CentOS 6.2下安装基于Suricata + Barnyard 2 + Base的入侵检测系
来源:http://hi.baidu.com/pia_ca/blog/item/2767d3f386376edd7931aa28.html 一、前言 算了,这部分就省了吧。下面直奔主题。 二、准备工作 CentOS 6.2 我是最小化安装,同时使用 163 的源进行 update ,所以还需要安装如下的依赖包: [piaca@piaca ~]$ sud
来源:http://hi.baidu.com/pia_ca/blog/item/2767d3f386376edd7931aa28.html
一、 前言
算了,这部分就省了吧。下面直奔主题。
二、 准备工作
CentOS 6.2我是最小化安装,同时使用163的源进行update,所以还需要安装如下的依赖包:
[piaca@piaca ~]$ sudo yum install gcc make pcre pcre-devel libpcap libpcap-devel
同时需要关闭iptables、ip6tables:
[piaca@piaca ~]$ sudo service iptables stop
[piaca@piaca ~]$ sudo service ip6tables stop
[piaca@piaca ~]$ sudo chkconfig --level 2345 iptables off
[piaca@piaca ~]$ sudo chkconfig --level 2345 ip6tables off
需要下载的软件:
Suricata
http://www.openinfosecfoundation.org/index.php/downloads
Barnyard 2
http://www.securixlive.com/barnyard2/
Base
http://base.secureideas.net/
yaml
http://pyyaml.org/
adodb
http://sourceforge.net/projects/adodb/
rules
http://rules.emergingthreats.net/open/suricata/emerging.rules.tar.gz
Image_Canvas
http://download.pear.php.net/package/Image_Canvas-0.3.3.tgz
Image_Graph
http://download.pear.php.net/package/Image_Graph-0.8.0.tgz
三、 配置APM环境
Base需要APM(Apache、PHP、Mysql)环境,通过yum来进行安装。
[piaca@piaca ids]$ sudo yum install httpd php mysql mysql-server mysql-devel php-mysql php-gd php-pear
启动httpd、mysql服务
[piaca@piaca ids]$ sudo /etc/init.d/httpd start
[piaca@piaca ids]$ sudo /etc/init.d/mysqld start
默认的web根目录是/var/www/html,在此目录新建phpinfo测试文件,来确认配置是否正确。
PS:mysql安装后root账号默认口令为空,通过下面命令可以修改root账号口令
[piaca@piaca ~]$ mysqladmin -uroot -p password [新密码]
四、 安装Barnyard 2
安装过程如下:
[piaca@piaca ids]$ tar zxvf barnyard2-1.9.tar.gz
[piaca@piaca ids]$ cd barnyard2-1.9
[piaca@piaca barnyard2-1.9]$ ./configure --with-mysql
[piaca@piaca barnyard2-1.9]$ make
[piaca@piaca barnyard2-1.9]$ sudo make install
五、 安装Suricata
安装过程如下:
Suricata需要依赖yaml,首先安装yaml
[piaca@piaca ids]$ tar zxvf yaml-0.1.4.tar.gz
[piaca@piaca ids]$ cd yaml-0.1.4
[piaca@piaca yaml-0.1.4]$ ./configure
[piaca@piaca yaml-0.1.4]$ make
[piaca@piaca yaml-0.1.4]$ sudo make install
[piaca@piaca ids]$ tar zxvf suricata-1.1.1.tar.gz
[piaca@piaca ids]$ cd suricata-1.1.1
[piaca@piaca suricata-1.1.1]$ ./configure
[piaca@piaca suricata-1.1.1]$ make
[piaca@piaca suricata-1.1.1]$ sudo make install
六、 配置Suricata、Barnyard 2
配置Barnyard 2
把Barnyard 2安装源文件中的etc/barnyard2.conf文件拷贝到Suricata的配置目录下
[piaca@piaca ids]$ cd barnyard2-1.9
[piaca@piaca barnyard2-1.9]$ sudo cp etc/barnyard2.conf /etc/suricata/
创建barnyard2日志目录/var/log/barnyard2
[piaca@piaca ~]$ sudo mkdir /var/log/barnyard2
配置数据库
需要创建数据库和相应的账号
[piaca@piaca ~]$ mysql -uroot –p
mysql> create database ids;
mysql> grant create,select,update,insert,delete on ids.* to ids@localhost identified by 'ids123';
Barnyard 2安装源文件中的schemas/create_mysql是创建表的sql文件,通过如下方式建表:
[piaca@piaca ~]$ mysql -uids -p -Dids
配置Suricata
创建Suricata配置目录和日志目录
[piaca@piaca ~]$ sudo mkdir /var/log/suricata
[piaca@piaca ~]$ sudo mkdir /etc/suricata
把规则文件拷贝到Suricata配置目录下
[piaca@piaca ids]$ tar zxvf emerging.rules.tar.gz
[piaca@piaca ids]$ sudo cp -R rules/ /etc/suricata/
把Suricata安装源文件中的suricata.yaml/classification.config/reference.config文件拷贝到Suricata的配置目录下
[piaca@piaca ids]$ cd suricata-1.1.1
[piaca@piaca suricata-1.1.1]$ sudo cp suricata.yaml classification.config reference.config /etc/suricata/
编辑barnyard2.conf文件
[piaca@piaca ~]$ cd /etc/suricata/
[piaca@piaca suricata]$ sudo vim barnyard2.conf
找到下面的内容
config reference_file: /etc/snort/reference.config
config classification_file: /etc/snort/classification.config
config gen_file: /etc/snort/gen-msg.map
config sid_file: /etc/snort/sid-msg.map
更改红色的内容如下:
config reference_file: /etc/suricata/reference.config
config classification_file: /etc/suricata/classification.config
config gen_file: /etc/suricata/rules/gen-msg.map
config sid_file: /etc/suricata/rules/sid-msg.map
同时在文件的末尾添加如下行,红色的mysql数据库、账号信息根据实际情况填写
output database: log, mysql, user=ids password=ids123 dbname=ids host=localhost
编辑suricata.yaml文件
[piaca@piaca suricata]$ sudo vim suricata.yaml
找到HOME_NET: "[192.168.0.0/16,10.0.0.0/8,172.16.0.0/12]"这一行,根据实际的网络情况来修改,在这里我修改为HOME_NET: "[192.168.0.0/16]"
找到下面的内容:
host-os-policy:
# Make the default policy windows.
windows: [0.0.0.0/0]
bsd: []
bsd_right: []
old_linux: []
linux: [10.0.0.0/8, 192.168.1.100, "8762:2352:6241:7245:E000:0000:0000:0000"]
old_solaris: []
solaris: ["::1"]
hpux10: []
hpux11: []
irix: []
macos: []
vista: []
windows2k3: []
根据实际网络情况修改。
启动Suricata、Barnyard 2
[piaca@piaca ~]$ sudo /usr/local/bin/barnyard2 -c /etc/suricata/barnyard2.conf -d /var/log/suricata -f unified2.alert -w /var/log/suricata/suricata.waldo -D
[piaca@piaca ~]$ sudo /usr/local/bin/suricata -c /etc/suricata/suricata.yaml -i eth1 -D
启动suricata的-i参数是镜像流量的网卡。
测试suricata工作是否正常,可以通过如下命令:
[piaca@piaca suricata]$ curl www.testmyids.com
执行后,/var/log/suricata目录下的fast.log/suricata.waldo/unified2.alert*文件大小发生变化,同时查看fast.log文件有如下类似的内容则表示suricata工作正常:
01/12/2012-02:16:27.964981 [**] [1:2013028:3] ET POLICY curl User-Agent Outbound [**] [Classification: Attempted Informa
tion Leak] [Priority: 2] {TCP} 192.168.230.100:56260 -> 217.160.51.31:80
01/12/2012-02:16:28.309707 [**] [1:2100498:7] GPL ATTACK_RESPONSE id check returned root [**] [Classification: Potential
ly Bad Traffic] [Priority: 2] {TCP} 217.160.51.31:80 -> 192.168.230.100:56260
七、 配置Base
Base需要用到adodb以及Image_Canvas、Image_Graph绘图组件,配置过程如下:
解压adodb514.zip
[piaca@piaca ids]$ unzip adodb514.zip
把adodb5拷贝到/usr/local/lib/目录下,这个目录随意指定,记下来后面要用到
[piaca@piaca ids]$ sudo cp -R adodb5 /usr/local/lib/
安装Image_Canvas、Image_Graph
[piaca@piaca ids]$ sudo pear install Image_Canvas-0.3.3.tgz
[piaca@piaca ids]$ sudo pear install Image_Graph-0.8.0.tgz
解压base-1.4.5.tar.gz
[piaca@piaca ids]$ tar zxvf base-1.4.5.tar.gz
拷贝base-1.4.5到/var/www/html目录下
[piaca@piaca ids]$ sudo cp -R base-1.4.5 /var/www/html/base
更改/var/www/html/base的属主为apache
[piaca@piaca ids]$ cd /var/www/html/
[piaca@piaca html]$ sudo chown -R apache:apache base
然后通过浏览器访问http://192.168.230.100/base
根据页面中红色的部分提示来进行操作。
修改php.ini
[piaca@piaca html]$ sudo vim /etc/php.ini
找到error_reporting = E_ALL & ~E_DEPRECATED内容,修改为如下:error_reporting = E_ALL & ~E_DEPRECATED & ~E_NOTICE
重新载入apache配置
[piaca@piaca html]$ sudo /etc/init.d/httpd reload
然后点击“Continue”到下一步
选择语言,和前面我们的adodb5的路径,然后点击“Continue”
填写mysql相关信息,点击“Continue”继续
填写认证的相关信息,如果需要验证身份,请勾上“Use Authentication System”,点击“Continue”
点击“Create BASE AG”
点击“step 5”,跳到首页。
八、 最后
以上是整个安装过程,IDS的价值在于规则设置的是否合适,根据实际情况设置合适的规则才能够体现IDS的强大。
핫 AI 도구
Undresser.AI Undress
사실적인 누드 사진을 만들기 위한 AI 기반 앱
AI Clothes Remover
사진에서 옷을 제거하는 온라인 AI 도구입니다.
Undress AI Tool
무료로 이미지를 벗다
Clothoff.io
AI 옷 제거제
AI Hentai Generator
AI Hentai를 무료로 생성하십시오.
인기 기사
뜨거운 도구
메모장++7.3.1
사용하기 쉬운 무료 코드 편집기
SublimeText3 중국어 버전
중국어 버전, 사용하기 매우 쉽습니다.
스튜디오 13.0.1 보내기
강력한 PHP 통합 개발 환경
드림위버 CS6
시각적 웹 개발 도구
SublimeText3 Mac 버전
신 수준의 코드 편집 소프트웨어(SublimeText3)
뜨거운 주제
7474
15
1377
52
77
11
49
19
19
31
센토스로 중국어 입력하는 방법
Apr 07, 2024 pm 08:21 PM
CentOS에서 중국어 입력을 사용하는 방법에는 fcitx 입력 방법 사용: fcitx 설치 및 활성화, 단축키 설정, 단축키를 눌러 입력 방법 전환, 병음을 입력하여 후보 단어 생성 등이 있습니다. iBus 입력 방법 사용: iBus를 설치 및 활성화하고, 단축키를 설정하고, 단축키를 눌러 입력 방법을 전환하고, 병음을 입력하여 후보 단어를 생성합니다.
centos7에서 USB 디스크 파일을 읽는 방법
Apr 07, 2024 pm 08:18 PM
CentOS 7에서 U 디스크 파일을 읽으려면 먼저 U 디스크를 연결하고 장치 이름을 확인해야 합니다. 그런 다음 다음 단계를 사용하여 파일을 읽습니다. USB 플래시 드라이브 마운트: mount /dev/sdb1 /media/sdb1("/dev/sdb1"을 실제 장치 이름으로 대체) USB 플래시 드라이브 파일 찾아보기: ls /media /sdb1; cd /media /sdb1/디렉토리;
SCP 사용 팁 - 파일을 재귀적으로 제외
Apr 22, 2024 am 09:04 AM
scp 명령을 사용하여 네트워크 호스트 간에 파일을 안전하게 복사할 수 있습니다. 데이터 전송 및 인증을 위해 SSH를 사용합니다. 일반적인 구문은 다음과 같습니다: scpfile1user@host:/path/to/dest/scp -r/path/to/source/user@host:/path/to/dest/scp 파일 제외 scp 명령을 사용할 때는 할 수 없을 것 같습니다 파일을 필터링하거나 제외합니다. 그러나 파일을 제외하고 SSH를 사용하여 안전하게 복사하는 좋은 해결 방법이 있습니다. 이 페이지에서는 scp를 사용하여 디렉터리를 반복적으로 복사할 때 파일을 필터링하거나 제외하는 방법을 설명합니다. rsync 명령을 사용하여 파일을 제외하는 방법 구문은 다음과 같습니다: rsyncav-essh-
centos 로그인 비밀번호를 잊어버린 경우 어떻게 해야 하나요?
Apr 07, 2024 pm 07:33 PM
잊어버린 CentOS 비밀번호에 대한 해결 방법은 다음과 같습니다. 단일 사용자 모드: 단일 사용자 모드로 들어가서 passwd root를 사용하여 비밀번호를 재설정합니다. 복구 모드: CentOS Live CD/USB에서 부팅하고 루트 파티션을 마운트하고 비밀번호를 재설정합니다. 원격 액세스: SSH를 사용하여 원격으로 연결하고 sudo passwd root로 비밀번호를 재설정합니다.
centos7에서 루트 권한을 활성화하는 방법
Apr 07, 2024 pm 08:03 PM
CentOS 7은 기본적으로 루트 권한을 비활성화합니다. 다음 단계에 따라 활성화할 수 있습니다. 임시 활성화: 터미널에 "su root"를 입력하고 루트 비밀번호를 입력합니다. 영구적으로 활성화됨: "/etc/ssh/sshd_config"를 편집하고 "PermitRootLogin no"를 "yes"로 변경한 후 SSH 서비스를 다시 시작합니다.
centos7에서 루트 권한을 얻는 방법
Apr 07, 2024 pm 07:57 PM
CentOS 7에서 루트 권한을 얻는 방법에는 여러 가지가 있습니다. 1. "su"를 사용하여 명령을 실행합니다. 2. 단일 명령을 실행하려면 "sudo"를 사용하십시오. 3. 루트 사용자를 활성화하고 비밀번호를 설정합니다. 참고: 루트 권한을 사용할 때는 시스템이 손상될 수 있으므로 주의하십시오.
CentOS에서 루트 권한을 입력하는 방법
Apr 07, 2024 pm 08:06 PM
CentOS에서 루트 권한으로 작업을 수행하는 방법에는 두 가지가 있습니다. 1) sudo 명령을 사용하여 일시적으로 루트 권한을 얻습니다. 2) 루트 사용자 비밀번호를 사용하여 직접 로그인합니다. 루트 권한을 사용할 때는 각별히 주의해야 하며 필요한 경우에만 사용하는 것이 좋습니다.
Centos에서 게이트웨이를 구성하는 방법
Apr 07, 2024 pm 08:51 PM
CentOS를 게이트웨이로 구성하려면 다음 단계를 수행해야 합니다. 1. 네트워크 인터페이스를 구성하고 GATEWAY 값을 추가합니다. 2. 기본 게이트웨이를 설정하고 DNS 정보를 지정합니다. 3. 네트워크 서비스를 시작합니다. 5. 게이트웨이를 통한 트래픽을 허용하도록 방화벽을 구성합니다(선택 사항).
