search
HomeDatabaseMysql TutorialCentOS 6.2下安装基于Suricata + Barnyard 2 + Base的入侵检测系
CentOS 6.2下安装基于Suricata + Barnyard 2 + Base的入侵检测系
WBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWB
WBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWB
Jun 07, 2016 pm 03:30 PM
barcentosbased onInstall

来源:http://hi.baidu.com/pia_ca/blog/item/2767d3f386376edd7931aa28.html 一、前言 算了,这部分就省了吧。下面直奔主题。 二、准备工作 CentOS 6.2 我是最小化安装,同时使用 163 的源进行 update ,所以还需要安装如下的依赖包: [piaca@piaca ~]$ sud

来源:http://hi.baidu.com/pia_ca/blog/item/2767d3f386376edd7931aa28.html

一、      前言

         算了,这部分就省了吧。下面直奔主题。

二、      准备工作

         CentOS 6.2我是最小化安装,同时使用163的源进行update,所以还需要安装如下的依赖包:

         [piaca@piaca ~]$ sudo yum install gcc make pcre pcre-devel libpcap libpcap-devel

        

     同时需要关闭iptablesip6tables

         [piaca@piaca ~]$ sudo service iptables stop

         [piaca@piaca ~]$ sudo service ip6tables stop

         [piaca@piaca ~]$ sudo chkconfig --level 2345 iptables off

         [piaca@piaca ~]$ sudo chkconfig --level 2345 ip6tables off

 

         需要下载的软件:

          Suricata

          http://www.openinfosecfoundation.org/index.php/downloads

          Barnyard 2

          http://www.securixlive.com/barnyard2/

          Base

          http://base.secureideas.net/

          yaml

          http://pyyaml.org/

          adodb

          http://sourceforge.net/projects/adodb/

          rules

          http://rules.emergingthreats.net/open/suricata/emerging.rules.tar.gz

          Image_Canvas

          http://download.pear.php.net/package/Image_Canvas-0.3.3.tgz

          Image_Graph

          http://download.pear.php.net/package/Image_Graph-0.8.0.tgz

 

三、      配置APM环境

     Base需要APMApachePHPMysql)环境,通过yum来进行安装。

     [piaca@piaca ids]$ sudo yum install httpd php mysql mysql-server mysql-devel php-mysql php-gd php-pear

 

  启动httpdmysql服务

  [piaca@piaca ids]$ sudo /etc/init.d/httpd start

  [piaca@piaca ids]$ sudo /etc/init.d/mysqld start

 

     默认的web根目录是/var/www/html,在此目录新建phpinfo测试文件,来确认配置是否正确。

        PSmysql安装后root账号默认口令为空,通过下面命令可以修改root账号口令

        [piaca@piaca ~]$ mysqladmin -uroot -p password [新密码]

四、      安装Barnyard 2

  安装过程如下:

  [piaca@piaca ids]$ tar zxvf barnyard2-1.9.tar.gz

  [piaca@piaca ids]$ cd barnyard2-1.9

  [piaca@piaca barnyard2-1.9]$ ./configure --with-mysql

  [piaca@piaca barnyard2-1.9]$ make

  [piaca@piaca barnyard2-1.9]$ sudo make install

 

五、      安装Suricata

  安装过程如下:

  Suricata需要依赖yaml,首先安装yaml

  [piaca@piaca ids]$ tar zxvf yaml-0.1.4.tar.gz

  [piaca@piaca ids]$ cd yaml-0.1.4

  [piaca@piaca yaml-0.1.4]$ ./configure

  [piaca@piaca yaml-0.1.4]$ make

  [piaca@piaca yaml-0.1.4]$ sudo make install

 

  [piaca@piaca ids]$ tar zxvf suricata-1.1.1.tar.gz

  [piaca@piaca ids]$ cd suricata-1.1.1

  [piaca@piaca suricata-1.1.1]$ ./configure

  [piaca@piaca suricata-1.1.1]$ make

  [piaca@piaca suricata-1.1.1]$ sudo make install

 

六、      配置Suricata、Barnyard 2

  配置Barnyard 2

  把Barnyard 2安装源文件中的etc/barnyard2.conf文件拷贝到Suricata的配置目录下

   [piaca@piaca ids]$ cd barnyard2-1.9

   [piaca@piaca barnyard2-1.9]$ sudo cp etc/barnyard2.conf /etc/suricata/

  创建barnyard2日志目录/var/log/barnyard2

   [piaca@piaca ~]$ sudo mkdir /var/log/barnyard2

 

配置数据库

  需要创建数据库和相应的账号

   [piaca@piaca ~]$ mysql -uroot –p

   mysql> create database ids;

   mysql> grant create,select,update,insert,delete on ids.* to ids@localhost identified by 'ids123';

 

          Barnyard 2安装源文件中的schemas/create_mysql是创建表的sql文件,通过如下方式建表:

          [piaca@piaca ~]$ mysql -uids -p -Dids

 

    配置Suricata

  创建Suricata配置目录和日志目录

   [piaca@piaca ~]$ sudo mkdir /var/log/suricata

   [piaca@piaca ~]$ sudo mkdir /etc/suricata

 

  把规则文件拷贝到Suricata配置目录下

   [piaca@piaca ids]$ tar zxvf emerging.rules.tar.gz

   [piaca@piaca ids]$ sudo cp -R rules/ /etc/suricata/

 

      把Suricata安装源文件中的suricata.yaml/classification.config/reference.config文件拷贝到Suricata的配置目录下

   [piaca@piaca ids]$ cd suricata-1.1.1

   [piaca@piaca suricata-1.1.1]$ sudo cp suricata.yaml classification.config reference.config /etc/suricata/

 

      编辑barnyard2.conf文件

          [piaca@piaca ~]$ cd /etc/suricata/

          [piaca@piaca suricata]$ sudo vim barnyard2.conf

      找到下面的内容

           config reference_file:      /etc/snort/reference.config

           config classification_file: /etc/snort/classification.config

           config gen_file:            /etc/snort/gen-msg.map

           config sid_file:                /etc/snort/sid-msg.map

      更改红色的内容如下:

          config reference_file:      /etc/suricata/reference.config

          config classification_file: /etc/suricata/classification.config

          config gen_file:            /etc/suricata/rules/gen-msg.map

          config sid_file:            /etc/suricata/rules/sid-msg.map

 

      同时在文件的末尾添加如下行,红色的mysql数据库、账号信息根据实际情况填写

          output database: log, mysql, user=ids password=ids123 dbname=ids host=localhost

 

      编辑suricata.yaml文件

          [piaca@piaca suricata]$ sudo vim suricata.yaml

      找到HOME_NET: "[192.168.0.0/16,10.0.0.0/8,172.16.0.0/12]"这一行,根据实际的网络情况来修改,在这里我修改为HOME_NET: "[192.168.0.0/16]"

      找到下面的内容:

          host-os-policy:

          # Make the default policy windows.

          windows: [0.0.0.0/0]

          bsd: []

          bsd_right: []

         old_linux: []

         linux: [10.0.0.0/8, 192.168.1.100, "8762:2352:6241:7245:E000:0000:0000:0000"]

         old_solaris: []

         solaris: ["::1"]

         hpux10: []

         hpux11: []

         irix: []

         macos: []

         vista: []

         windows2k3: []

         根据实际网络情况修改。

 

         启动SuricataBarnyard 2

         [piaca@piaca ~]$ sudo /usr/local/bin/barnyard2 -c /etc/suricata/barnyard2.conf -d /var/log/suricata -f unified2.alert -w /var/log/suricata/suricata.waldo -D

         [piaca@piaca ~]$ sudo /usr/local/bin/suricata -c /etc/suricata/suricata.yaml -i eth1 -D

         启动suricata-i参数是镜像流量的网卡。

 

         测试suricata工作是否正常,可以通过如下命令:

         [piaca@piaca suricata]$ curl www.testmyids.com

         执行后,/var/log/suricata目录下的fast.log/suricata.waldo/unified2.alert*文件大小发生变化,同时查看fast.log文件有如下类似的内容则表示suricata工作正常:

01/12/2012-02:16:27.964981  [**] [1:2013028:3] ET POLICY curl User-Agent Outbound [**] [Classification: Attempted Informa

tion Leak] [Priority: 2] {TCP} 192.168.230.100:56260 -> 217.160.51.31:80

01/12/2012-02:16:28.309707  [**] [1:2100498:7] GPL ATTACK_RESPONSE id check returned root [**] [Classification: Potential

ly Bad Traffic] [Priority: 2] {TCP} 217.160.51.31:80 -> 192.168.230.100:56260

        

七、      配置Base

Base需要用到adodb以及Image_CanvasImage_Graph绘图组件,配置过程如下:

解压adodb514.zip

[piaca@piaca ids]$ unzip adodb514.zip

adodb5拷贝到/usr/local/lib/目录下,这个目录随意指定,记下来后面要用到

[piaca@piaca ids]$ sudo cp -R adodb5 /usr/local/lib/

         安装Image_CanvasImage_Graph

         [piaca@piaca ids]$ sudo pear install Image_Canvas-0.3.3.tgz

[piaca@piaca ids]$ sudo pear install Image_Graph-0.8.0.tgz  

解压base-1.4.5.tar.gz

[piaca@piaca ids]$ tar zxvf base-1.4.5.tar.gz

拷贝base-1.4.5/var/www/html目录下

[piaca@piaca ids]$ sudo cp -R base-1.4.5 /var/www/html/base

更改/var/www/html/base的属主为apache

[piaca@piaca ids]$ cd /var/www/html/

[piaca@piaca html]$ sudo chown -R apache:apache base

 

然后通过浏览器访问http://192.168.230.100/base

根据页面中红色的部分提示来进行操作。

修改php.ini

[piaca@piaca html]$ sudo vim /etc/php.ini

找到error_reporting = E_ALL & ~E_DEPRECATED内容,修改为如下:error_reporting = E_ALL & ~E_DEPRECATED & ~E_NOTICE

重新载入apache配置

[piaca@piaca html]$ sudo /etc/init.d/httpd reload

 

然后点击“Continue”到下一步

选择语言,和前面我们的adodb5的路径,然后点击“Continue

填写mysql相关信息,点击“Continue”继续

填写认证的相关信息,如果需要验证身份,请勾上“Use Authentication System,点击“Continue

点击“Create BASE AG

点击“step 5”,跳到首页。

八、      最后

以上是整个安装过程,IDS的价值在于规则设置的是否合适,根据实际情况设置合适的规则才能够体现IDS的强大。

Statement
The content of this article is voluntarily contributed by netizens, and the copyright belongs to the original author. This site does not assume corresponding legal responsibility. If you find any content suspected of plagiarism or infringement, please contact admin@php.cn
Related Article
centos用什么命令可查版本号centos用什么命令可查版本号Mar 03, 2022 pm 06:10 PM

查版本号的命令:1、“cat /etc/issue”或“cat /etc/redhat-release”,可输出centos版本号;2、“cat /proc/version”、“uname -a”或“uname -r”,可输出内核版本号。

centos重启网卡的方法是什么centos重启网卡的方法是什么Feb 22, 2023 pm 04:00 PM

centos重启网卡的方法:1、对于centos6的网卡重启命令是“service network restart”;2、对于centos7的网卡重启命令是“systemctl restart network”。

centos php怎么安装opcachecentos php怎么安装opcacheJan 19, 2023 am 09:50 AM

centos php安装opcache的方法:1、执行“yum list php73* | grep opcache”命令;2、通过“yum install php73-php-opcache.x86_64”安装opcache;3、使用“find / -name opcache.so”查找“opcache.so”的位置并将其移动到php的扩展目录即可。

centos 怎么离线安装 mysqlcentos 怎么离线安装 mysqlFeb 15, 2023 am 09:56 AM

centos离线安装mysql的方法:1、将lib中的所有依赖上传到linux中,并用yum命令进行安装;2、解压MySQL并把文件复制到想要安装的目录;3、修改my.cnf配置文件;4、复制启动脚本到资源目录并修改启动脚本;5、将mysqld服务加入到系统服务里面;6、将mysql客户端配置到环境变量中,并使配置生效即可。

centos 7安装不出现界面怎么办centos 7安装不出现界面怎么办Jan 03, 2023 pm 05:33 PM

centos7安装不出现界面的解决办法:1、选择“Install CentOS 7”,按“e”进入启动引导界面;2、 将“inst.stage2=hd:LABEL=CentOS\x207\x20x86_64”改为“linux dd”;3、重新进入“Install CentOS 7”,按“e”将“hd:”后的字符替换成“/dev/sdd4”,然后按“Ctrl+x”执行即可。

centos 怎么删除 phpcentos 怎么删除 phpFeb 24, 2021 am 09:15 AM

centos删除php的方法:1、通过“#rpm -qa|grep php”命令查看全部php软件包;2、通过“rpm -e”命令卸载相应的依赖项;3、重新使用“php -v”命令查看版本信息即可。

centos中ls命令不显示颜色怎么办centos中ls命令不显示颜色怎么办Apr 20, 2022 pm 03:16 PM

方法:1、利用“vim ~/.bashrc”编辑用户目录(~)下的“.bashrc”文件;2、在文件内添加“alias ls="ls --color"”;3、利用“:wq!”命令保存文件内的更改;4、“exit”命令退出终端后重新连接即可。

如何在 CentOS 9 Stream 上安装 Nagios如何在 CentOS 9 Stream 上安装 NagiosMay 10, 2023 pm 07:58 PM

我们的PC中有一个磁盘驱动器专门用于所有与Windows操作系统相关的安装。该驱动器通常是C驱动器。如果您还在PC的C盘上安装了最新的Windows11操作系统,那么所有系统更新(很可能是您安装的所有软件)都会将其所有文件存储在C盘中。因此,保持此驱动器没有垃圾文件并在C驱动器中拥有足够的存储空间变得非常重要,因为该驱动器拥有的空间越多,您的Windows11操作系统运行起来就越顺畅。但是您可以在磁盘驱动器上增加多少空间以及可以删除多少文件是有限制的。在这种情况下,

See all articles

Hot AI Tools

Undresser.AI Undress

Undresser.AI Undress

AI-powered app for creating realistic nude photos

AI Clothes Remover

AI Clothes Remover

Online AI tool for removing clothes from photos.

Undress AI Tool

Undress AI Tool

Undress images for free

Clothoff.io

Clothoff.io

AI clothes remover

AI Hentai Generator

AI Hentai Generator

Generate AI Hentai for free.

Show More

Hot Article

Repo: How To Revive Teammates
1 months agoBy尊渡假赌尊渡假赌尊渡假赌
R.E.P.O. Energy Crystals Explained and What They Do (Yellow Crystal)
2 weeks agoBy尊渡假赌尊渡假赌尊渡假赌
Hello Kitty Island Adventure: How To Get Giant Seeds
1 months agoBy尊渡假赌尊渡假赌尊渡假赌
How Long Does It Take To Beat Split Fiction?
4 weeks agoByDDD
R.E.P.O. Save File Location: Where Is It & How to Protect It?
4 weeks agoByDDD
Show More

Hot Tools

Dreamweaver Mac version

Dreamweaver Mac version

Visual web development tools

MantisBT

MantisBT

Mantis is an easy-to-deploy web-based defect tracking tool designed to aid in product defect tracking. It requires PHP, MySQL and a web server. Check out our demo and hosting services.

Notepad++7.3.1

Notepad++7.3.1

Easy-to-use and free code editor

SAP NetWeaver Server Adapter for Eclipse

SAP NetWeaver Server Adapter for Eclipse

Integrate Eclipse with SAP NetWeaver application server.

SublimeText3 Mac version

SublimeText3 Mac version

God-level code editing software (SublimeText3)

Show More

Hot Topics

Where is the login entrance for gmail email?
7367
15
Java Tutorial
1628
14
CakePHP Tutorial
1354
52
Laravel Tutorial
1266
25
PHP Tutorial
1214
29
Show More