Supondo que você ja esteja com seu MySQL, Apache e PHP funcionando, partiremos para o Snort e seus complementos. Caso não queira usar o Snorby pelo Apache, não tem problema, pois ele roda independente também (você poderá seguir sem o Apache e PHP).

Será necessário baixar os slackbuilds para compilar os pacotes, ou você pode baixar os que compilei para versão do Slackware 14.1-x86_64 que vou disponibilizar mais abaixo pelos links do mega.

Precisamos dos seguintes pacotes.

Libcap-ng:

• SlackBuilds.org - libcap-ng
• libcap-ng no MEGA

Libdnet:

• SlackBuilds.org - libdnet
• libdnet no MEGA

Libnet:

• SlackBuilds.org - libnet
• libnet no MEGA

Libnids:

• SlackBuilds.org - libnids
• libnids no MEGA

Daq:

• SlackBuilds.org - daq (modifique o script e use a versão mais recente do Daq)
• https://www.snort.org/downloads/snort/daq-2.0.4.tar.gz
• daq no MEGA

Barnyard2:

• SlackBuilds.org - barnyard2
• barnyard2 no MEGA

O arquivo do Barnyard2 no slackbuilds será baixado com nome v2-1.13.tar.gz, renomeie para barnyard2-2-1.13.tar.gz, ficando o seguinte comando:

# mv v2-1.13.tar.gz barnyard2-2-1.13.tar.gz

Snort:

• SlackBuilds.org - snort (modifique a versão no script e use o pacote mais recente do snort)
• https://www.snort.org/downloads/snort/snort-2.9.7.0.tar.gz
• Snort no MEGA

Caso verifique seus logs e encontre o problemas com snort: FATAL ERROR: Cannot decode data link type 113'

Compile-o com a seguinte opção:

--enable-non-ether-decoders

... e será corrigido, ficando como abaixo a modificação no snort.Slackbuilds:

# ./configure
_{--prefix=/usr
--libdir=/usr/lib${LIBDIRSUFFIX}
--sysconfdir=/etc
--mandir=/usr/man
--localstatedir=/var
--docdir=/usr/doc/$PRGNAM-$VERSION
--enable-pthread
--enable-linux-smp-stats
--enable-zlib
--build=$ARCH-slackware-linux
--enable-non-ether-decoders}

Obs.: tive alguns problemas com a versão 2.9.5.6 do Snort, com a versão 2.9.7.0 esses problemas foram corrigidos e funcionou perfeitamente (recomendo).

Após baixar os tgz, execute o comando:

# installpkg *.tgz

Agora vamos baixar snortrules, as regras para funcionamento da detecção de intrusão. Já deixei os arquivos organizados para a pasta do snort.

SnortRules:

• SnortRules no MEGA

Feito o download, vamos executar o seguinte comando:

# tar -xjvf snortrules.tar.bz2 -C /etc/snort/