RHEL5.1 + SNORT 的监控系统安装与配置（一）

入侵检测就是一个监视计算机系统或者网络上发生的事件，然后对其进行安全分析的过程。大多数的入侵检测系统都可以被归入到基于网络、基于主机以及分布式三类。基于网络的入侵检测系统能够监视网络数据发现入侵或者攻击的蛛丝马迹；基于主机的入侵检测系统能够监视针对主机的活动(用户的命令、登录/退出过程，使用的数据等等)，以此来判断入侵企图；分布式IDS通过分布于各个节点的传感器或者代理对整个网络和主机环境进行监视，中心监视平台收集来自各个节点的信息监视这个网络流动的数据和入侵企图。

各种入侵检测系统使用的检测方法可以分为两类：基于特征码的检测方法和异常检测。使用基于特征码检测方法的系统从网络获得数据，然后从中发现以知的攻击特征。例如：在某些URL中包含一些奇怪的Unicode编码字符就是针对IIS Unicode缺陷的攻击特征。此外各种模式匹配技术的应用，提高了这种检测方法的精确性。使用异常检测的系统能够把获得的数据与一个基准进行比较，检测这些数据是否异常。  

例如：如果雇员的工作时间是上9点到下午5点，但是在某个晚上他的计算机记录了他曾经在半夜登录了公司的邮件服务器，这就是一个异常事件，需要深入调查。现在大量的统计学方法用于这个领域。

snort是一个基于libpcap的轻量级网络入侵检测系统。它运行在一个“传感器(sensor)”主机上，监听网络数据。这台机器可能是一台简陋的运行FreeBSD系统的Pentium100 PC，并且至少有一个网卡。不过建议使用最好的机器作为进行入侵检测的主机。snort能够把网络数据和规则集进行模式匹配，从而检测可能的入侵企图；或者使用SPADE插件，使用统计学方法对网络数据进行异常检测。

snort使用一种易于扩展的模块化体系结构，感兴趣的开发人员可以加入自己编写的模块来扩展snort的功能。这些模块包括：HTTP解码插件、TCP数据流重组插件、端口扫描检测插件、FLEXRESP插件以及各种日志输入插件等。

snort还是一个自由、简洁、快速、易于扩展的入侵检测系统，已经被移植到了各种UNIX平台和WinY2K上。同时，它也是目前安全领域中，最活跃的开放源码工程之一。snort还是昂贵的商业入侵检测系统最好的替代产品之一。

该实验的参考文档有以下几篇，其中主要参考的是在Chinaunix上一篇名为《Redhat as4下Snort＋base＋mysql＋php＋apache with gd and Image_Graph安装与配置》的文章除此之外其他的文章有：

http://linux.chinaunix.net/bbs/viewthread.php?tid=896814&extra=&highlight=snort&page=1
http://www.snort.org/docs/setup_guides/Snort_Base_Minimal.pdf

http://linux.chinaunix.net/bbs/viewthread.php?tid=896814&extra=&highlight=snort&page=1

http://bbs.chinaunix.net/viewthread.php?tid=880326&highlight=zqli

其实我本人对snort并没有非常深入的了解，只是在看过相关文档之后希望能够亲自操作一次。但是

网上提供给我参考的文档我大概看过。我认为主要问题有两个：

      第一，所使用的操作系统版本比较旧（很多系统在使用的系统版本基于Red Hat 9.0），在当前生产环境上部署的话很容易出现各种兼容性问题。

      第二，在操作的过程中使用了大量的opoensource软件包而替换了很多系统自带的软件，在生产环境中这样的操作也会带来支持以及管理方面的困难。

      第三，《Redhat as4下Snort＋base＋mysql＋php＋apache with gd and Image_Graph安装与配置》存在一些错误，我相信如果新手百分百按照该文档操作还是会出现一些问题。

      因此我这次的操作主要是使用当前比较新的RHEL5.1系统平台安装snort，并且在安装过程中尽量保留系统自带软件，同时指出源文在操作中的一些小错误。

实验环境：

      主机名称：localhost.localdomain       IP：192.168.1.150       Kernel：2.6.18-53.el5xen

      在该主机上部署RHEL5.1+Snort+Apache+MySql+Php+Gd with Gd & Image_Graph，在部署之前我系统安装的包组有：

      %packages

@mysql @development-libs@editors@system-tools      @gnome-software-development @text-internet

@x-software-development @virtualization @legacy-network-server @dns-server @gnome-desktop

@dialup @core @base @ftp-server @network-server @games @java @smb-server @base-x

@chinese-support @graphics @web-server @printing @mail-server @server-cfg @sound-and-video

@sql-server @admin-tools @news-server @development-tools @graphical-internet