当前位置: > CentOS > CentOS安全 >

CentOS 6.2下安装基于Suricata + Barnyard 2 + Base的入侵检测系统

时间:2017-02-12 14:32来源:linux.it.net.cn 作者:IT
CentOS 6.2下安装基于Suricata + Barnyard 2 + Base的入侵检测系统



一、      前言
         算了,这部分就省了吧。下面直奔主题。

二、      准备工作
         CentOS 6.2我是最小化安装,同时使用163的源进行update,所以还需要安装如下的依赖包:

         [piaca@piaca ~]$ sudo yum install gcc make pcre pcre-devel libpcap libpcap-devel

       

     同时需要关闭iptables、ip6tables:

         [piaca@piaca ~]$ sudo service iptables stop

         [piaca@piaca ~]$ sudo service ip6tables stop

         [piaca@piaca ~]$ sudo chkconfig --level 2345 iptables off

         [piaca@piaca ~]$ sudo chkconfig --level 2345 ip6tables off



         需要下载的软件:

          Suricata

          http://www.openinfosecfoundation.org/index.php/downloads

          Barnyard 2

          http://www.securixlive.com/barnyard2/

          Base

          http://base.secureideas.net/

          yaml

          http://pyyaml.org/

          adodb

          http://sourceforge.net/projects/adodb/

          rules

          http://rules.emergingthreats.net/open/suricata/emerging.rules.tar.gz

          Image_Canvas

          http://download.pear.php.net/package/Image_Canvas-0.3.3.tgz

          Image_Graph

          http://download.pear.php.net/package/Image_Graph-0.8.0.tgz



三、      配置APM环境
     Base需要APM(Apache、PHP、MySQL)环境,通过yum来进行安装。

     [piaca@piaca ids]$ sudo yum install httpd php mysql mysql-server mysql-devel php-mysql php-gd php-pear



  启动httpd、mysql服务

  [piaca@piaca ids]$ sudo /etc/init.d/httpd start

  [piaca@piaca ids]$ sudo /etc/init.d/mysqld start



     默认的web根目录是/var/www/html,在此目录新建phpinfo测试文件,来确认配置是否正确。

        PS:mysql安装后root账号默认口令为空,通过下面命令可以修改root账号口令

        [piaca@piaca ~]$ mysqladmin -uroot -p password [新密码]

四、      安装Barnyard 2
  安装过程如下:

  [piaca@piaca ids]$ tar zxvf barnyard2-1.9.tar.gz

  [piaca@piaca ids]$ cd barnyard2-1.9

  [piaca@piaca barnyard2-1.9]$ ./configure --with-mysql

  [piaca@piaca barnyard2-1.9]$ make

  [piaca@piaca barnyard2-1.9]$ sudo make install



五、      安装Suricata
  安装过程如下:

  Suricata需要依赖yaml,首先安装yaml

  [piaca@piaca ids]$ tar zxvf yaml-0.1.4.tar.gz

  [piaca@piaca ids]$ cd yaml-0.1.4

  [piaca@piaca yaml-0.1.4]$ ./configure

  [piaca@piaca yaml-0.1.4]$ make

  [piaca@piaca yaml-0.1.4]$ sudo make install



  [piaca@piaca ids]$ tar zxvf suricata-1.1.1.tar.gz

  [piaca@piaca ids]$ cd suricata-1.1.1

  [piaca@piaca suricata-1.1.1]$ ./configure

  [piaca@piaca suricata-1.1.1]$ make

  [piaca@piaca suricata-1.1.1]$ sudo make install



六、      配置Suricata、Barnyard 2
  配置Barnyard 2

  把Barnyard 2安装源文件中的etc/barnyard2.conf文件拷贝到Suricata的配置目录下

   [piaca@piaca ids]$ cd barnyard2-1.9

   [piaca@piaca barnyard2-1.9]$ sudo cp etc/barnyard2.conf /etc/suricata/

  创建barnyard2日志目录/var/log/barnyard2

   [piaca@piaca ~]$ sudo mkdir /var/log/barnyard2



配置数据库

  需要创建数据库和相应的账号

   [piaca@piaca ~]$ mysql -uroot –p

   mysql> create database ids;

   mysql> grant create,select,update,insert,delete on ids.* to ids@localhost identified by 'ids123';



          Barnyard 2安装源文件中的schemas/create_mysql是创建表的sql文件,通过如下方式建表:

          [piaca@piaca ~]$ mysql -uids -p -Dids < ids/barnyard2-1.9/schemas/create_mysql



    配置Suricata

  创建Suricata配置目录和日志目录

   [piaca@piaca ~]$ sudo mkdir /var/log/suricata

   [piaca@piaca ~]$ sudo mkdir /etc/suricata



  把规则文件拷贝到Suricata配置目录下

   [piaca@piaca ids]$ tar zxvf emerging.rules.tar.gz

   [piaca@piaca ids]$ sudo cp -R rules/ /etc/suricata/



      把Suricata安装源文件中的suricata.yaml/classification.config/reference.config文件拷贝到Suricata的配置目录下

   [piaca@piaca ids]$ cd suricata-1.1.1

   [piaca@piaca suricata-1.1.1]$ sudo cp suricata.yaml classification.config reference.config /etc/suricata/



      编辑barnyard2.conf文件

          [piaca@piaca ~]$ cd /etc/suricata/

          [piaca@piaca suricata]$ sudo vim barnyard2.conf

      找到下面的内容

           config reference_file:      /etc/snort/reference.config

           config classification_file: /etc/snort/classification.config

           config gen_file:            /etc/snort/gen-msg.map

           config sid_file:                /etc/snort/sid-msg.map

      更改红色的内容如下:

          config reference_file:      /etc/suricata/reference.config

          config classification_file: /etc/suricata/classification.config

          config gen_file:            /etc/suricata/rules/gen-msg.map

          config sid_file:            /etc/suricata/rules/sid-msg.map



      同时在文件的末尾添加如下行,红色的mysql数据库、账号信息根据实际情况填写

          output database: log, mysql, user=ids password=ids123 dbname=ids host=localhost



      编辑suricata.yaml文件

          [piaca@piaca suricata]$ sudo vim suricata.yaml

      找到HOME_NET: "[192.168.0.0/16,10.0.0.0/8,172.16.0.0/12]"这一行,根据实际的网络情况来修改,在这里我修改为HOME_NET: "[192.168.0.0/16]"

      找到下面的内容:

          host-os-policy:

          # Make the default policy windows.

          windows: [0.0.0.0/0]

          bsd: []

          bsd_right: []

         old_linux: []

         Linux: [10.0.0.0/8, 192.168.1.100, "8762:2352:6241:7245:E000:0000:0000:0000"]

         old_solaris: []

         solaris: ["::1"]

         hpux10: []

         hpux11: []

         irix: []

         macos: []

         vista: []

         windows2k3: []

         根据实际网络情况修改。



         启动Suricata、Barnyard 2

         [piaca@piaca ~]$ sudo /usr/local/bin/barnyard2 -c /etc/suricata/barnyard2.conf -d /var/log/suricata -f unified2.alert -w /var/log/suricata/suricata.waldo -D

         [piaca@piaca ~]$ sudo /usr/local/bin/suricata -c /etc/suricata/suricata.yaml -i eth1 -D

         启动suricata的-i参数是镜像流量的网卡。



         测试suricata工作是否正常,可以通过如下命令:

         [piaca@piaca suricata]$ curl www.testmyids.com

         执行后,/var/log/suricata目录下的fast.log/suricata.waldo/unified2.alert*文件大小发生变化,同时查看fast.log文件有如下类似的内容则表示suricata工作正常:

01/12/2012-02:16:27.964981  [**] [1:2013028:3] ET POLICY curl User-Agent Outbound [**] [Classification: Attempted Informa

tion Leak] [Priority: 2] {TCP} 192.168.230.100:56260 -> 217.160.51.31:80

01/12/2012-02:16:28.309707  [**] [1:2100498:7] GPL ATTACK_RESPONSE id check returned root [**] [Classification: Potential

ly Bad Traffic] [Priority: 2] {TCP} 217.160.51.31:80 -> 192.168.230.100:56260

       

七、      配置Base
Base需要用到adodb以及Image_Canvas、Image_Graph绘图组件,配置过程如下:

解压adodb514.zip

[piaca@piaca ids]$ unzip adodb514.zip

把adodb5拷贝到/usr/local/lib/目录下,这个目录随意指定,记下来后面要用到

[piaca@piaca ids]$ sudo cp -R adodb5 /usr/local/lib/

         安装Image_Canvas、Image_Graph

         [piaca@piaca ids]$ sudo pear install Image_Canvas-0.3.3.tgz

[piaca@piaca ids]$ sudo pear install Image_Graph-0.8.0.tgz 

解压base-1.4.5.tar.gz

[piaca@piaca ids]$ tar zxvf base-1.4.5.tar.gz

拷贝base-1.4.5到/var/www/html目录下

[piaca@piaca ids]$ sudo cp -R base-1.4.5 /var/www/html/base

更改/var/www/html/base的属主为apache

[piaca@piaca ids]$ cd /var/www/html/

[piaca@piaca html]$ sudo chown -R apache:apache base



然后通过浏览器访问http://192.168.230.100/base

根据页面中红色的部分提示来进行操作。

修改php.ini

[piaca@piaca html]$ sudo vim /etc/php.ini

找到error_reporting = E_ALL & ~E_DEPRECATED内容,修改为如下:error_reporting = E_ALL & ~E_DEPRECATED & ~E_NOTICE

重新载入apache配置

[piaca@piaca html]$ sudo /etc/init.d/httpd reload



然后点击“Continue”到下一步

选择语言,和前面我们的adodb5的路径,然后点击“Continue”

填写mysql相关信息,点击“Continue”继续

填写认证的相关信息,如果需要验证身份,请勾上“Use Authentication System”,点击“Continue”

点击“Create BASE AG”

点击“step 5”,跳到首页。

八、      最后

以上是整个安装过程,IDS的价值在于规则设置的是否合适,根据实际情况设置合适的规则才能够体现IDS的强大。


(责任编辑:IT)
------分隔线----------------------------
栏目列表
推荐内容