在Debian上安装轻量级入侵监测系统

snort是著名的轻量级IDS，昨天受一位网友提醒，首次尝试在debian上安装，过程非常简单。

　　为了便于分析结果，还安装了ACID。以下简要说一下过程。

　　首先安装apache+php4+mysql，网上有大量的相关文档，不再浪费资源论述。

　　建立mysql存储snort输出的数据库snortdb；

　　建立管理该数据库的帐号snort@localhost，除了GRANT权限都给。

　　不熟悉mysql命令的可以用phpmyadmin(这个玩意以前bug比较多)

　　基于web的可视化mysql管理工具

　　安装snort-mysql，会自动安装snort-common，snort-rules-default

　　#apt-get install snort-mysql

　　安装完以后回答配置脚本的几个问题，然后记得把snortdb里的tables建立起来

　　zcat /usr/share/doc/snort-mysql/contrib/create_mysql.gz | mysql -u [id] -p -h [host] [snort-database]

　　如果跟我上面说的一样，[id]=snort [host]=localhost [snort-database]=snortdb

　　你或许希望手动修改/etc/snort/snort.conf /etc/snort/rules/* 来迎合自己的系统情况。

　　安装acidlab

　　#apt-get install acidlab

　　也要回答几个问题，snort-achieve-db也用snotdb这个库

　　好了，大功告成，在浏览器里看看http://[yourhost]/acidlab/ 往下不用我多说了。

　　Debian真是好，省得自己一点一点改脚本让这几个东西配合。

　　最后提醒注意两点

　　1 建立.htpasswd保护http://[yourhost]/acidlab/目录

　　2 记得经常更新你的snort-rules