题的。

解决方法：用下载的中的文件替换掉php目录下的同名文件，并将里面的改为,即下一条。

1.3.2在文件头插入以下三行：LoadModule php5_module "d:/win-id"AddType application/x-httpd-php .phpPHPIniDir "d:/win-ids/php"1.3.3搜索original内容，并变更为change内容Original: Order allow,denyChange: Order deny,allowOriginal: Allow from allChange: Deny from all1.3.4在“deny from all”之后插入两行:Allow fromDirectoryIndex2 安装php解压路径d:\win-ids\php拷贝文件copy d:\win-ids\php\ c:\windows\system32copy d:\win-ids\php\ d:\win-ids\php\编辑配置文件d:\win-ids\php\2.3.1搜索original内容，并变更为change内容Original: max_execution_time = 30Change: max_execution_time = 60Original: display_errors = OnChange: display_errors = OffOriginal: extension_dir = "./"Change: extension_dir = "d:\win-ids\php\ext"Original: ; extension=Change: extension=Original: ; extension=Change: extension=Original: ; file_uploads = onChange:file_uploads = offOriginal: ; = "/tmp"Change: = "c:\windows\temp"2.3.2 进行操作…测试apache 与php将下面一行代码保存为,并放在D:\win-ids\apache\htdocs 目录下<php phpinfo(); >在浏览器中打开看是否能正常显示服务器的相关信息3 安装pearPear插件的安装脚本默认包含在PHP的主目录下，运行对pear安装选项进行配置，安装前需要保证Internet 连接正常。

Snort 在Windows下的安装一、前言 (1)二、安装所需的软件 (1)三、安装步骤 (2)1、安装Apache，配置成功一个普通网站服务器 (2)2、添加Apache对PHP的支持 (12)3、安装WinPcap (15)4、安装Snort (16)5、安装MySQL和设置 (19)1.安装MySQL (19)2.启用PHP对MySQL的支持 (34)3.创建Snort运行必须的snort库和snort_archive库： (36)4.建立Snort运行必须的数据表 (36)5.创建MySQL帐户snort和acid (37)6.acid用户和snort用户分配相关权限，实现语句为： (37)6、安装ADODB (37)7、安装JPGRAPH (38)8、安装acid (38)9、建立acid运行必须的数据库 (39)四、配置Snort (41)一、前言Snort是一个免费的轻量级网络入侵检测系统。

它能够跨系统平台操作，自带的轻量级的入侵检测工具可以用于监视小型的TCP/IP网络，在进行网络监视时，Snort能够把网络数据和规则进行模式匹配，从而检测出可能的入侵企图，使用统计学方法对网络数据进行异常检测。

二、安装所需的软件在Windows Server 2003的环境下所需的安装软件：已放到FTP中，暂时不写了三、安装步骤1、安装Apache，配置成功一个普通网站服务器1.运行安装程序确认同意软件安装使用许可条例，选择―I accept the terms in the license agreement‖，点―Next‖继续设置系统信息，在Network Domain下填入您的域名（比如：feiyangcom），在Server Name下填入您的服务器名称（比如：，也就是主机名加上域名），在Administrator's Email Address下填入系统管理员的联系电子邮件地址（比如：admin@），上述三条信息仅供参考，其中联系电子邮件地址会在当系统故障时提供给访问者，三条信息均可任意填写，无效的也行。

Ubuntu下Snort从编译、安装到调试全过程自：https:///?p=1403一、编译编译是在Ubuntu 11.04 (32bit)下完成的，Ubuntu采用默认安装方式。

Snort本身用到了一些第三方的库，这些库默认在Ubuntu下并没有安装，因此需要我们自己手动安装。

具体包括：libdnet-1.12、libpcap-1.0.0、pcre-8.12、zlib-1.2.5等，除此之外，还需要安装build-essential、flex和bison包。

daq包。

点击/downloads/630下载libcap包。

点击/release/libpcap-1.1.1.tar.gz下载pcre包。

点击ftp:///pub/software/programming/pcre/pcre-8.01.tar.bz2下载libdnet包。

点击/files/libdnet-1.12.tgz下载这些第三方库的编译安装比较简单，一般只需要执行以下三个命令即可：./configuremakesudo make install当所依赖的包和库均已安装完毕后，就可以编译安装snort了。

Snort的源码可以从获得，本文使用的snort源码版本为2.9.0.5，下载后的压缩包名为snort-2.9.0.5.tar.gz。

另外，还应下载daq源码，因为snort在编译时需要用到该库。

daq 在snort的官方站点也直接提供了源码下载。

本文使用的daq版本为0.5，下载后的压缩包名为daq-0.5.tar.gz。

最后，需要下载snort的规则库，因为我们需要snort工作在IDS模式下，这需要提供相应的入侵检测规则库。

幸运的是，snort官方同样提供了规则库下载，不过分为收费版本和免费版本。

只需要注册一个免费的账户就可以下载免费版本的规则库了。

本文使用的版本库下载后的压缩包名为snortrules-snapshot-2905.tar.gz。

1．在Windows环境下安装snort。

（1）安装Apache_2.0.46①双击apache_2.0.46-win32-x86-no_src.msi，安装在文件夹C:\apache下。

安装程序会在该文件夹下自动产生一个子文件夹apache2。

②为了避免Apache Web服务器的监听端口与Windows IIS中的Web服务器的80监听端口发生冲突，这里需要将Apache Web服务器的监听端口进行修改。

打开配置文件C:\apache\apache2\conf\httpd.conf，将其中的Listen 80，更改为Listen50080。

如图3.34所示。

图3.34修改apache的监听端口③单击“开始”按钮，选择“运行”，输入cmd，进入命令行方式。

输入下面的命令：C:\>cd apache\apache2\binC:\apache\apache2\bin\apache –k install这是将apache设置为以Windows中的服务方式运行。

如图3.35所示。

图3.35Apache以服务方式运行（2）安装PHP①解压缩php-4.3.2-Win32.zip里面的文件至C:\php\。

②复制C:\php下php4ts.dll至%systemroot%\System32，复制C:\php下php.ini-dist 至%systemroot%\，然后修改文件名为：php.ini。

③添加gd图形库支持，把C:\php\extensions\ php_gd2.dll拷贝到%systemroot%\System32，在php.ini中添加extension=php_gd2.dll。

如果php.ini有该句，将此语句前面的“；”注释符去掉。

如图3.36所示图3.36修改php.ini配置文件④添加Apache对PHP的支持。

在C:\apache\apache2\conf\httpd.conf中添加：LoadModule php4_module "C:/php/sapi/php4apache2.dll"AddType application/x-httpd-php .php如图3.37和图3.38所示。

通过 Windows 二进制安装程序安装 Snort您下载的 Windows 安装程序的名字应类似于 Snort_2_8_0_2_Installer.exe。

运行安装程序，在 Windows 提示时确认您信任该应用程序，接受 Snort 许可协议。

选择数据库支持您的第一个决定就是希望提供哪种类型的数据库支持。

图 1 展示的屏幕允许您在默认设置（即支持 SQL Server 的配置）与支持 Oracle 的配置之间做出选择。

图 1. 选择所需的数据库登录支持此屏幕上的选项均应用于登录：Snort 在嗅探包时可以登录数据库。

（如果您对此感到迷惑，在下文中将得到解释。

）如果您不希望登录到数据库，而是希望仅登录到文件，或者希望登录到 MySQL 数据库以及 Microsoft Access 等 ODBC 可访问的数据库，则应选择第一个选项。

否则选择用于 SQL Server 或 Oracle 的选项。

选择要安装的组件接下来是选择要包含在安装之中的组件（参见图 2）。

图 2. 指出您希望安装哪些 Snort 组件这里有四个选项：Snort 本身、动态模块、文档和模式。

没有理由不全部安装，完全安装只需要大约 24 MB 的空间，因此应选中所有组件继续操作。

选择安装目录默认情况下，Snort 将安装在 C:\Snort 中，如图 3 所示。

图 3. 选择 Snort 安装目录这个默认目录是理想的首选目录。

因为 Snort 并没有过多的 GUI 组件，它实际上不属于典型的 Windows 应用程序，安装目录也不在 C:\Program Files 之下。

除非您能够为 Snort 这样的程序选择标准安装目录，否则应使用默认设置。

安装和关闭奇怪的是，Snort 并未提供非常有用的“安装完成”屏幕。

与之不同，您将看到一个已经完成的状态条和一个 Close 按钮（如图 4 所示）。

图 4. 安装在此时已经完成单击Close按钮，您就会看到弹出窗口，表明 Snort（几乎）已经为运行做好了准备（如图 5 所示）。

Snort安装与配置Snort是免费NIPS及NIDS软件，具有对数据流量分析和对网络数据包进行协议分析处理的能力，通过灵活可定制的规则库(Rules)，可对处理的报文内容进行搜索和匹配，能够检测出各种攻击，并进行实时预警。

Snort支持三种工作模式：嗅探器、数据包记录器、网络入侵检测系统，支持多种操作系统，如Fedora、Centos、FreeBSD、Windows等，本次实训使用Centos 7，安装Snort 2.9.11.1。

实训任务在Centos 7系统上安装Snort 3并配置规则。

实训目的1．掌握在Centos 7系统上安装Snort 3的方法；2．深刻理解入侵检测系统的作用和用法；3．明白入侵检测规则的配置。

实训步骤1．安装Centos 7 Minimal系统安装过程不做过多叙述，这里配置2GB内存，20GB硬盘。

2．基础环境配置根据实际网络连接情况配置网卡信息，使虚拟机能够连接网络。

# vi /etc/sysconfig/network-scripts/ifcfg-eno16777736TYPE="Ethernet"BOOTPROTO="static"DEFROUTE="yes"IPV4_FAILURE_FATAL="no"NAME="eno16777736"UUID="51b90454-dc80-46ee-93a0-22608569f413"DEVICE="eno16777736"ONBOOT="yes"IPADDR="192.168.88.222"PREFIX="24"GATEWAY="192.168.88.2"DNS1=114.114.114.114~安装wget，准备使用网络下载资源：# yum install wget –y将文件CentOS-Base.repo备份为CentOS-Base.repo.backup，然后使用wget下载阿里yum 源文件Centos-7.repo：# mv /etc/yum.repos.d/CentOS-Base.repo /etc/yum.repos.d/CentOS-Base.repo.backup#wget –O /etc/yum.repos.d/CentOS-Base.repo /repo/Centos-7.repo更新yum源，并缓存：# yum clean all# yum makecache# yum -y update3．安装Snort安装epel源：# yum install -y epel-release安装依赖：经过前面的设置阿里源、源更升级后，将能够很顺利的安装完依赖。

Snort入侵检测系统安装配置1.实验目的实现流量监控，实现入侵检测2.拓扑图3.拓扑图介绍通过搭建snort检测系统，对局域网内的计算机进行流量监控，实现入侵检测4.实验原理5.实验步骤①、libpcap是linux平台下的网络数据包捕获的含书包，大多数网络监控软件都是以它作为基础在安装libpcap前，还要安装两个软件bison、flex[root@boss snort]#wget ftp:///gnu/bison/bison-2.4.1.tar.bz2[root@boss snort]#tar xf bison-2.4.1.tar.bz2[root@boss snort]#cd bison-2.4.1[root@boss snort]# ./configure && make && make install[root@boss snort]#wget/project/flex/flex/flex-2.5.35/flex-2.5.35.tar.bz2[root@boss snort]#tar xf flex-2.5.35.tar.bz2[root@boss snort]#cd flex-2.5.35[root@boss snort]#./configure && make && make install安装libpcap[root@boss snort]#wget /release/libpcap-1.0.0.tar.gz[root@boss snort]#tar zxvf libpcap-1.0.0.tar.gz[root@boss snort]#cd libpcap-1.0.0[root@boss snort]#./configure --prefix=/usr/local/libpcap[root@boss snort]#make && make install②、daq，snort编译时会用到该库[root@boss snort]#wgetftp:///sites//s/sn/snort.mirror/Snort%202.9.4/daq-2.0.0.t ar.gz[root@boss snort]#tar zxvf daq-2.0.0.tar.gz[root@boss snort]#cd daq-2.0.0[root@boss snort]#./configure && make && make install③、libdnet 通用网络安全开发包[root@boss snort]#wgetftp:///slacky/slackware-12.2/libraries/libdnet/1.11/src/libdnet-1.11.tar.gz [root@boss snort] #tar zxvf libdnet-1.11.tar.gz[root@boss snort] #cd libdnet-1.11[root@boss snort]#./configure && make && make install④、安装PCRE库[root@boss snort]# wget ftp:///pub/software/programming/pcre/pcre-8.34.tar.gz [root@boss snort]# tar zxvf pcre-8.34.tar.gz[root@boss snort]# cd pcre-8.34[root@boss snort]# ./configure && make && make install⑤、编译安装snort[root@boss snort]#wget /mirrors/snort/snort-2.9.2.1.tar.gz[root@boss snort]#cd snort-2.9.2.1[root@boss snort]#./configure --with-mysql=/usr/local/mysql--with-libpcap-includes=/usr/local/libpcap/include --with-libpcap-libraries=/usr/local/libpcap/lib [root@boss snort]#make && make install⑥、snort的相关配置[root@boss snort]#mkdir /etc/snort ------snort的主配置文件目录[root@boss snort]#mkdir /var/log/snort -------------snort的日志文件目录[root@boss snort]#groupadd snort ---------创建snort用户组[root@boss snort]#useradd -g snort -s /sbin/nologin snort ------------创建snort用户[root@boss snort]# wgetftp:///sites//s/sn/snorty/snortrules-snapshot-2920.ta r.gz[root@boss snort]# tar zxvf snortrules-snapshot-2920.tar.gz -C /etc/snort/[root@boss snort]#cd /etc/snort/[root@boss snort]#lsetc preproc_rules rules so_rules[root@boss snort]#cp etc/* /etc/snort/[root@boss snort]#chown snort.snort /var/log/snort----------修改相关目录的属主和属组[root@boss snort]#touch /var/log/snort/alert[root@boss snort]#chown snort.snort /var/log/snort/alert[root@boss snort]#chmod 600 /var/log/snort/alert ---------------防止其他用户修改[root@boss snort]#mkdir /usr/local/lib/snort_dynamicrules[root@boss snort]#cp/etc/snort/so_rules/precompiled/RHEL-6-0/x86-64/2.9.2.0/*.so /usr/local/lib/snort_dynamicrules/ -------------库文件[root@boss snort]#vim /etc/snort/snort.conf#修改下面这几行var RULE_PATH /etc/snort/rulesvar SO_RULE_PATH /etc/snort/so_rulesvar PREPROC_RULE_PA TH /etc/snort/preproc_rulesoutput unified2: filename snort.log, limit 128⑦、mysql数据库的修改[root@boss snort]#mysql –u root -p[root@boss snort]#mysql> create database snort; --------------创建snort数据库[root@boss snort]#mysql> grant all privileges on snort.* to snort@'localhost' with grantoption ; -------------给snort用户授权[root@boss snort]#mysql> set password for snort@localhost = password('123456'); --------这也是一种修改mysql用户密码的方式[root@boss snort]# cd /opt/snort/snort-2.9.2.1/schemas/[root@boss schemas]#mysql –u root –p < create_mysql snort[root@boss snort]#[root@boss snort]#[root@boss snort]#[root@boss snort]#⑧、Base解压[root@boss snort]#wget/projects/secureideas/files/BASE/base-1.4.5/base-1.4.5.tar.gz[root@boss opt]# tar zxvf base-1.4.5.tar.gz -C /usr/local/apache2/htdocs/yzx01com/[root@boss yzx01com]# mv base-1.4.5 base⑨、pear的安装（Pear是PHP扩展与应用库的缩写，它是一个php扩展及应用的一个代码仓库）[root@boss ~]# /usr/local/php5/bin/pear install mage_Graph-alpha Image_Canvas-alpha Image_Color Numbers_Roman Mail_Mime Mail //php编译安装在/usr/local/php5目录下[root@boss base]# cp world_map6.png world_map6.txt/usr/local/php5/lib/php/Image/Graph/Images/Maps //复制base文件到maps中⑩、安装adobd[root@boss snort]wget/project/adodb/adodb-php5-only/adodb-511-for-php5/adodb511.zip [root@boss opt]# unzip adodb511.zip[root@boss opt]# mv adodb5 /usr/local/apache2/htdocs/yzx01com/adodb/⑪、base的安装[root@boss yzx01com]#chown daemon.daemon /usr/local/apache2/htdocs/yzx01com/base/ -R 在浏览器中输入/base点击Continue选择简体中文，下面输入adodb的路径/usr/local/apache2/htdocs/yzx01com/ad odb/ 然后点击Continue填入相关的mysql信息，点击continue设置管理账号密码，点击continue可以看到红色部分表示成功，继续下一步点击 Now continue to step 5...就可以看到base界面了⑫、页面配置完成后，还需要安装一下图标的插件，这个时候就要求php必须得支持gd了如果想让BASE起作用还得需要安装一些插件，必须联网才能安装//php编译安装在/usr/local/php5目录下[root@boss ~]# /usr/local/php5/bin/pear install image_Canvas-alpha[root@boss ~]# /usr/local/php5/bin/pear install image_Graph-0.8.0[root@boss ~]# /usr/local/php5/bin/pear install Numbers_Roman⑬、测试snort再次修改snort的配置文件[root@boss ~]#vim /etc/snort/snort.conf将 511 # output database: alert, <db_type>, user=<username> password=<password> test dbname=<name> host=<hostname>512 # output database: log, <db_type>, user=<username> password =<password> test dbname=<name> host=<hostname>这地方一定要注意，如果使用的是snort-2.9.2.1版本，请你务必按照格式改，改版本存有bug，每一项后面都要加","而且之间不能有空格！要不然会报将 110 var WHITE_LIST_PATH /etc/snort/rules111 var BLACK_LIST_PATH /etc/snort/rules488 whitelist $WHITE_LIST_PATH/white_list.rules, \489 blacklist $BLACK_LIST_PATH/black_list.rules这四行注释掉，即在每行前面加#将下面三行的# 去掉594 include $PREPROC_RULE_PATH/preprocessor.rules595 include $PREPROC_RULE_PATH/decoder.rules596 include $PREPROC_RULE_PATH/sensitive-data.rules⑭、测试snort[root@boss ~]#snort -c /etc/snort/snort.conf如果可以看到这只小猪，那么就证明你成功了在这一步完成后，snort不会自己退出，需要使用ctrl+c自己终止退出。