在linux下从源码包安装libmysqlclient、snort

由于数据库服务器安装在xp上&＃xff0c;因此&＃xff0c;在linux中只需安装mysql的客户端库就可以了。
根据snort.org上的《Snort Installation Manual - Snort, MySQL, Redhat 7.3 》中
《snort Installation》小节的指导下过来两个包&＃xff1a;

MySQL-client-5.0.22-0.i386.rpm
MySQL-devel-5.0.22-0.i386.rpm

键入以下命令安装:

#rpm -ivh MySQL-client-5.0.22-0.i386.rpm
#rpm -ivh MySQL-devel-5.0.22-0.i386.rpm

安装好以后&＃xff0c;在 /usr/include/mysql/ 目录中存放有libmysqlclient的头文件mysql.h&＃xff0c;在 /usr/lib/mysql/ 目录中存放有mysql的库文件&＃xff0c;但只有.a结尾的(即静态库)库文件(包括libmysqlclient.a)&＃xff0c;没有.so(共享库)文件。

使用如下命令编译一个简单的测试程序(代码在本文结尾处给出)&＃xff1a;

#gcc -c -I/usr/include/mysql mysql-test.c

此命令成功生成了目标文件mysql-test.o。
继续键入以下命令。

#gcc -o --static mysql-test mysql-test.o -L/usr/lib/mysql -lmysqlclient

注意参数的顺序&＃xff0c;gcc有时会因为某些参数顺序不对而报错&＃xff0c;某些相关参数的具体顺序应该如何&＃xff0c;还望高人指点。
以上命令确给出了数不清的“引用未定义符号”的错误信息&＃xff0c;引用未定义符号的是libmysqlclient.a

带着希望折腾了许久&＃xff0c;最后决定从源码包安装mysql客户端程序库。

卸载MySQL-client与MySQL-devel&＃xff1a;

#rpm -e MySQL-client
#rpm -e MySQL-devel

以上两条命令将直接删除rpm -ivh 所释放的所有文件及其创建的文件夹。

#tar -zxvf mysql-5.0.22.tar.gz (mysql-5.0.22.tar.gz位于/root目录)
#cd mysql-5.0.22

进入mysql-5.0.22目录&＃xff0c;阅读 INSTALL-SOURCES 文件&＃xff0c;并看到几个关键选项&＃xff1a;

1、--without-server
只编译安装客户端程序库&＃xff0c;不编译mysql服务器程序&＃xff0c;这在本机只需要libmysqlclient时很有用。

2、--enable-thread-safe-client
让libmysqlclient中的例程具有线程安全性&＃xff0c;要编写多线程的mysql客户端程序时就少不了了&＃xff0c;这要求本地拥有多线程库。

3、--prefix 指定安装目录

启动configure脚本&＃xff1a;

#mkdir /usr/local/mysql
#./configure --without-server --enable-thread-safe-client --prefix&＃61;/usr/local/mysql

大概6分钟后&＃xff0c;configure脚本生成好所有的Makefile后退出。

当前目录下执行make进行编译&＃xff1a;

#make

这个过程除了时间长一点以外没有别的&＃xff0c;大概一个钟头后make完成编译任务。

安装&＃xff1a;

#make install

这个过程也比较快&＃xff0c;约两三分钟。

安装完成以后&＃xff0c;mysql.h文件在 /usr/local/mysql/include/mysql/目录中(这里include目录中还有一个mysql子目录)。
以lib开头的库文件在/usr/local/mysql/lib/mysql/目录中(与mysql.h的情况一样&＃xff0c;这里lib目录中还有一个mysql子目录)。
 
此时再来链接测试程序的目标文件&＃xff1a;

#gcc -o mysql-test mysql-test.o -L/usr/lib/mysql -lmysqlclient

OK&＃xff0c;一切正常&＃xff0c;链接成功。
执行一下&＃xff1a;

#./mysql-test

系统这时又发出错误提示&＃xff1a;Loading libmysqlclient.so.15 Error; No Such File!
将/usr/local/mysql/lib/mysql/目录中的libmysqlclient.so.15.0.0复制到/usr/lib/目录下&＃xff1a;

#cp /usr/local/mysql/lib/mysql/libmysqlclient.so.15.0.0 /usr/lib/libmysqlclient.so.15
#./mysql-test

屏幕打印出:mysql_init() successed.后就不动了.
约莫90秒后打印libmysqlclient的提示信息&＃xff1a;Can not connect to mysql server(110)

这时在windows xp的msdos控制台键入&＃xff1a;

>netstat -na

看到了系统已经打开了3306端口&＃xff0c;即mysql server确实在运行。
最后注意到xp中启用了系统防火墙, 禁用系统防火墙后回到linux的ppty键入:

#./mysql-test

这时&＃xff0c;黎明的曙光终于出现了&＃xff0c;提示信息告诉我&＃xff0c;它已经连接上了XP中的mysql server。

目前snort最新版本为2.8&＃xff0c;比2.0复杂一些&＃xff0c;感觉刚入门的学习或是研究还是2.0好些&＃xff0c;结构清晰且功能齐全。

进入snort2.0源码目录之后执行:

#./configure --enable-debug --with-mysql&＃61;/usr/local/mysql

--enable-debug 选项将snort编译到调试模式&＃xff0c;这对于学习或研究都很有帮助。
--with-mysql&＃61;/usr/local/mysql 选项将使snort对mysql提供支持。

注意&＃xff1a;--with-mysql的值是编译msyql时--prefix指定的路径&＃xff0c;而非libmysqlclient.so所在的路径。

接着执行&＃xff1a;

#make
#make install

这两个过程很顺利&＃xff0c;总时间在10分钟之内。

在phpmyadmin中创建数据库snort2_0&＃xff0c;然后import /snort-2.0.5/contrib/create_mysql.
phpmyadmin的控制台居然提示说sql脚本有语法错误!错误的语句为&＃xff1a;

CREATE TABLE schema ( vseq        INT      UNSIGNED NOT NULL,
                      ctime       DATETIME NOT NULL,
                      PRIMARY KEY (vseq));
INSERT INTO schema  (vseq, ctime) VALUES (&＃39;107&＃39;, now());

错误的地方在表名“schema”附近。查看snort-2.8.1的create_mysql脚本发现其对schema的使用
加了“&＃96;&＃96;”号("&＃96;"为1左边的键)&＃xff0c;即修改如下&＃xff1a;

CREATE TABLE &＃96;schema&＃96; ( vseq        INT      UNSIGNED NOT NULL,
                      ctime       DATETIME NOT NULL,
                      PRIMARY KEY (vseq));
INSERT INTO &＃96;schema&＃96;  (vseq, ctime) VALUES (&＃39;107&＃39;, now());
  
修改完后再试一次&＃xff0c;果然成功了。但其它的表并没有这样&＃xff0c;如&＃xff1a;

CREATE TABLE event  ( sid    INT     UNSIGNED NOT NULL,
                      cid    INT     UNSIGNED NOT NULL,
                      signature   INT      UNSIGNED NOT NULL,
                      timestamp     DATETIME NOT NULL,
                      PRIMARY KEY (sid,cid),
                      INDEX       sig (signature),
                      INDEX       time (timestamp));
                     
却没有报错。"schema"是mysql的保留字吗&＃xff1f;在查找中。

这个问题在snort2.0.5的输出插件中也存在。如下述方式启动snort&＃xff1a;

#snort -l /root/snort2.0_log -c /root/snort-2.0.5/etc/snort.conf
( 
 snort.conf输出插件配置&＃xff1a;
 #
 output database: alert, mysql, user&＃61;root dbname&＃61;snort2_0 host&＃61;172.16.178.87
 # password
 注意&＃xff1a;如果user指定的数据库用户名没有设置密码的话&＃xff0c;要将password关键字去掉&＃xff0c;否则会出错。
)
结果snort在初使化过程中测试数据库时提示说schema_VERSION&＃61;0&＃xff0c;不符合要求&＃xff0c;即刻退出。
而查看schema表中的vseq明明是106。

最后在snort源码文件spo_database.c的CheckDBVersion函数中看到以下代码&＃xff1a;

snprintf(select0, MAX_QUERY_LENGTH, "SELECT vseq FROM schema");

将其改成&＃xff1a;

snprintf(select0, MAX_QUERY_LENGTH, "SELECT vseq FROM &＃96;schema&＃96;");

然后回到snort-2.0.5目录中执行 make uninstall, make, make install
(如果想再从头开始编译&＃xff0c;需要执行以下几条命令
#make uninstall
#make clean
#rm config.cache 或 rm config.status (根据你的./configure脚本生成的文件确定)
#./configure
)
再执行&＃xff1a;

#snort -l /root/snort2.0_log -c /root/snort-2.0.5/etc/snort.conf

这下snort终于在IDS模式中运行起来了。几分钟后查看snort2_0数据库&＃xff0c;发现snort写入了许多数据。

1、mysql server 处理表名为 schema 的查询时所发生的现象。
2、linux中如何查询从源码包安装的软件。
比如&＃xff1a;这里的snort&＃xff0c;rmp -q snort只提示“並未安裝套件 snort”