CentOS 6.2下安装基于Suricata + Barnyard 2 + Base的入侵检测系
来源:http://hi.baidu.com/pia_ca/blog/item/2767d3f386376edd7931aa28.html 一、前言 算了,这部分就省了吧。下面直奔主题。 二、准备工作 CentOS 6.2 我是最小化安装,同时使用 163 的源进行 update ,所以还需要安装如下的依赖包: [piaca@piaca ~]$ sud
来源:http://hi.baidu.com/pia_ca/blog/item/2767d3f386376edd7931aa28.html
一、 前言
算了,这部分就省了吧。下面直奔主题。
二、 准备工作
CentOS 6.2我是最小化安装,同时使用163的源进行update,所以还需要安装如下的依赖包:
[piaca@piaca ~]$ sudo yum install gcc make pcre pcre-devel libpcap libpcap-devel
同时需要关闭iptables、ip6tables:
[piaca@piaca ~]$ sudo service iptables stop
[piaca@piaca ~]$ sudo service ip6tables stop
[piaca@piaca ~]$ sudo chkconfig --level 2345 iptables off
[piaca@piaca ~]$ sudo chkconfig --level 2345 ip6tables off
需要下载的软件:
Suricata
http://www.openinfosecfoundation.org/index.php/downloads
Barnyard 2
http://www.securixlive.com/barnyard2/
Base
http://base.secureideas.net/
yaml
http://pyyaml.org/
adodb
http://sourceforge.net/projects/adodb/
rules
http://rules.emergingthreats.net/open/suricata/emerging.rules.tar.gz
Image_Canvas
http://download.pear.php.net/package/Image_Canvas-0.3.3.tgz
Image_Graph
http://download.pear.php.net/package/Image_Graph-0.8.0.tgz
三、 配置APM环境
Base需要APM(Apache、PHP、Mysql)环境,通过yum来进行安装。
[piaca@piaca ids]$ sudo yum install httpd php mysql mysql-server mysql-devel php-mysql php-gd php-pear
启动httpd、mysql服务
[piaca@piaca ids]$ sudo /etc/init.d/httpd start
[piaca@piaca ids]$ sudo /etc/init.d/mysqld start
默认的web根目录是/var/www/html,在此目录新建phpinfo测试文件,来确认配置是否正确。
PS:mysql安装后root账号默认口令为空,通过下面命令可以修改root账号口令
[piaca@piaca ~]$ mysqladmin -uroot -p password [新密码]
四、 安装Barnyard 2
安装过程如下:
[piaca@piaca ids]$ tar zxvf barnyard2-1.9.tar.gz
[piaca@piaca ids]$ cd barnyard2-1.9
[piaca@piaca barnyard2-1.9]$ ./configure --with-mysql
[piaca@piaca barnyard2-1.9]$ make
[piaca@piaca barnyard2-1.9]$ sudo make install
五、 安装Suricata
安装过程如下:
Suricata需要依赖yaml,首先安装yaml
[piaca@piaca ids]$ tar zxvf yaml-0.1.4.tar.gz
[piaca@piaca ids]$ cd yaml-0.1.4
[piaca@piaca yaml-0.1.4]$ ./configure
[piaca@piaca yaml-0.1.4]$ make
[piaca@piaca yaml-0.1.4]$ sudo make install
[piaca@piaca ids]$ tar zxvf suricata-1.1.1.tar.gz
[piaca@piaca ids]$ cd suricata-1.1.1
[piaca@piaca suricata-1.1.1]$ ./configure
[piaca@piaca suricata-1.1.1]$ make
[piaca@piaca suricata-1.1.1]$ sudo make install
六、 配置Suricata、Barnyard 2
配置Barnyard 2
把Barnyard 2安装源文件中的etc/barnyard2.conf文件拷贝到Suricata的配置目录下
[piaca@piaca ids]$ cd barnyard2-1.9
[piaca@piaca barnyard2-1.9]$ sudo cp etc/barnyard2.conf /etc/suricata/
创建barnyard2日志目录/var/log/barnyard2
[piaca@piaca ~]$ sudo mkdir /var/log/barnyard2
配置数据库
需要创建数据库和相应的账号
[piaca@piaca ~]$ mysql -uroot –p
mysql> create database ids;
mysql> grant create,select,update,insert,delete on ids.* to ids@localhost identified by 'ids123';
Barnyard 2安装源文件中的schemas/create_mysql是创建表的sql文件,通过如下方式建表:
[piaca@piaca ~]$ mysql -uids -p -Dids
配置Suricata
创建Suricata配置目录和日志目录
[piaca@piaca ~]$ sudo mkdir /var/log/suricata
[piaca@piaca ~]$ sudo mkdir /etc/suricata
把规则文件拷贝到Suricata配置目录下
[piaca@piaca ids]$ tar zxvf emerging.rules.tar.gz
[piaca@piaca ids]$ sudo cp -R rules/ /etc/suricata/
把Suricata安装源文件中的suricata.yaml/classification.config/reference.config文件拷贝到Suricata的配置目录下
[piaca@piaca ids]$ cd suricata-1.1.1
[piaca@piaca suricata-1.1.1]$ sudo cp suricata.yaml classification.config reference.config /etc/suricata/
编辑barnyard2.conf文件
[piaca@piaca ~]$ cd /etc/suricata/
[piaca@piaca suricata]$ sudo vim barnyard2.conf
找到下面的内容
config reference_file: /etc/snort/reference.config
config classification_file: /etc/snort/classification.config
config gen_file: /etc/snort/gen-msg.map
config sid_file: /etc/snort/sid-msg.map
更改红色的内容如下:
config reference_file: /etc/suricata/reference.config
config classification_file: /etc/suricata/classification.config
config gen_file: /etc/suricata/rules/gen-msg.map
config sid_file: /etc/suricata/rules/sid-msg.map
同时在文件的末尾添加如下行,红色的mysql数据库、账号信息根据实际情况填写
output database: log, mysql, user=ids password=ids123 dbname=ids host=localhost
编辑suricata.yaml文件
[piaca@piaca suricata]$ sudo vim suricata.yaml
找到HOME_NET: "[192.168.0.0/16,10.0.0.0/8,172.16.0.0/12]"这一行,根据实际的网络情况来修改,在这里我修改为HOME_NET: "[192.168.0.0/16]"
找到下面的内容:
host-os-policy:
# Make the default policy windows.
windows: [0.0.0.0/0]
bsd: []
bsd_right: []
old_linux: []
linux: [10.0.0.0/8, 192.168.1.100, "8762:2352:6241:7245:E000:0000:0000:0000"]
old_solaris: []
solaris: ["::1"]
hpux10: []
hpux11: []
irix: []
macos: []
vista: []
windows2k3: []
根据实际网络情况修改。
启动Suricata、Barnyard 2
[piaca@piaca ~]$ sudo /usr/local/bin/barnyard2 -c /etc/suricata/barnyard2.conf -d /var/log/suricata -f unified2.alert -w /var/log/suricata/suricata.waldo -D
[piaca@piaca ~]$ sudo /usr/local/bin/suricata -c /etc/suricata/suricata.yaml -i eth1 -D
启动suricata的-i参数是镜像流量的网卡。
测试suricata工作是否正常,可以通过如下命令:
[piaca@piaca suricata]$ curl www.testmyids.com
执行后,/var/log/suricata目录下的fast.log/suricata.waldo/unified2.alert*文件大小发生变化,同时查看fast.log文件有如下类似的内容则表示suricata工作正常:
01/12/2012-02:16:27.964981 [**] [1:2013028:3] ET POLICY curl User-Agent Outbound [**] [Classification: Attempted Informa
tion Leak] [Priority: 2] {TCP} 192.168.230.100:56260 -> 217.160.51.31:80
01/12/2012-02:16:28.309707 [**] [1:2100498:7] GPL ATTACK_RESPONSE id check returned root [**] [Classification: Potential
ly Bad Traffic] [Priority: 2] {TCP} 217.160.51.31:80 -> 192.168.230.100:56260
七、 配置Base
Base需要用到adodb以及Image_Canvas、Image_Graph绘图组件,配置过程如下:
解压adodb514.zip
[piaca@piaca ids]$ unzip adodb514.zip
把adodb5拷贝到/usr/local/lib/目录下,这个目录随意指定,记下来后面要用到
[piaca@piaca ids]$ sudo cp -R adodb5 /usr/local/lib/
安装Image_Canvas、Image_Graph
[piaca@piaca ids]$ sudo pear install Image_Canvas-0.3.3.tgz
[piaca@piaca ids]$ sudo pear install Image_Graph-0.8.0.tgz
解压base-1.4.5.tar.gz
[piaca@piaca ids]$ tar zxvf base-1.4.5.tar.gz
拷贝base-1.4.5到/var/www/html目录下
[piaca@piaca ids]$ sudo cp -R base-1.4.5 /var/www/html/base
更改/var/www/html/base的属主为apache
[piaca@piaca ids]$ cd /var/www/html/
[piaca@piaca html]$ sudo chown -R apache:apache base
然后通过浏览器访问http://192.168.230.100/base
根据页面中红色的部分提示来进行操作。
修改php.ini
[piaca@piaca html]$ sudo vim /etc/php.ini
找到error_reporting = E_ALL & ~E_DEPRECATED内容,修改为如下:error_reporting = E_ALL & ~E_DEPRECATED & ~E_NOTICE
重新载入apache配置
[piaca@piaca html]$ sudo /etc/init.d/httpd reload
然后点击“Continue”到下一步
选择语言,和前面我们的adodb5的路径,然后点击“Continue”
填写mysql相关信息,点击“Continue”继续
填写认证的相关信息,如果需要验证身份,请勾上“Use Authentication System”,点击“Continue”
点击“Create BASE AG”
点击“step 5”,跳到首页。
八、 最后
以上是整个安装过程,IDS的价值在于规则设置的是否合适,根据实际情况设置合适的规则才能够体现IDS的强大。
ホットAIツール
Undresser.AI Undress
リアルなヌード写真を作成する AI 搭載アプリ
AI Clothes Remover
写真から衣服を削除するオンライン AI ツール。
Undress AI Tool
脱衣画像を無料で
Clothoff.io
AI衣類リムーバー
AI Hentai Generator
AIヘンタイを無料で生成します。
人気の記事
ホットツール
メモ帳++7.3.1
使いやすく無料のコードエディター
SublimeText3 中国語版
中国語版、とても使いやすい
ゼンドスタジオ 13.0.1
強力な PHP 統合開発環境
ドリームウィーバー CS6
ビジュアル Web 開発ツール
SublimeText3 Mac版
神レベルのコード編集ソフト(SublimeText3)
ホットトピック
7474
15
1377
52
77
11
19
31
Centosで中国語を入力する方法
Apr 07, 2024 pm 08:21 PM
CentOS で中国語入力を使用する方法には、次のものが含まれます。 fcitx 入力方法を使用する: fcitx をインストールして有効にし、ショートカット キーを設定し、ショートカット キーを押して入力方法を切り替え、ピンインを入力して候補単語を生成します。 iBus 入力方法を使用する: iBus をインストールして有効にし、ショートカット キーを設定し、ショートカット キーを押して入力方法を切り替え、ピンインを入力して候補単語を生成します。
CentOS7でUSBディスクファイルを読み取る方法
Apr 07, 2024 pm 08:18 PM
CentOS 7 で U ディスク ファイルを読み取るには、まず U ディスクを接続し、そのデバイス名を確認する必要があります。次に、次の手順に従ってファイルを読み取ります。 USB フラッシュ ドライブをマウントします: mount /dev/sdb1 /media/sdb1 (「/dev/sdb1」を実際のデバイス名に置き換えます) USB フラッシュ ドライブ ファイルを参照します: ls /media /sdb1; cd /media /sdb1/ディレクトリ; cat ファイル名
SCP 使用法のヒント - ファイルを再帰的に除外する
Apr 22, 2024 am 09:04 AM
scp コマンドを使用すると、ネットワーク ホスト間でファイルを安全にコピーできます。データ転送と認証には ssh を使用します。一般的な構文は次のとおりです: scpfile1user@host:/path/to/dest/scp -r/path/to/source/user@host:/path/to/dest/scp ファイルを除外する scp コマンドを使用する場合はできないと思いますファイルをフィルタリングまたは除外します。ただし、ファイルを除外し、ssh を使用して安全にコピーするという良い回避策があります。このページでは、scp を使用してディレクトリを再帰的にコピーするときにファイルをフィルタリングまたは除外する方法について説明します。 rsync コマンドを使用してファイルを除外する方法 構文は次のとおりです。 rsyncav-essh-
centos にログインするためのパスワードを忘れた場合の対処方法
Apr 07, 2024 pm 07:33 PM
CentOS パスワードを忘れた場合の解決策は次のとおりです。 シングルユーザー モード: シングルユーザー モードに入り、passwd root を使用してパスワードをリセットします。レスキュー モード: CentOS Live CD/USB から起動し、ルート パーティションをマウントし、パスワードをリセットします。リモート アクセス: SSH を使用してリモートに接続し、sudo passwd root でパスワードをリセットします。
CentOS7でroot権限を有効にする方法
Apr 07, 2024 pm 08:03 PM
CentOS 7 では root 権限がデフォルトで無効になっていますが、次の手順で有効にできます: 一時的に有効にする: ターミナルで「su root」と入力し、root パスワードを入力します。永続的に有効にする: 「/etc/ssh/sshd_config」を編集し、「PermitRootLogin no」を「yes」に変更し、SSH サービスを再起動します。
centos7でroot権限を取得する方法
Apr 07, 2024 pm 07:57 PM
CentOS 7 で root 権限を取得するには、いくつかの方法があります。 1. 「su」を使用してコマンドを実行します。 2. 「sudo」を使用して単一のコマンドを実行します。 3. root ユーザーを有効にし、パスワードを設定します。注: root 権限を使用する場合は、システムに損傷を与える可能性があるため注意してください。
CentOSでroot権限を入力する方法
Apr 07, 2024 pm 08:06 PM
CentOS で root 権限でタスクを実行するには、1) sudo コマンドを使用して一時的に root 権限を取得する、2) root ユーザーのパスワードを使用して直接ログインする、の 2 つの方法があります。 root 権限を使用する場合は細心の注意を払う必要があり、必要な場合にのみ使用することをお勧めします。
CentOSでゲートウェイを構成する方法
Apr 07, 2024 pm 08:51 PM
CentOS をゲートウェイとして構成するには、次の手順を実行する必要があります: 1. ネットワーク インターフェイスを構成し、GATEWAY 値を追加します; 2. デフォルト ゲートウェイを設定し、DNS 情報を指定します; 3. ネットワーク サービスを開始します; 4. ゲートウェイをテストします接続; 5. ゲートウェイを通過するトラフィックを許可するようにファイアウォールを構成します (オプション) を選択します。
