Esse Guia de Instalação destina-se aos iniciantes no mundo do Snort e que tenham alguma experiência com Linux, pelo menos para instalação do Sistema Operacional e comandos básicos. O objetivo após a conclusão desse guia é termos um IDS (Intrusion Detection System) básico rodando com interface WEB (no nosso caso o BASE). Não vamos entrar em detalhes de customização do Snort.
Selecione as opções de acordo com o seu sistema e no final da instalação, em "Software Selection" desabilite as opções de Desktop environment e Standard system, ficando conforme figura abaixo:
Desabilite a fonte de instalação de CD ROM do apt, comentando com "#" a linha que começa com deb cdrom no começo do arquivo sources.list:
[2] Comentário enviado por removido em 03/02/2009 - 07:57h
Bom dia!
Você precisa trocar o paramêtro "-i" pela interface que deseja monitar. Ex: eth0, eth1, eth2...
Isso vai depender da sua instalação. Tente um "ifconfig" para verificar a interface correta.
[3] Comentário enviado por cpluz238 em 08/03/2009 - 14:00h
Ola, Muito bom seu tutorial, me ajudou muito, mas tive um problema no final quando fui abrir o base pelo Browser, conseguir configurar somente onde coloco as informações do bando. depois disso não passa para a outra tela. ja reviso o tutorial mas não vejo o erro lembrando que quando testo pela linha de comando tudo funciona perfeitamente.
[4] Comentário enviado por pedro_k em 06/05/2009 - 00:26h
Bom dia ,
instalei configurei o snort e o base conforme o tutorial ,mas ao acessar o base no browser não e apresentado nenhuma informação de relatorio ,mesmo estando executando o snort.
[7] Comentário enviado por hudson.ebert em 28/05/2009 - 00:20h
Quando abro o browser para configurar a base só chego a fazer o no step 1 e gera o seguinte erro: ERROR: The php session does not contain the array key adodbpath. This is typically caused by not having allowed cookies. Exiting.
Pode ser no php ?
[8] Comentário enviado por removido em 28/05/2009 - 09:05h
Oi Hudson,
Verifique o path do 'adodb'. Se você seguiu os passos deve ser esse:
"/usr/share/php/adodb"
Outra sugestão olhando a mensagem de erro, verifique se seu browser esta permitindo cookies.
[9] Comentário enviado por moonspell em 05/06/2009 - 16:04h
Amigo,
o script de inicialização não funcionou na minha máquina...a mensagem "Inicializando Snort... " ocorre, mas, verificando através do "ps aus | grep snort", vejo q ele não tá rodando!
A parte abaixo está realmente correta?
[13] Comentário enviado por henrique_1502 em 26/06/2009 - 10:13h
Estou com o seguinte problema na "instalação".
**********************************************
ERROR: unable to find mysql headers (mysql.h)
checked in the following places
yes
yes/include
yes/include/mysql
yes/mysql
yes/mysql/include
**********************************************
[14] Comentário enviado por removido em 26/06/2009 - 10:30h
O 'mysql.h' não esta sendo encontrado. Verifique se ele foi instalado. Outra opção, tente compilar com os parâmetros sugeridos no artigo só para ver se funciona.
[15] Comentário enviado por henrique_1502 em 26/06/2009 - 11:29h
Seguinte ao executar "snort -ve -p -u snort -g snort -c /etc/snort/snort.conf -i eth0" com a compilação do tutorial.
ERROR: If this build of snort was obtained as a binary distribution (e.g., rpm,
or Windows), then check for alternate builds that contains the necessary
'mysql' support.
If this build of snort was compiled by you, then re-run the
the ./configure script using the '--with-mysql' switch.
For non-standard installations of a database, the '--with-mysql=DIR'
syntax may need to be used to specify the base directory of the DB install.
See the database documentation for cursory details (doc/README.database).
and the URL to the most recent database plugin documentation.
Fatal Error, Quitting..
[20] Comentário enviado por gaviolante em 17/09/2009 - 12:16h
Cara ja fiz de tudo, porem não estou conseguindo que o base seja incrementado, o seja o Snort roda numa boa, mais na base faço toda a instalação e ele simplismente ignora o que está incrementado no banco!
[22] Comentário enviado por pauloric9 em 30/11/2009 - 17:20h
Ao chega no CP cp /usr/local/src/snort-2.8.3.1/etc/*.conf* . E cp /usr/local/src/snort-2.8.3.1/etc/*.map .
ELE DÁ O SEGUINTE ERRO : -
cp: impossÃvel fazer stat em `/usr/local/src/snort-2.8.3.1/etc/*.conf*': Arquivo ou diretório inexistente
TEM IDEIA DO QUE SEJA?
[23] Comentário enviado por fagl22 em 31/03/2010 - 15:12h
Olá Loula!!!
Montei o SNORT todo certinho e esta funcionando pelo TCPDUMP estou capturando o trafego correto, só que no BASE as informações que aparecem lá é da minha ETH0 (Interface de saida de internet) ao invés de aparecer da ETH1 que ja esta configurada como PROMISC no vim /etc/network/interface conforme estou colando abaixo.
# The secundary network interface
allow-hotplug eth1
iface eth1 inet manual
up ifconfig $IFACE 0.0.0.0 up
up ip link set $IFACE promisc on
# down ip link set $IFACE promisc off
# down ifconfig $IFACE down
Gostaria de saber de voce como eu faço para mudar a interface certa, pois o BASE só esta lendo o IP da minha interface ETH0 ou invés da ETH1 dele. Configurei tudo atraves do putty da minha maquina direto pro servidor. Espero que voce consiga me ajudar.
[25] Comentário enviado por fagl22 em 02/04/2010 - 22:07h
Oi Loula!!!
Em qual arquivo eu configuro? É no /snort-2.8.5.2/rpm/snort.sysconfig? Foi o unico que eu fui la configurar depois de procurar muito na net. Caso esteja eu errado me informe em qual arquivo eu faço a configuração da eth.
[27] Comentário enviado por removido em 19/05/2010 - 14:45h
Faz tempo que não testo esse procedimento, mas provavelmente é problema nós módulos PEAR para o PHP. Verifique se você está instalando as versões corretas.