CentOS 6.2下安装基于Suricata + Barnyard 2 + Base的入侵检测系统
来源:http://hi.baidu.com/pia_ca/blog/item/2767d3f386376edd7931aa28.html
一、 前言
算了,这部分就省了吧。下面直奔主题。
二、 准备工作
CentOS 6.2我是最小化安装,同时使用163的源进行update,所以还需要安装如下的依赖包:
[piaca@piaca ~]$ sudo yum install gcc make pcre pcre-devel libpcap libpcap-devel
同时需要关闭iptables、ip6tables:
[piaca@piaca ~]$ sudo service iptables stop
[piaca@piaca ~]$ sudo service ip6tables stop
[piaca@piaca ~]$ sudo chkconfig --level 2345 iptables off
[piaca@piaca ~]$ sudo chkconfig --level 2345 ip6tables off
需要下载的软件:
Suricata
http://www.openinfosecfoundation.org/index.php/downloads
Barnyard 2
http://www.securixlive.com/barnyard2/
Base
http://base.secureideas.net/
yaml
http://pyyaml.org/
adodb
http://sourceforge.net/projects/adodb/
rules
http://rules.emergingthreats.net/open/suricata/emerging.rules.tar.gz
Image_Canvas
http://download.pear.php.net/package/Image_Canvas-0.3.3.tgz
Image_Graph
http://download.pear.php.net/package/Image_Graph-0.8.0.tgz
三、 配置APM环境
Base需要APM(Apache、PHP、Mysql)环境,通过yum来进行安装。
[piaca@piaca ids]$ sudo yum install httpd php mysql mysql-server mysql-devel php-mysql php-gd php-pear
启动httpd、mysql服务
[piaca@piaca ids]$ sudo /etc/init.d/httpd start
[piaca@piaca ids]$ sudo /etc/init.d/mysqld start
默认的web根目录是/var/www/html,在此目录新建phpinfo测试文件,来确认配置是否正确。
PS:mysql安装后root账号默认口令为空,通过下面命令可以修改root账号口令
[piaca@piaca ~]$ mysqladmin -uroot -p password [新密码]
四、 安装Barnyard 2
安装过程如下:
[piaca@piaca ids]$ tar zxvf barnyard2-1.9.tar.gz
[piaca@piaca ids]$ cd barnyard2-1.9
[piaca@piaca barnyard2-1.9]$ ./configure --with-mysql
[piaca@piaca barnyard2-1.9]$ make
[piaca@piaca barnyard2-1.9]$ sudo make install
五、 安装Suricata
安装过程如下:
Suricata需要依赖yaml,首先安装yaml
[piaca@piaca ids]$ tar zxvf yaml-0.1.4.tar.gz
[piaca@piaca ids]$ cd yaml-0.1.4
[piaca@piaca yaml-0.1.4]$ ./configure
[piaca@piaca yaml-0.1.4]$ make
[piaca@piaca yaml-0.1.4]$ sudo make install
[piaca@piaca ids]$ tar zxvf suricata-1.1.1.tar.gz
[piaca@piaca ids]$ cd suricata-1.1.1
[piaca@piaca suricata-1.1.1]$ ./configure
[piaca@piaca suricata-1.1.1]$ make
[piaca@piaca suricata-1.1.1]$ sudo make install
六、 配置Suricata、Barnyard 2
配置Barnyard 2
把Barnyard 2安装源文件中的etc/barnyard2.conf文件拷贝到Suricata的配置目录下
[piaca@piaca ids]$ cd barnyard2-1.9
[piaca@piaca barnyard2-1.9]$ sudo cp etc/barnyard2.conf /etc/suricata/
创建barnyard2日志目录/var/log/barnyard2
[piaca@piaca ~]$ sudo mkdir /var/log/barnyard2
配置数据库
需要创建数据库和相应的账号
[piaca@piaca ~]$ mysql -uroot –p
mysql> create database ids;
mysql> grant create,select,update,insert,delete on ids.* to ids@localhost identified by 'ids123';
Barnyard 2安装源文件中的schemas/create_mysql是创建表的sql文件,通过如下方式建表:
[piaca@piaca ~]$ mysql -uids -p -Dids < ids/barnyard2-1.9/schemas/create_mysql
配置Suricata
创建Suricata配置目录和日志目录
[piaca@piaca ~]$ sudo mkdir /var/log/suricata
[piaca@piaca ~]$ sudo mkdir /etc/suricata
把规则文件拷贝到Suricata配置目录下
[piaca@piaca ids]$ tar zxvf emerging.rules.tar.gz
[piaca@piaca ids]$ sudo cp -R rules/ /etc/suricata/
把Suricata安装源文件中的suricata.yaml/classification.config/reference.config文件拷贝到Suricata的配置目录下
[piaca@piaca ids]$ cd suricata-1.1.1
[piaca@piaca suricata-1.1.1]$ sudo cp suricata.yaml classification.config reference.config /etc/suricata/
编辑barnyard2.conf文件
[piaca@piaca ~]$ cd /etc/suricata/
[piaca@piaca suricata]$ sudo vim barnyard2.conf
找到下面的内容
config reference_file: /etc/snort/reference.config
config classification_file: /etc/snort/classification.config
config gen_file: /etc/snort/gen-msg.map
config sid_file: /etc/snort/sid-msg.map
更改红色的内容如下:
config reference_file: /etc/suricata/reference.config
config classification_file: /etc/suricata/classification.config
config gen_file: /etc/suricata/rules/gen-msg.map
config sid_file: /etc/suricata/rules/sid-msg.map
同时在文件的末尾添加如下行,红色的mysql数据库、账号信息根据实际情况填写
output database: log, mysql, user=ids password=ids123 dbname=ids host=localhost
编辑suricata.yaml文件
[piaca@piaca suricata]$ sudo vim suricata.yaml
找到HOME_NET: "[192.168.0.0/16,10.0.0.0/8,172.16.0.0/12]"这一行,根据实际的网络情况来修改,在这里我修改为HOME_NET: "[192.168.0.0/16]"
找到下面的内容:
host-os-policy:
# Make the default policy windows.
windows: [0.0.0.0/0]
bsd: []
bsd_right: []
old_linux: []
linux: [10.0.0.0/8, 192.168.1.100, "8762:2352:6241:7245:E000:0000:0000:0000"]
old_solaris: []
solaris: ["::1"]
hpux10: []
hpux11: []
irix: []
macos: []
vista: []
windows2k3: []
根据实际网络情况修改。
启动Suricata、Barnyard 2
[piaca@piaca ~]$ sudo /usr/local/bin/barnyard2 -c /etc/suricata/barnyard2.conf -d /var/log/suricata -f unified2.alert -w /var/log/suricata/suricata.waldo -D
[piaca@piaca ~]$ sudo /usr/local/bin/suricata -c /etc/suricata/suricata.yaml -i eth1 -D
启动suricata的-i参数是镜像流量的网卡。
测试suricata工作是否正常,可以通过如下命令:
[piaca@piaca suricata]$ curl www.testmyids.com
执行后,/var/log/suricata目录下的fast.log/suricata.waldo/unified2.alert*文件大小发生变化,同时查看fast.log文件有如下类似的内容则表示suricata工作正常:
01/12/2012-02:16:27.964981 [**] [1:2013028:3] ET POLICY curl User-Agent Outbound [**] [Classification: Attempted Informa
tion Leak] [Priority: 2] {TCP} 192.168.230.100:56260 -> 217.160.51.31:80
01/12/2012-02:16:28.309707 [**] [1:2100498:7] GPL ATTACK_RESPONSE id check returned root [**] [Classification: Potential
ly Bad Traffic] [Priority: 2] {TCP} 217.160.51.31:80 -> 192.168.230.100:56260
七、 配置Base
Base需要用到adodb以及Image_Canvas、Image_Graph绘图组件,配置过程如下:
解压adodb514.zip
[piaca@piaca ids]$ unzip adodb514.zip
把adodb5拷贝到/usr/local/lib/目录下,这个目录随意指定,记下来后面要用到
[piaca@piaca ids]$ sudo cp -R adodb5 /usr/local/lib/
安装Image_Canvas、Image_Graph
[piaca@piaca ids]$ sudo pear install Image_Canvas-0.3.3.tgz
[piaca@piaca ids]$ sudo pear install Image_Graph-0.8.0.tgz
解压base-1.4.5.tar.gz
[piaca@piaca ids]$ tar zxvf base-1.4.5.tar.gz
拷贝base-1.4.5到/var/www/html目录下
[piaca@piaca ids]$ sudo cp -R base-1.4.5 /var/www/html/base
更改/var/www/html/base的属主为apache
[piaca@piaca ids]$ cd /var/www/html/
[piaca@piaca html]$ sudo chown -R apache:apache base
然后通过浏览器访问http://192.168.230.100/base
根据页面中红色的部分提示来进行操作。
修改php.ini
[piaca@piaca html]$ sudo vim /etc/php.ini
找到error_reporting = E_ALL & ~E_DEPRECATED内容,修改为如下:error_reporting = E_ALL & ~E_DEPRECATED & ~E_NOTICE
重新载入apache配置
[piaca@piaca html]$ sudo /etc/init.d/httpd reload
然后点击“Continue”到下一步
选择语言,和前面我们的adodb5的路径,然后点击“Continue”
填写mysql相关信息,点击“Continue”继续
填写认证的相关信息,如果需要验证身份,请勾上“Use Authentication System”,点击“Continue”
点击“Create BASE AG”
点击“step 5”,跳到首页。
八、 最后
以上是整个安装过程,IDS的价值在于规则设置的是否合适,根据实际情况设置合适的规则才能够体现IDS的强大。
CentOS 6.2下安装基于Suricata + Barnyard 2 + Base的入侵检测系统相关推荐
- barnyard2 mysql_CentOS 6.2下安装基于Suricata + Barnyard 2 + Base的入侵检测系统 | 学步园...
一. 前言 算了,这部分就省了吧.下面直奔主题. 二. 准备工作 CentOS 6.2我是最小化安装,同时使用163的源进行update,所以还需要安装如下的依赖包: [piaca ...
- [IDS]CentOS6.6下搭建基于snort+barnyard2+base的入侵检测系统,超详细!!!
最详细的CentOS6.6下搭建基于snort+barnyard2+base的入侵检测系统 免责声明 一.如果因为使用本文档照成损失(系统崩溃.数据丢失等),作者不承担任何责任. 二.本文档只是个人使 ...
- CentOS 5.1下安装Opensim
Opensim是什么? Opensim是一个平台,用来架构一个虚拟世界,并支持多个独立的地区连接到一个单一的网络中心. 这是有点类似的网站,任何人都可以运行自己的网络服务器透过互联网联系在一起.它也可 ...
- CentOs 6.0 下安装cacti的syslog插件
CentOs 6.0 下安装cacti的syslog插件 一.软件环境: OS:CentOS 6.0 x86_64 rsyslog rsyslog-mysql syslog-v1.22-2.tgz 监 ...
- CentOS 6.4下安装中文输入法
记录CentOS 6.4下安装中文输入法的过程,希望对大家有所帮助. 1.用root登录 ,或su root 2.yum install "@Chinese Support" 3. ...
- Ubuntu 16.04 下安装运行 Suricata
介绍 Suricata是一个免费.开源.成熟.快速.健壮的网络威胁检测引擎.Suricata引擎能够进行实时入侵检测(IDS).内联入侵预防(IPS).网络安全监控(NSM)和离线pcap处理.Sur ...
- centos 安装mysql-proxy_详解在Centos 5.2下安装最新Mysql Proxy LUA教程
在Centos 5.2下安装***Mysql Proxy LUA教程是本文要介绍的内容,主要是来了解Mysql Proxy LUA的安装过程,文章中有很详细的讲解,具体内容来看本文详解. mysql ...
- CentOS 6.4下安装和配置Samba - 行知小筑 - 51CTO技术博客
CentOS 6.4下安装和配置Samba - 行知小筑 - 51CTO技术博客
- CentOS 7版本下安装NVIDIA显卡驱动
文件准备:根据自己的硬件配置需求,去NVIDIA官网下载符合显卡的驱动文件和cuda文件,笔者这里以CentOS 7.6下安装RTX 3090为实例. 1.拷贝文件 在系统安装完以后并且确保能上网的情 ...
最新文章
- 入门HTML的回顾,小总结
- 如何在SQL Management Studio中指定其他端口号?
- QRadioButton Toggled() 使用方法
- gps数据处理matlab,基于Matlab的数据处理方法在GPS高程拟合中的应用
- Linux线程——线程安全问题
- 第四章类和对象 习题答案
- AAAI 2020 Oral | 华科提出TANet:提升点云3D目标检测的稳健性
- 计算机组成原理实验主存储器,计算机组成原理实验课件--存储器讲解.ppt
- centos7 redis分布式集群问题总结
- 安卓中如何修改创建的模拟器的存储位置
- AutoCAD2015 下载安装教程与使用技巧(已测有效)
- ubuntu16.04下运行海康威视网络摄像头sdk(qtdemo)
- Thinkpad T470 内置电池问题
- vs2017 脚本错误,当前页面的脚本发生错误
- 中国通胀真相:美国向全球转嫁经济调整成本
- 新思路,坚持创新;好想法,坚持执行
- JAVA自定义信件消息模板内容
- Zemax学习笔记(11) - 变焦镜头设计实例
- 如何实现自有App上的小程序第三方微信授权登陆?
- 分析了一个小说站,速度挺不错的,顺便学习下js