背景

大家在安装基于Snort NIDS系统，感觉很难，总是出错，其他安装Snort并不难，难的是准备工作做得不充分，如果你做的不好，在配置可视化报警时会遇到各种问题，例如：

为什么Snort编译总报错？
为什么启动Snort后会立刻退出？
Snort不报警怎么办？
MySQL数据库里无法存储Snort报警怎么办？
浏览器打开ACID，里面一片空白怎么办？
看着别人安装成功了，我却怎么也装不上？真是折磨人呐！下面我们看看应对这些问题的方法。

一、准备工作

手动编译安装Snort时所需的准备工作如下所示。
步骤 1．准备软件环境。在安装前，必须在交换机上设置SPAN。中高端Cisco交换机都有SPAN功能。SPAN须为一个专用端口。以下是在虚拟机环境下的实验，须把网卡设置为混杂模式。
步骤2．安装VMware Workstations虚拟机。准备远程连接工具。
步骤3．到异步社区的本书页面中统一获取安装资源。
步骤4．使用镜像CentOS-6.8-x86_64-mini在虚拟机中安装操作系统。
步骤5．重启系统后设置系统IP、网关及DNS。
默认安装时，网络IP是自动获取的，需要改成静态IP地址。
#ifconfig -a //查看网卡配置信息
#vi/etc/sysconfig/network-scripts/ifcfg-eth0 //编辑网卡配置文件
DEVICE="eth0"
BOOTPROTO="dhcp"
HWADDR="00:0C:29:BA:53:4E"
IPV6INIT="yes"
NM_CO***OLLED="yes" //由于铭感词被限制此出为星号。
ONBOOT="yes"
TYPE="Ethernet"
UUID="685d0725-02ab-41b9-b9bf-6a52fc68c0f8"

修改为静态IP地址的方法是将BOOTPROTO="dhcp"中的"dhcp"改为"static"，然后增加以下内容（内网IP配置）：
IPADDR=192.168.91.29
NETMASK=255.255.255.0
GATEWAY=192.168.91.2
DNS1=192.168.91.2
DNS2=8.8.8.8 //DNS地址的配置根据当地网络供应商进行添加

最后保存退出，重启网络服务。
步骤6．复制软件到指定目录。
将libdnet-1.12.tgz、daq-2.0.4.tar.gz、snort-2.9.7.0.tar.gz、snortrules-snapshot-2970.tar.gz这4个文件复制到CentOS 6.8系统/usr/local/src/目录下。
经过以上6个步骤之后，Snort安装的准备工作完成。另外，Snort安装配置路线图参见《开源安全运维平台OSSIM疑难解析：提高篇》一书中附录中的图1、图2。网络安装包名称及用途参见附录中的表1、表2、表3，这三张表以及按照路线图可以让初学者清晰的完成本文所介绍的各项试验。

二、编译并安装Snort

准备工作完成之后，接着开始正式安装Snort。编译安装Snort需要如下10个步骤。
步骤1．安装基本环境和依赖包。
#yum install -y gcc gcc-c++ flex bison zlib libxml2 libpcap pcre* tcpdump git libtool curl man make

注意，如果没有安装pcre，在预编译时就会出现以下问题，比如我们执行./configure时，报错：
ERROR! Libpcre library not found, go get it from http://www.pcre.org

步骤2．解压Libdnet、DAQ及Snort安装包。
在服务器的安装配置过程中，大家很可能会到官网下载最新版本的源码包，但是那样就会遇到各种依赖包缺失的问题，导致无法安装成功。因为有些软件（比如Snort）要在DAQ（Data AcQuisition，数据采集器）library安装好之后才能继续安装，而只有先Libdnet安装完成，才能继续安装DAQ，否则会报错找不到依赖文件，具体操作如下：
#cd /usr/local/src
#tar -zxvf libdnet-1.12.tgz
#tar -zxvf daq-2.0.4.tar.gz
#tar -zxvf snort-2.9.7.0.tar.gz

下面必须依次安装Libdnet、DAQ和Snort这3个包。
● 安装libdnet-1.12.tgz。
#cd /usr/local/src/libdnet-1.12/
#./configure
#make && make install

● 安装DAQ。
#cd daq-2.0.4
#./configure
#make && make install

● 安装Snort 2.9（安装Snort前一定要正确安装Libdnet和DAQ）。
#cd /usr/local/src/snort-2.9.7.0
#./configure --enable-sourcefire
#make && make install

步骤3．添加用户和组。
创建用户和组，并设置权限。在root身份下解包的文件权限都与root有关，所以要修改成Snort用户的属主和相关权限。
#groupadd -g 40000 snort //新添加一个Snort组
#useradd snort -u 40000 -d /var/log/snort -s /sbin/nologin -c SNORT_IDS -g snort
//将Snort用户加入Snort组，并且不允许登录系统

步骤4．新建目录/var/log/snort并设置其属性。
#mkdir /var/log/snort
#chown –R snort:snort /var/log/snort

步骤5．配置Snort。
● 新建目录/etc/snort/。
#mkdir /etc/snort/

● 将snortrules-snapshot-2970.tar.gz解压到/etc/snort/目录下。
#cd /etc/snort

tar –zxvf /usr/local/src/snortrules-snapshot-2970.tar.gz –C .（此步骤很关键）

#cp /etc/snort/etc/sid-msg.map /etc/snort

● 将下载的Snort压缩包解压缩后复制到/etc/snort/目录下。
#cd /etc/snort/
#cp /usr/local/src/snort-2.9.7.0/etc/* .

● 设置当前目录下所有文件的属主。
#cd /etc/snort
#chown -R snort:snort *

● 新建黑白名单规则文件。
#touch /etc/snort/rules/white_list.rules /etc/snort/rules/black_list.rules

在/etc/snort/rules下新建white_list.rules和black_list.rules这两个文件。
● 编辑配置文件snort.conf，修改以下几行的内容。
#vi /etc/snort/snort.conf

设置网络变量，将第45行的ipvar HOME_NET any改为ipvar HOME_NET 192.168.x.x网段，并写成CIDR格式。也可以添加多个网段，来看下面的例子。
ipvar HOME_NET [192.168.0.0/16,172.16.0.0/16]
将48行ipvar EXTERNAL_NET any 改为 ipvar EXTERNAL_NET!$HOME_NET
第104行 var RULE_PATH ../ruls 改为 var RULE_PATH /etc/snort/rules
第105行 var SO_RULE_PATH ../so_rules 改为var SO_RULE_PATH /etc/snort/so_rules
第106行 var PREPROC_RULE_PATH ../preproc_rules 改为 var PREPROC_RULE_PATH/etc/snort/ preproc_rules
第113行 var WHITE_LIST_PATH ../rules 改为 var WHITE_LIST_PATH /etc/snort/rules
第114行 var BLACK_LIST_PATH ../rules 改为 var BLACK_LIST_PATH /etc/snort/rules

● 设置日志保存路径。
config logdir:/var/log/snort/

● 配置输出插件。
Snort可通过数据库插件（spo_database.c和spo_database.h）将预处理器输出的日志写入数据库，但下面的配置一方面将报警写入alert文件，另一方面将预处理器输出的日志写入到unified2格式的二进制文件中，以供Barnyard2读取使用。
将第521行修改成如下内容：
output unified2:filename snort.log,limit 128

以上几处修改完成后，保存退出。
步骤6．新建目录snort_dynamicrules并设置权限。
#mkdir -p /usr/local/lib/snort_dynamicrules
#chown -R snort:snort /usr/local/lib/snort_dynamicrules
#chmod -R 755 /usr/local/lib/snort_dynamicrules

步骤7．在/usr/sbin/目录下新建名为Snort的软链接文件。
#cd /usr/sbin
#ln -s /usr/local/bin/snort snort

步骤8．添加测试规则。
#vi /etc/snort/rules/local.rules

加入如下内容：
alert icmp any any -> $HOME_NET any (msg:"ICMP Packet Detected";sid:1000003;rev:1;)

步骤9．测试Snort。
#snort -T -i eht0 -u snort -g snort -c /etc/snort/snort.conf

如果配置正确，则系统启动后显示如下内容。
pcap DAQ configured to passive.
Acquiring network traffic from "eth0".
Set gid to 113
Set uid to 109
--== Initialization Complete ==--
,,_ -> Snort! <-
o" )~ Version 2.9.3.1 IPv6 GRE (Build 40)
'''' By Martin Roesch & The Snort Team: http://www.snort.org/snort/snort-team
Copyright (C) 1998-2012 Sourcefire, Inc., et al.
Using libpcap version 1.1.1
Using PCRE version: 8.02 2010-03-19
Using ZLIB version: 1.2.3.4
Rules Engine: SF_SNORT_DETECTION_ENGINE Version 1.16 <Build 18>
Preprocessor Object: SF_GTP (IPV6) Version 1.1 <Build 1>
Preprocessor Object: SF_SIP (IPV6) Version 1.1 <Build 1>
Preprocessor Object: SF_SMTP (IPV6) Version 1.1 <Build 9>
Preprocessor Object: SF_IMAP (IPV6) Version 1.0 <Build 1>
Preprocessor Object: SF_DNS (IPV6) Version 1.1 <Build 4>
Preprocessor Object: SF_REPUTATION (IPV6) Version 1.1 <Build 1>
Preprocessor Object: SF_DCERPC2 (IPV6) Version 1.0 <Build 3>
Preprocessor Object: SF_MODBUS (IPV6) Version 1.1 <Build 1>
Preprocessor Object: SF_SSH (IPV6) Version 1.1 <Build 3>
Preprocessor Object: SF_SDF (IPV6) Version 1.1 <Build 1>
Preprocessor Object: SF_POP (IPV6) Version 1.0 <Build 1>
Preprocessor Object: SF_SSLPP (IPV6) Version 1.1 <Build 4>
Preprocessor Object: SF_FTPTELNET (IPV6) Version 1.2 <Build 13>
Preprocessor Object: SF_DNP3 (IPV6) Version 1.1 <Build 1>
Snort successfully validated the configuration!
Snort exiting

如出现“Snort successfully validated the configuration!”的提示，则表示安装配置成功。
步骤10．用ping命令测试。
用ping命令进行测试的目的是为了产生报警。ping命令使用ICMP协议，在IDS中使用Libpcap函数所捕获的也是ICMP数据包。下面在Snort主机上操作：
#snort -i eth0 -c /etc/snort/snort.conf -A fast

与此同时，日志文件记录在/var/log/snort/alert和/var/log/snort/snort.log中。可用下面的命令查看。
#cd /var/log/snort/
#tail -f /var/log/snort/alert

alert文件收到报警，代表本实验成功，下面要将这些报警存储到数据库，这此步最容易出错。

注意：在上面介绍的第6、7步骤中如果没有设置正确的路径，那么在启动Snort时，就会出现找不到动态规则的文件，发生致命错误导致程序异常退出。
ERROR：parser.c（5047）

三、将Snort报警存入MySQL数据库

将Snort报警存入MySQL数据库需要如下几个步骤。
步骤1．安装MySQL数据库及PHP扩展。
#yum install -y mysql-server mysql-devel php-mysql php-pear php-gd libtool php-imap php-ldap php-mbstring php-odbc php-pear php-xml php-pecl-apc
#chkconfig --level 235 mysqld on //将MySQL服务设置为在运行级别为2、3、5时都是开启状态
#/etc/init.d/mysqld start

步骤2．为数据库管理员root赋予密码。
#/usr/bin/mysqladmin -u root password '123456'

注意，root用户登录phpMyAdmin时，同样使用这个密码。
步骤3．创建Snort数据库并设定读取权限。
#mysql -u root -p

输入步骤2中设置的密码“123456”。
mysql>create database snort;
mysql>use snort;
mysql>create user 'snort'@'localhost' IDENTIFIED BY '123456';

在以上命令中，“123456”是MySQL中用户Snort的密码。
接着创建名为snort、密码为“123456”的数据库用户，并赋予名为“snort”的数据库权限（先解压barnyard2-1.9.tar.gz包）。
mysql>grant create,select,update,insert,delete on snort.* to snort@localhost identified by '123456';
mysql>set password for ‘snort’@’localhost’=password('123456'); //为用户snort设置访问密码
mysql>source /usr/local/src/barnyard2-1.9/schemas/create_mysql; //该命令不可重复输入
mysql>show tables；
mysql>flush privileges; //刷新数据库权限
mysql>exit

注意：先解压barnyard2-2-1.13压缩包；在执行前确保Snort库被选中；barnyard2-2-1.13所在路径要正确（使用绝对路径）。
步骤4．安装和配置Barnyard2。
Barnyard2的作用是读取Snort产生的二进制事件文件并存储到MySQL中。Snort的配置文件自身含有插件，它允许将Snort报警记录到MySQL中，但这样一来，系统数据会激增。当IDS系统检测到***行为时，它会用INSERT语句向数据库中写入数据，导致更新非常慢。所以如果直接将Snort输出到数据库，在数据量增大时这种方案的效率并不高，故使用外部代理将报警输出到Barnyard2。
●源码包安装。
#cd /usr/local/src/
#tar zxvf barnyard2-1.9.tar.gz
#cd barnyard2-1.9/
#./configure --with-mysql --with-mysql-libraries=/usr/lib64/mysql //此处配置参数很重要，切勿出错
手动打造Snort+barnyard2+BASE可视化报警平台
#make //见到如下内容后，才可继续安装

只有确保上面关键两步不出错，才能继续安装。如果报错，需要根据提示查找错误原因，如忽略错误，继续往下做都是徒劳的。
#make install

● 配置Barnyard2。
首先在/var/log/中创建目录Barnyard2和文件barnyard2.waldo。
#mkdir /var/log/barnyard2
#touch /var/log/snort/barnyard2.waldo

● 设置文件barnyard2.waldo的属主。
#chown snort.snort /var/log/snort/barnyard2.waldo

● 复制Barnyard2的配置文件。
与Snort配置类似，Barnyard的初始化配置也是通过复制已有的.conf配置文件来完成。因此先将Barnyard2的配置模板文件复制到/etc/snort目录下。
#cp /usr/local/src/barnyard2-1.9/etc/barnyard2.conf /etc/snort

● 修改配置文件barnyard2.conf。
#vi /etc/snort/barnyard2.conf

找到对应行并将其修改成如下内容：
第44行 config logdir:/var/log/barnyard2 //该目录权限为snort.snort
第56行 config hostname: localhost
第57行 config interface: eth0
第131行 config waldo_file:/var/log/snort/barnyard2.waldo

修改完成之后保存并退出。
下面这条语句用来设置数据库访问权限，其中定义了用户名为snort，密码为123456，数据库名称为snort，主机名为localhost。
第318行 output database: log,mysql,user=snort password=123456 dbname=snort host=localhost

编辑完成后保存退出。
● 修改目录的属主。
#chown snort.snort /var/log/barnyard2

● 启动Snort和Barnyard2进行联合测试。
#snort -q -u snort -g snort -c /etc/snort/snort.conf -i eth0 –D
手动打造Snort+barnyard2+BASE可视化报警平台
● 测试Barnyard2。
#barnyard2 –c /etc/snort/barnyard2.crnf –d/var/log/snort/
-f snort.log –w /var/log/snort/barnyard2 waldo
-g snort –u snort -T
此时不会看到输出结果，因为程序在后台运行（“-D”参数表示后台运行）。
同样ping主机，继续执行以下命令。
#barnyard2 -c /etc/snort/barnyard2.conf -d /var/log/snort/ -f snort.log –w /var/log/snort/barnyard2.waldo

命令参数的解释如下所示。
● -c：该选项指定Barnyard配置文件的路径。该参数为必选项。
● -d：指定Unified格式文件的路径，这里指定为/var/log/snort/，所有Unified文件必须放在该目录下。该参数为必选项。
● -f：该选项指定Barnyard以连续方式运行时的Unified文件名。Snort在每次生成的Snort Unified文件后面都加了一个UNIX时间戳，去掉时间戳后缀就是文件名。
● -w：该选项打开检验功能，告诉Barnyard检验文件名（也称为waldo文件）。该文件用于记录文件中最近处理的报警。如果不使用waldo文件，则Barnyard必须完整地载入一个日志文件，该参数的作用是将报警信息传送至***数据库。

如果在以上显示中发现最后一行出现“Waiting for new spool file”，则表示上面的操作成功。在/var/log/snort目录下有一些snort.log+times_stamp的二进制文件，这些文件由Snort输出插件所生成。

步骤5．使用下述命令查询报警信息是否存入数据库。
#mysql -u snort -p -D snort -e "select count(*) from event"

实际操作效果如下所示。

如果在count(*)下方没有数字，则表示报警信息没有存入数据库，那么需要从头检查配置过程。参数含义如下。
[root@localhost ~]# barnyard2 -c /etc/snort/barnyard2.conf -d /var/log/snort/ -f snort.log -w /var/log/snort/barnyard2.waldo -g snort -u snort
Running in Continuous mode
--== Initializing Barnyard2 ==--
Initializing Input Plugins!
Initializing Output Plugins!
Parsing config file "/etc/snort/barnyard2.conf"
Log directory = /var/log/barnyard2
database: compiled support for (mysql)
database: configured to use mysql
database: schema version = 107
database: host = localhost
database: user = snort
database: database name = snort
database: sensor name = localhost:eth0
database: sensor id = 1
database: sensor cid = 1
database: data encoding = hex
database: detail level = full
database: ignore_bpf = no
database: using the "log" facility

    --== Initialization Complete ==--

__ -> Barnyard2 <-
/ ,,_ \ Version 2.1.9 (Build 263)
|o" )~| By the SecurixLive.com Team: http://www.securixlive.com/about.php

   Snort by Martin Roesch & The Snort Team: http://www.snort.org/team.html
   (C) Copyright 1998-2007 Sourcefire Inc., et al.

WARNING: Ignoring corrupt/truncated waldofile '/var/log/snort/barnyard2.waldo'
Waiting for new spool file

四、搭建BASE的可视化***检测系统

如果以上三部分中所有环节均正常，说明已经安装了Snort系统并将报警信息存入数据库。接下来开始安装BASE（Basic Analysis and Security Engine,基于ACID构建）的步骤，Barnyard将MySQL中的Snort报警信息通过Web展示的具体原理如图1所示。

图1 Barnyard存储原理
要将存储在数据库中的日志展现在Web端，需要安装BASE（*检测事件展示的前端程序），这里用到的版本是base-1.4.5.tar.gz。既然用到了Web服务，那么首先需要安装好LAMP环境，然后再安装BASE包。此处服务器IP地址为192.168.1.120。具体安装步骤如下。
步骤1**．安装httpd、mysql-server、mysql-devel、php、php-mysql、php-mbstring、php-mcrypt。
命令如下所示。
#yum install –y httpd mysql-server php php-mysql php-mbstring php-mcrypt mysql-devel php-gd

检测事件展示的前端程序），这里用到的版本是base-1.4.5.tar.gz。既然用到了Web服务，那么首先需要安装好LAMP环境，然后再安装BASE包。此处服务器IP地址为192.168.1.120。具体安装步骤如下。

步骤2．安装PHP插件（mcrypt、libmcrypt、libmcrypt-devel），命令如下所示。
#yum install –y mcrypt libmcrypt libmcrypt-devel php-pear

更新插件的时间比较长，操作如下所示。
#pear upgrade pear

步骤3．继续执行下列命令。
#pear channel-update pear.php.net

安装 Image_Graph-alpha、Image_Canvas-alpha、Image_Color、Numbers_Roman 这 4个包。
操作如下所示。
#pear channel-update pear.php.net
#pear install Image_Graph-alpha Image_Canvas-alpha Image_Color Numbers_Roman

步骤4．安装ADOdb包。
虽然PHP是建构Web系统强有力的工具，但是PHP存取数据库的功能并未标准化，MySQL使用了另一种不同且不兼容的应用程序接口。此时需要使用ADOdb作为中介进行转换。ADOdb的最大优点是不管后端数据库如何，存取数据库的方式都是一致的。目前ADOdb的最新版本是5.20，它支持的数据库种类非常多，例如MySQL、PostgreSQL、Oracle等。下面开始安装ADOdb，首先将adodb520.tar.gz解压到/var/www/html/目录下。
#tar zxvf adodb519.tar.gz –C /var/www/html/

解压后发现增加了一个目录adodb5，将这个目录改名为adodb。
#mv /var/www/html/adodb5 /var/www/html/adodb

步骤5．解压BASE包。
#tar zxvf base-1.4.5.tar.gz –C /var/www/html

解压后发现增加了一个目录base-1.4.5，接着需要对它重命名。
#mv /var/www/html/base-1.4.5/ /var/www/html/base

步骤6．修改PHP配置文件。
#vi /etc/php.ini

将第513行内容改成如下内容。
error_reporting = E_ALL & ~E_NOTICE
修改完毕保存并退出。

注意：对于error_reporting()函数的解释：
error_reporting() 设置 PHP 的报错级别并返回当前级别，错误报告是分级的，下面我们了解一下这个函数错误报告等级。

E_ALL - 所有的错误和警告
E_ERROR - 致命性运行时错
E_WARNING - 运行时警告（非致命性错）
E_PARSE - 编译时解析错误
E_NOTICE - 运行时提醒(这些经常是是你的代码的BUG引起的。

步骤7．改变属组并设置权限。
#chown –R apache:apache /var/www/html
#chmod -R 755 /var/www/html

步骤8．重启MySQL、Web和Firewall服务。
#service mysqld restart //启动数据库服务
#service httpd restart //重启Web服务
#service iptables stop //关闭防火墙

步骤9．在Web界面设置BASE。
打开浏览器输入网址http://192.168.1.120/base/setup/index.php，输入完毕后弹出安装界面，如图1-7所示。
单击Continue按钮，开始选择语言和ADOdb路径，如图1-8所示。
语言项选择中文，ADOdb路径中输入/var/www/html/adodb，单击Continue按钮。接下来输入数据库名称、访问用户名和密码，如图1-9所示。
手动打造Snort+barnyard2+BASE可视化报警平台
图1-7 开始设置BASE

图1-8 设置ADOdb路径

图1-9 设置数据库
下一步将管理员名称设置为root，密码依然是“123456”，Full Name不必设置，如图1-10所示。

图1-10 设置root密码
下一步开始创建BASE表结构，如图1-11、图1-12所示。
手动打造Snort+barnyard2+BASE可视化报警平台
图1-11 准备创建BASE表结构

图1-12 BASE表创建完成
如果看到表acid有创建完成的提示并且BASE tables状态显示为“DONE”，则表示安装完成。单击屏幕最下方的step5…按钮结束安装。在客户机终端命令行中ping主机192.168.1.120，随后就能在BASE界面中收到ICMP报警，如图1-13所示。

图1-13 收到报警
如果在Web的BASE界面中收到ICMP报警，则表明BASE安装设置完成。
步骤10．安装phpMyAdmin。
#yum install phpmyadmin
修改配置文件
#vi /etc/httpd/conf.d/phpMyAdmin.conf
注销第24行的Deny from ALL
#service httpd restart
在Web界面下输入用户名snort，密码为123456