如何在Debian上配置Snort

• 更新，升级和重启
• 安装前配置
• 安装数据采集库（DAQ）
• 安装Snort
• 根除鼻涕

Snort是一个免费的网络入侵检测系统（IDS）。在不太正式的术语，它可以让你监视你的网络的可疑活动实时。目前，Snort具有用于Fedora，CentOS，FreeBSD和基于Windows的系统的软件包。确切的安装方法因操作系统而异。在本教程中，我们将直接从Snort的源文件中进行安装。本指南是为Debian编写的。

更新，升级和重启

在实际使用Snort来源之前，我们需要确保我们的系统是最新的。我们可以通过发出以下命令来做到这一点。

sudo apt-get update
sudo apt-get upgrade -y
sudo reboot

安装前配置

系统重新启动后，我们需要安装许多软件包以确保可以安装SBPP。我能够弄清楚所需要的许多软件包，因此下面是基本命令。

sudo apt-get install flex bison build-essential checkinstall libpcap-dev libnet1-dev libpcre3-dev libnetfilter-queue-dev iptables-dev libdumbnet-dev zlib1g-dev -y

安装完所有软件包后，您将需要为源文件创建一个临时目录-它们可以位于您想要的任何位置。我将使用/usr/src/snort_src。要创建此文件夹，您需要以root用户身份登录或具有sudo权限- root只是使其变得更加简单。

sudo mkdir /usr/src/snort_src
cd /usr/src/snort_src

安装数据采集库（DAQ）

在获得Snort的源代码之前，我们需要安装DAQ。安装非常简单。

wget https://www.snort.org/downloads/snort/daq-2.0.6.tar.gz

从压缩包中提取文件。

tar xvfz daq-2.0.6.tar.gz

转到DAQ目录。

cd daq-2.0.6

配置并安装DAQ。

./configure; make; sudo make install

最后一行将./configure首先执行。然后它将执行make。最后，它将执行make install。我们在这里使用较短的语法只是为了节省键入时间。

安装Snort

我们要确保/usr/src/snort_src再次进入该目录，因此请确保使用以下命令切换到该目录：

cd /usr/src/snort_src

现在我们位于源代码目录中，我们将下载tar.gz源代码文件。在撰写本文时，Snort的最新版本是2.9.8.0。

wget https://www.snort.org/downloads/snort/snort-2.9.8.0.tar.gz

实际安装snort的命令与用于DAQ的命令非常相似，但是它们具有不同的选项。

提取Snort源文件。

tar xvfz snort-2.9.8.0.tar.gz

转到源目录。

cd snort-2.9.8.0

配置并安装源。

 ./configure --enable-sourcefire; make; sudo make install

安装Snort

一旦安装了Snort，就需要确保共享库是最新的。我们可以使用以下命令执行此操作：

sudo ldconfig

完成之后，测试您的Snort安装：

snort --version

如果此命令不起作用，则需要创建一个符号链接。您可以通过键入以下内容来执行此操作：

sudo ln -s /usr/local/bin/snort /usr/sbin/snort
snort --version

结果输出将类似于以下内容：

   ,,_     -*> Snort! <*-
  o"  )~   Version 2.9.7.5 GRE (Build 262)
   ''''    By Martin Roesch & The Snort Team: http://www.snort.org/contact#team
           Copyright (C) 2014-2015 Cisco and/or its affiliates. All rights reserved.
           Copyright (C) 1998-2013 Sourcefire, Inc., et al.
           Using libpcap version 1.6.2
           Using PCRE version: 8.35 2014-04-04
           Using ZLIB version: 1.2.8

根除鼻涕

现在我们已经安装了snort，我们不希望它以身份运行root，因此我们需要创建一个snort用户和组。要创建新的用户和组，我们可以使用以下两个命令：

sudo groupadd snort
sudo useradd snort -r -s /sbin/nologin -c SNORT_IDS -g snort

由于我们已经使用源代码安装了程序，因此我们需要创建配置文件和snort规则。

sudo mkdir /etc/snort
sudo mkdir /etc/snort/rules
sudo mkdir /etc/snort/preproc_rules
sudo touch /etc/snort/rules/white_list.rules /etc/snort/rules/black_list.rules /etc/snort/rules/local.rules

创建目录和规则后，现在需要创建日志目录。

sudo mkdir /var/log/snort

最后，在添加任何规则之前，我们需要一个位置来存储动态规则。

sudo mkdir /usr/local/lib/snort_dynamicrules

一旦创建了所有以前的文件，请对其设置适当的权限。

sudo chmod -R 5775 /etc/snort
sudo chmod -R 5775 /var/log/snort
sudo chmod -R 5775 /usr/local/lib/snort_dynamicrules
sudo chown -R snort:snort /etc/snort
sudo chown -R snort:snort /var/log/snort
sudo chown -R snort:snort /usr/local/lib/snort_dynamicrules

设置配置文件

为了节省大量时间并避免必须复制和粘贴所有内容，只需将所有文件复制到配置目录中即可。

sudo cp /usr/src/snort_src/snort*/etc/*.conf* /etc/snort
sudo cp /usr/src/snort_src/snort*/etc/*.map /etc/snort

现在配置文件已存在，您可以执行以下两项操作之一：

• 您可以启用Barnyard2
• 或者，您可以只保留配置文件，然后有选择地启用所需的规则。

无论哪种方式，您仍然要更改一些内容。继续阅读。

组态

在/etc/snort/snort.conf文件中，您需要更改变量HOME_NET。应该将其设置为内部网络的IP块，这样它就不会记录您自己的网络登录服务器的尝试。这可能是10.0.0.0/24或192.168.0.0/16。在第45行，/etc/snort/snort.conf将变量更改为HOME_NET网络IP块的值。

在我的网络上，它看起来像这样：

ipvar HOME_NET 192.168.0.0/16

然后，您必须将EXTERNAL_NET变量设置为：

any

只是变成EXERNAL_NET了你HOME_NET不想要的东西。

制定规则

现在已经建立了大部分系统，我们需要为这只小猪配置规则。某处在你的周围管线104 /etc/snort/snort.conf文件，你会看到一个“VAR”声明和变量RULE_PATH，SO_RULE_PATH，PREPROC_RULE_PATH，WHITE_LIST_PATH，和BLACK_LIST_PATH。它们的值应设置为我们在中使用的路径Un-rooting Snort。

var RULE_PATH /etc/snort/rules
var SO_RULE_PATH /etc/snort/so_rules
var PREPROC_RULE_PATH /etc/snort/preproc_rules
var WHITE_LIST_PATH /etc/snort/rules
var BLACK_LIST_PATH /etc/snort/rules

一旦设置了这些值，请从第548行开始删除或注释掉当前规则。

现在，请检查以确保您的配置正确。您可以使用进行验证snort。

 # snort -T -c /etc/snort/snort.conf

您将看到类似于以下的输出（为简洁起见，将其截断）。

 Running in Test mode

         --== Initializing Snort ==--
 Initializing Output Plugins!
 Initializing Preprocessors!
 Initializing Plug-ins!
 .....
 Rule application order: activation->dynamic->pass->drop->sdrop->reject->alert->log
 Verifying Preprocessor Configurations!

         --== Initialization Complete ==--

    ,,_     -*> Snort! <*-
   o"  )~   Version 2.9.8.0 GRE (Build 229) 
    ''''    By Martin Roesch & The Snort Team: http://www.snort.org/contact#team
            Copyright (C) 2014-2015 Cisco and/or its affiliates. All rights reserved.
            Copyright (C) 1998-2013 Sourcefire, Inc., et al.
            Using libpcap version 1.7.4
            Using PCRE version: 8.35 2014-04-04
            Using ZLIB version: 1.2.8

            Rules Engine: SF_SNORT_DETECTION_ENGINE  Version 2.4  <Build 1>
            Preprocessor Object: SF_IMAP  Version 1.0  <Build 1>
            Preprocessor Object: SF_FTPTELNET  Version 1.2  <Build 13>
            Preprocessor Object: SF_SIP  Version 1.1  <Build 1>
            Preprocessor Object: SF_REPUTATION  Version 1.1  <Build 1>
            Preprocessor Object: SF_POP  Version 1.0  <Build 1>
            Preprocessor Object: SF_DCERPC2  Version 1.0  <Build 3>
            Preprocessor Object: SF_SDF  Version 1.1  <Build 1>
            Preprocessor Object: SF_GTP  Version 1.1  <Build 1>
            Preprocessor Object: SF_DNS  Version 1.1  <Build 4>
            Preprocessor Object: SF_SSH  Version 1.1  <Build 3>
            Preprocessor Object: SF_DNP3  Version 1.1  <Build 1>
            Preprocessor Object: SF_SSLPP  Version 1.1  <Build 4>
            Preprocessor Object: SF_SMTP  Version 1.1  <Build 9>
            Preprocessor Object: SF_MODBUS  Version 1.1  <Build 1>

 Snort successfully validated the configuration!
 Snort exiting

现在，所有内容都已配置无误，我们准备开始测试Snort。

测试鼻息

测试Snort的最简单方法是启用local.rules。这是一个包含您的自定义规则的文件。

如果您在snort.conf文件中的第546行附近注意到此行，则该行存在：

include $RULE_PATH/local.rules

如果没有，请在546左右添加。然后可以使用该local.rules文件进行测试。作为基本测试，我只是让Snort跟踪ping请求（ICMP请求）。您可以通过在local.rules文件中添加以下行来实现。

 alert icmp any any -> $HOME_NET any (msg:"ICMP test"; sid:10000001; rev:001;)

将其保存在文件中后，将其保存，然后继续阅读。

运行测试

以下命令将启动Snort并使用配置在snort组下以用户snort的身份打印“快速模式”警报/etc/snort/snort.conf，并且它将在网络接口上进行监听eno1。您将需要更改eno1为系统正在侦听的任何网络接口。

$ sudo /usr/local/bin/snort -A console -q -u snort -g snort -c /etc/snort/snort.conf -i eno1

一旦它运行，就对那台计算机执行ping操作。您将开始看到如下所示的输出：

01/07−16:03:30.611173 [**] [1:10000001:0] ICMP test [**] [Priority: 0]  192.168.1.105 -> 192.168.1.104
01/07−16:03:31.612174 [**] [1:10000001:0] ICMP test [**] [Priority: 0]  192.168.1.104 -> 192.168.1.105
01/07−16:03:31.612202 [**] [1:10000001:0] ICMP test [**] [Priority: 0]  192.168.1.105 -> 192.168.1.104
^C*** Caught Int−Signal

您可以按Ctrl + C退出程序，仅此而已。Snort已全部设置好。现在，您可以使用所需的任何规则。

最后，我想指出，社区制定了一些公共规则，您可以从官方站点的“社区”选项卡下��载。查找“ Snort”，然后在其下方有一个社区链接。下载该文件，将其解压缩，然后查找community.rules文件。