在Linux中诱捕入侵者（2）

作者：洪小叶

安装

需要注意的是，安装一个基于主机的入侵检测系统并不能为系统提供保护。它的目的是帮助管理员对潜在的攻击进行分析和记录。所以本文假设你安装SNARE的服务器已经通过关闭不需要的服务、改变缺省的文件访问权限和安装了最新的补丁程序等措施使系统变得更加的稳固。

SNARE的应用程序包可以在InterSect的网站上(http://www.intersectalliance.com/projects/Snare)下载。SNARE分为两部分：核心包和GUI。网上有用于Red Hat 7.1和Red Hat 7.2的rpm格式的程序包，也有源代码包可供下载。我喜欢使用源代码进行安装，这样可以确保程序在我的系统环境下正确地运行，所以我下载的是最新的源代码，现在是0.9版。在Red Hat 7.1里，需要两个文件，分别为snare-0.9.tar.gz和snare-core-0.9.tar.gz。

运行以下命令解开压缩：

#gunzip snare-core-0.9.tar.gz

#tar xvf snare-core-0.9.tar

SNARE发行版很小，其中还包括一些可以在InterSect的站点上找到的文档。在所下载的文件中，auditd监控程序已经被编译过，当然，你可以使用以下命令将其重新编译：

#make clean

#make

#make install

auditd监控程序会被安装到/usr/sbin下。此外，一个用于记录开始/停止的脚本会被放在/etc/init.d目录下。可以切换到/etc/init.d目录，然后敲入以下命令来启动auditd进程：

#./audit start

下面安装GUI。首先切换到snare-0.9目录下，然后敲入以下几行命令：

#./autogen.sh

#./make

#./make install

这样，这些GUI文件就会被拷贝到/usr/local/share目录下。这一切都完成以后，我们就可以使用以下命令来运行程序了：

#snare &

图1GUI的外貌