怎样安装和使用Snort

在安装Snort之前，请确认你的系统是否安装了LAMP，如果没有安装的话，请输入以下命令安装：

$ sudo apt-get install mysql-server libapache2-mod-php5 php5-mysql libphp-adodb

安装部署Snort工具

1. 安装Snort软件包

$ sudo apt-get install snort-mysql

在安装过程中会提示以下信息

这时，输入的网卡要与你的现在使用的网卡一致，否则安装不成功，查看你的网卡信息使用命令 $ ifconfig

接下来，选择要监听网络段，比如要监听整个192.168.0.0/16这个网络段，就填写上这个网络段，

最后，提示是否设置数据库，选择“Yes”。

安装结束，会提示以下错误信息

这个错误信息，提示我们还没有为snort配置一个mysql数据库。接下来我们为snort创建一个数据库

2. 创snortdb数据库

进入数据库后，创建数据库名为snortdb

创建一个snort的数据库用户，并设置密码为snortpassword

创建好数据库snortdb以后，我们需要将snort-mysql自带的软件包中附带的sql文件导入到数据库中；

$ cd /usr/share/doc/snort-mysql

$ zcat create_mysql.gz | mysql snortdb -u snort -psnortpassword

导入到数据库中以后，可以去snortdb数据库中查看是否导入成功。

如果导入数据完成以后，接着我们需要把/etc/snort/db-pending-config文件删掉，否则snort会认为数据库任然没有准备好。

$ sudo rm /etc/snort/db-pending-config

3. 配置Snort

上一步配置好了数据库，我们需要配置Snort配置文件（/etc/snort/snort.conf），告诉Snort以后日志写入到Snortdb数据库中.

$ sudo nano /etc/snort/snort.conf

首先，找到文件中“var HOME_NET any”一行，将其修改为我们邀监控的网络段，并启用临近下面几行的“var EXTERNAL_NET !$HOME_NET”，如图配置：

接着，找到该文件中“output database：log，mysql，”这行，默认它是注释的，如果没有将其注释掉，并在该行的下方填写以下内容，

该设置时将log和alert信息都写入到指定的数据库中。

然后， 检测snort.conf配置文件是否正常：

$ sudo snort -c /etc/snort/snort.conf

如果出现以上信息，有一个小猪出现，则说明配置成功了，按“Ctrl +C”退出。

最后，我们启动snort：

$ sudo /etc/init.d/snort start

启动成功以后需要使用

$ ps aux | grep snort

检测是否snort真的启动成功。一般安装我的步骤做的话是不会成功的，因为还有一个文件(/var/log/snort/alert)的所有者没有修改。

$ sudo chown snort /var/log/snort/alert

再启动snort

$ sudo /etc/init.d/snort start

通过$ ps aux | grep snort命令，查看是否启动成功。如果没有成功，可以通过/var/log/syslog日志文件查看具体的原因。

这里说一下为什么要先启动一下snort再修改(/var/log/snort/alert文件的所有者，因为默认在/var/log/snort/目录没有alert这个文件，只要通过先启动一下snort就会自动创建一个alert文件。

其实，电脑给你的提示已经很明白了。就是这个snort-mysql已经被更新更好的软件包所代替了。因此，你不见得就一定要装它了。如果你真的想要装它，那就要配置其他的apt-get安装源了

---