Instalação libcap:

A libcap é componente essencial para o snort. Por questões de desempenho e segurança é interessante compilá-lo, pois qualquer vulnerabilidade encontrada pode ser atualizada de maneira fácil, baixando o fonte da nova versão e compilando, sem esperar pelo pacote da distro, por exemplo.

Por outro lado, o Debian, por exemplo, tem um foco em segurança onde às correções surgem rapidamente e o apt é uma ótima ferramenta . Então, como tudo no software livre, você decide! :)

Instale o pacote flex:

# apt-get install flex

Descompacte:

# tar zxvf libpcap-0.9.7.tar.gz

Configure:

# ./configure

Compile e instale:

# make && make install
(o '&&' no comando diz que o segundo comando só será executado se o primeiro não retornar com erro)

Instalação Snort2:

Vamos ao de sempre :)

Descompacte e acesse a pasta:

# tar -zxvf snort-2.7.0.1.tar.gz

Configure o Snort para compilação, onde neste caso compilaremos com suporte ao MySQL que configuramos anteriormente:

# ./configure --with-mysql=/usr/local

Compile e instale:

# make && make install

Crie o diretório de configuração do Snort:

# mkdir /etc/snort

O mesmo para logs:

# mkdir /var/log/snort

Crie o usuário snort:

# adduser snort

Configure as devidas permissões:

# chown snort:snort /var/log/snort

Descompacte as regras baixadas anteriormente:

# tar -zxvf /usr/local/src/snortrules-snapshot-CURRENT.tar.gz

Vamos às regras do snort:

# cd /etc/snort

Copie as regras para o diretório de configuração:

# cp /usr/local/src/snort-2.7.0.1/etc/*.conf* . && cp /usr/local/src/snort-2.7.0.1/etc/*.map .

Edite o arquivo snort.conf: Lembrando que esta configuração é básica para iniciar o Snort. Cada um deve configurar conforme sua necessidade. Os arquivos de configuração são bem comentados para você se orientar. Sugerimos uma boa lida neles:

# vi /etc/snort/snort.conf

Basicamente, altere as seguintes variáveis:


Antes de iniciar o snort, dê uma olhada também no arquivo local.rules:

# vi /etc/snort/rules/local.rules

Iniciando snort:

# /usr/local/bin/snort -Dq -u snort -g snort -c /etc/snort/snort.conf &

Verifique se o processo do snort continua rodando e monitore o syslog, pois as mensagens de sucesso ou erro aparecerão nele.

Você pode utilizar também snort -v para ver na tela como o snort trabalha. Neste primeiro momento estamos utilizando o snort para saída padrão em logs do sistema. O ambiente MySQL preparado anteriormente será finalizado juntamente com a instalação do BASE.

Criando base de dados Snort:

Conecte-se ao banco:

# mysql -u root -p (lembre-se da senha de root do banco, definida anteriormente)

Crie uma base:

mysql> create database snort;

Configure as permissões e crie o usuário snort para o mysql:

mysql> grant CREATE, INSERT, SELECT, DELETE, UPDATE on snort.* to snort@localhost;

Defina a senha do usuário snort:

mysql> SET PASSWORD FOR snort@localhost=PASSWORD('senha');

Na pasta 'schemas', no código fonte do Snort existem scripts para criação da base em alguns SGBDs.

Acesse a pasta:

# cd /usr/local/src/snort-2.7.0.1/schemas

Jogue o sql no banco mysql:

# mysql -u root -p < create_mysql snort

Para testar, acesse a base e suas tabelas, conectando-se ao mysql:

mysql> use snort;
mysql> show tables;