Ubuntu 에 Snort 침입 탐지 시스템을 설치하는 방법
Snort 프로세스 설치
[램프, Snort 및 일부 소프트웨어 라이브러리 설치]
Ubuntu 는 Debian Linux 이기 때문에 소프트웨어를 설치하는 것이 매우 간단하고 Ubuntu 는 중국 과학기술대학에 미러링되어 교육망과 기술망 다운로드 속도가 매우 빠르기 때문에 (2~6M/s) 외국에서 설치 패키지를 다운로드하는 번거로움을 없애고 명령 한 번으로 수십 초 안에 모든 소프트웨어를 설치할 수 있습니다. 여기서 Ubuntu 기본 명령줄 패키지 관리자 apt 는 설치용입니다.
$ sudoapt-getinstall libpcap 0.8-dev libmysql client1 5-dev MySQL-client-5.0 MySQL-server-5.0 bison flexapache 2 lib Apache 2-mod-PHP 5 PHP 5-GD PHP 5-MySQL ll
MySQL 데이터베이스를 설치할 때 MySQL 루트 사용자 암호를 설정하는 인터페이스가 팝업되어 일시적으로 테스트로 설정된다는 점에 유의해야 합니다.
[MySQL 데이터베이스에서 Snort 에 대한 데이터베이스 생성]
Ubuntu 소프트웨어 웨어하우스에는 액세스 가능성을 제공하는 기본 패키지인 snort-mysql 이 있습니다. 패키지 관리자를 사용하여 이 패키지를 다운로드하고 설치합니다.
$ sudo apt-get 설치 snort-mysql
설치 후 도움말 문서 보기:
$ less/usr/share/doc/snort-MySQL/readme-database. 자유 운영 체제
도움말 문서에 설명된 대로 MySQL 에 Snort 의 데이터베이스 사용자 및 데이터베이스를 설정합니다. 사용되는 명령은 다음과 같습니다.
$ MySQL–u 루트–p
프롬프트에서 위에서 설정한 암호 테스트를 입력합니다.
Mysql & gt 데이터베이스 생성 snort
Mysql & gt 는 snort 에 대한 생성, 삽입, 선택 및 갱신 권한을 부여합니다. * snort @ localhost;;
Mysql & gt 는 snort 에 대한 생성, 삽입, 선택 및 갱신 권한을 부여합니다. * 바람을 쐬다
Mysql & gt 는 snort @ localhost = password ('snort-db') 에 대한 비밀번호를 설정합니다.
Mysql & gt 수출
위 명령의 역할은 MySQL 데이터베이스에 snort 데이터베이스를 구축하고, snort 사용자를 구성하여 데이터베이스를 관리하고, snort 사용자의 비밀번호를 snort-db 로 설정하는 것입니다.
그런 다음 readme-database 에 설명된 대로 snort 데이터베이스의 구조를 설정합니다.
$ CD /usr/share/doc/snort-mysql
$ zcatcreate _ mysql.gz | MySQL-u snort-d snort-PS nort-db
이렇게 하면 각 snort 에서 사용해야 하는 테이블을 포함하여 MySQL 에서 snort 에 대한 데이터베이스 구조가 설정됩니다.
[로그 파일을 MySQL 데이터베이스로 출력하도록 snort 설정]
Snort 구성 파일 수정: /etc /etc/snort/snort.conf
$ sudo vim /etc/snort/snort.conf
다음 그림과 같이 구성 파일에서 HOME_NET 관련 항목을 주석 처리한 다음 HOME_NET 을 기본 IP 가 있는 네트워크로 설정하고 EXTERNAL_NET 관련 항목을 주석 처리하여 로컬이 아닌 네트워크로 설정합니다.
#var HOME_NET any
Varhome _ net192.168.0.0/16
#var 외부 _ 순 임의
Var EXTERNAL_NET! $HOME_NET
출력 데이터베이스의 관련 항목을 주석 처리하고 다음과 같이 로그 출력을 MySQL 데이터베이스로 설정합니다.
출력 데이터베이스: log, MySQL, user = snortpassword = snort-dbdbname = snorthost = localhost
# 출력 데이터베이스: 로그, MySQL
이렇게 하면 snort 는 더 이상 /var/log/snort 디렉토리의 파일에 레코드를 쓰지 않고 MySQL 의 snort 데이터베이스에 레코드를 저장합니다. 이 시점에서 Snort 가 제대로 작동하는지 테스트할 수 있습니다.
$ sudosnort-c/etc/snort/snort.conf
만약 ASCII 부적으로 그린 돼지가 있다면, Snort 는 정상적으로 작동하며, Ctrl-C 로 퇴출할 수 있다. Snort 가 비정상적으로 종료되면 위의 구성의 정확성을 찾아야 합니다.
[웹 서버 Apache 및 PHP 가 제대로 작동하는지 테스트]
아파치의 PHP 모듈을 구성하고 msql 및 GD 확장을 추가합니다.
$ sudovim/etc/php5/apache2/php.ini
확장 = msql.so
확장 = gd.so
아파치 다시 시작
$ /etc/init.d/apache2 재부팅
/var/www/ 디렉토리에 새 텍스트 파일 test.php 를 작성합니다.
$ sudo vim /var/www/test.php
입력 내용:
& lt? 서버측 프로그래밍 언어 (professional hypertext preprocessor 의 약어)
Phpinfo ();
& gt
그런 다음 브라우저에 http://localhost/test.php 를 입력합니다. 올바르게 구성된 경우 LAMP 가 제대로 작동하고 있음을 나타내는 PHP INFO 의 클래식 인터페이스가 나타납니다.
[산-염기 설치 및 구성]
산-염기 설치는 간단합니다. Ubuntu 패키지 관리자로 다운로드하여 설치하면 됩니다.
$ sudo apt-get 설치 산 라이브러리
설치하는 동안 acidbase 가 선택한 데이터베이스를 입력해야 합니다. 여기서 MySQL, 루트 사용자 암호 테스트, 산-염기 암호를 선택합니다 (설정을 건너뛸 수 있는 것 같습니다).
Acidbase 를 설치 디렉토리에서 www 디렉토리로 복사하거나 Apache 에 직접 가상 디렉토리를 만들어 설치 디렉토리를 가리킬 수 있습니다. 여기서 복사는 주로 보안상의 이유로 이루어집니다.
Sudo CP–r/usr/share/acid base//var/www/
Acidbase 디렉토리의 base_conf.php 는 원래 /etc/acidbase/ base_conf.php 에 대한 심볼릭 링크였으므로 권한 제어를 위해 이 링크를 삭제하고 새 base _ 를 만들어야 합니다
$ RM base_conf.php
$ touch base_conf.php
임시로 /var/www/acidbase/ directory 의 권한을 모든 사람이 쓸 수 있도록 변경하며 주로 acidbase 구성에 사용됩니다.
$ sudo chmod 757 산-염기/
이제 산-염기 구성을 시작할 수 있습니다. 브라우저 주소 표시줄에 http://localhost/acidbase 를 입력하면 설치 인터페이스로 이동한 다음 계속을 클릭하여 단계별로 설치합니다.
영어를 언어로 선택합니다. adodb 경로는/usr/share/PHP/adodb 입니다. MySQL 을 데이터베이스로, snort 를 데이터베이스 이름으로, localhost 를 데이터베이스 호스트로, snort-db; 를 선택합니다 데이터베이스 사용자 이름의 암호입니다. Acidbase 시스템 관리자의 사용자 이름과 암호를 설정하고, 시스템 관리자의 사용자 이름을 admin 으로 설정하고, 암호를 test 로 설정합니다. 그런 다음 계속 진행하면 설치가 완료됩니다.
설치가 완료되면 로그인 인터페이스로 들어가 사용자 이름과 비밀번호를 입력하여 산-염기 시스템에 들어갈 수 있습니다.
보안을 위해 acidbase 디렉터리에 대한 권한을 변경하고 백그라운드에서 snort 를 시작해야 합니다. 즉, snort 침입 감지 시스템 설치가 완료되고 정상적으로 시작됩니다.
$ sudo chmod 775 산-염기/
$ sudosnort-c/etc/snort/snort.conf-I eth0–D.
[침입 탐지 시스템의 작동 상태 확인 및 침입 탐지 규칙 변경]
일반적으로 안전하지 않은 네트워크에서는 acidbase 에 로그인한 후 짧은 시간 안에 사이버 공격을 발견할 수 있습니다. 사이버 공격이 발견되지 않은 경우 보다 엄격한 규칙을 추가하여 정상적인 네트워크 연결도 공격받을 수 있도록 하여 Snort IDS 의 정확성을 테스트할 수 있습니다. 예를 들어/etc/snort/rules/web-misc.rules 의 끝에 다음 텍스트를 추가합니다.
$ sudovi/etc/snort/rules/web-misc.rules
경고 tcpany:1024->; $HTTP_SERVER 500:
이 줄은 주소가 1024 보다 작은 모든 포트에서 500 개 이상의 포트로 전송되는 TCP 패킷 경고를 의미합니다. Snort 를 죽이는 백그라운드 프로세스, 재시작, 정상적인 패키지도 공격으로 간주된다는 것을 알아차릴 수 있어야 합니다.
$ sudo kill `pgrep snort'
$ sudosnort–c/etc/snort/snort.conf–I eth0-d
요약
Ubuntu 를 사용하여 Snort 침입 탐지 시스템 및 웹 콘솔을 쉽게 설치할 수 있습니다. Ubuntu 는 매우 편리한 패키지 설치 기능을 제공하지만 사용자 정의 성능이 너무 좋지 않아 사용자가 패키지가 설치된 위치를 수동으로 찾아야 하는 경우가 있습니다.