Linux下安装Snort入侵检测系统教程

本文详细讲解了在Linux系统中从零开始部署Snort入侵检测系统（IDS）的完整流程，涵盖依赖库安装、DAQ数据采集层编译、Snort主程序配置与编译、网络变量与规则路径的精准设置，以及创建专用低权限运行用户等关键安全实践；内容直击初学者常遇的configure报错、规则失效、日志写入失败等痛点，提供跨发行版（Ubuntu/Debian与CentOS/RHEL）的实操命令和排错验证步骤，助你稳定、安全、高效地构建企业级网络威胁感知能力。

如果您希望在Linux系统中部署Snort作为入侵检测系统（IDS），但面临依赖缺失、编译失败或配置无效等问题，则可能是由于基础组件未就绪、权限配置错误或规则路径未正确引用。以下是解决此问题的步骤：

一、安装前置依赖库

Snort依赖多个底层库完成数据包捕获与正则匹配，缺失任一组件将导致configure阶段报错或运行时崩溃。需确保flex、bison、libpcap、pcre、zlib及libdnet全部就位。

1、更新系统软件源并升级基础组件：
sudo apt update && sudo apt upgrade -y

2、安装编译工具与核心依赖：
sudo apt install -y build-essential libtool autoconf automake libpcap-dev libpcre3-dev zlib1g-dev libdumbnet-dev

3、若使用CentOS/RHEL系发行版，执行：
sudo yum install -y gcc flex bison zlib libpcap pcre libdnet tcpdump libdnet-devel libpcap-devel pcre-devel

4、验证关键库是否可用：
pkg-config --modversion libpcap && pkg-config --modversion pcre

5、如提示未找到pkg-config，需额外安装：
sudo apt install -y pkg-config

二、编译安装DAQ数据采集库

DAQ是Snort 2.9+版本强制依赖的数据包获取抽象层，直接替代旧版libpcap直连模式，提供更稳定的跨平台抓包能力。必须先于Snort安装且路径需被Snort构建系统识别。

1、下载最新稳定版DAQ源码（以2.0.6为例）：
wget https://www.snort.org/downloads/snort/daq-2.0.6.tar.gz

2、解压并进入目录：
tar -xvzf daq-2.0.6.tar.gz && cd daq-2.0.6

3、配置编译参数并安装：
./configure --prefix=/usr/local && make && sudo make install

4、刷新动态链接库缓存：
sudo ldconfig

5、确认DAQ已注册到系统：
sudo daq_modules

三、编译安装Snort主程序

Snort 2.9.x系列需显式启用Sourcefire插件支持，并绑定已安装的DAQ路径。若跳过--with-daq-includes和--with-daq-libraries参数，configure将无法定位DAQ头文件与库文件。

1、下载Snort源码包（推荐2.9.20）：
wget https://www.snort.org/downloads/snort/snort-2.9.20.tar.gz

2、解压并切换目录：
tar -xvzf snort-2.9.20.tar.gz && cd snort-2.9.20

3、执行带DAQ支持的配置：
./configure --enable-sourcefire --with-daq-includes=/usr/local/include --with-daq-libraries=/usr/local/lib

4、编译并安装：
make && sudo make install

5、创建必要目录结构：
sudo mkdir -p /etc/snort /etc/snort/rules /var/log/snort /usr/local/lib/snort_dynamicrules

6、验证安装结果：
snort -V 应输出 Version 2.9.20 及 DAQ模块列表

四、初始化配置与规则加载

Snort默认不启用任何检测规则，必须手动配置网络范围、规则路径与告警输出方式。未修改HOME_NET或未取消注释include行将导致规则静默失效。

1、复制默认配置文件：
sudo cp etc/*.conf* /etc/snort/ && sudo cp etc/*.map /etc/snort/ && sudo cp etc/*.dtd /etc/snort/

2、编辑主配置文件：
sudo vi /etc/snort/snort.conf

3、定位并修改网络变量：
将第45行 ipvar HOME_NET any 替换为 ipvar HOME_NET 192.168.1.0/24（按实际网段调整）

4、定位EXTERNAL_NET定义，替换为：
ipvar EXTERNAL_NET !$HOME_NET

5、取消注释规则包含行（通常在文件末尾）：
include $RULE_PATH/local.rules

6、创建空规则文件供后续扩展：
sudo touch /etc/snort/rules/local.rules

五、创建运行用户与日志权限

以root权限长期运行Snort存在安全风险，官方推荐创建专用低权限账户。若忽略此步，Snort在非特权模式下无法写入/var/log/snort，导致日志丢失或启动失败。

1、创建snort组与用户：
sudo groupadd snort && sudo useradd -g snort snort

2、授权日志目录归属：
sudo chown -R snort:snort /var/log/snort

3、设置规则目录可读：
sudo chmod -R o-rwx /etc/snort/rules

4、验证用户权限：
sudo -u snort touch /var/log/snort/test.log && sudo rm /var/log/snort/test.log

5、若提示Permission denied，请检查SELinux状态（CentOS）：
sudo sestatus 或临时禁用：sudo setenforce 0

理论要掌握，实操不能落！以上关于《Linux下安装Snort入侵检测系统教程》的详细介绍，大家都掌握了吧！如果想要继续提升自己的能力，那么就来关注golang学习网公众号吧！