日韩无码专区无码一级三级片|91人人爱网站中日韩无码电影|厨房大战丰满熟妇|AV高清无码在线免费观看|另类AV日韩少妇熟女|中文日本大黄一级黄色片|色情在线视频免费|亚洲成人特黄a片|黄片wwwav色图欧美|欧亚乱色一区二区三区

RELATEED CONSULTING
相關(guān)咨詢
選擇下列產(chǎn)品馬上在線溝通
服務(wù)時(shí)間:8:30-17:00
你可能遇到了下面的問(wèn)題
關(guān)閉右側(cè)工具欄

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營(yíng)銷(xiāo)解決方案
基于CentOS平臺(tái)的Snort+Barnyard安裝步驟

一、背景

讓客戶滿意是我們工作的目標(biāo),不斷超越客戶的期望值來(lái)自于我們對(duì)這個(gè)行業(yè)的熱愛(ài)。我們立志把好的技術(shù)通過(guò)有效、簡(jiǎn)單的方式提供給客戶,將通過(guò)不懈努力成為客戶在信息化領(lǐng)域值得信任、有價(jià)值的長(zhǎng)期合作伙伴,公司提供的服務(wù)項(xiàng)目有:域名申請(qǐng)虛擬主機(jī)、營(yíng)銷(xiāo)軟件、網(wǎng)站建設(shè)、梅州網(wǎng)站維護(hù)、網(wǎng)站推廣。

入侵檢測(cè)系統(tǒng)(IDS)不但可以主動(dòng)發(fā)現(xiàn)網(wǎng)絡(luò)內(nèi)遭受攻擊,還可以作為防火墻的補(bǔ)充,雖然不能阻止網(wǎng)絡(luò)入侵行為,但是能夠幫助系統(tǒng)對(duì)網(wǎng)絡(luò)攻擊進(jìn)行報(bào)警和分析。相當(dāng)于部署在網(wǎng)絡(luò)中的隱形攝像頭。

然而Snort作為一種開(kāi)源IDS系統(tǒng),網(wǎng)上遍布各種版本的不同類(lèi)型的安裝資料,給初學(xué)者帶來(lái)諸多不便,往往參考了一堆文檔,還是無(wú)法達(dá)到預(yù)期。

本教程基于Cent OS 6.8 最小化安裝為基礎(chǔ),展示了在其中安裝Snort2.9.7.0的全過(guò)程。

閱讀范圍: 適用于初級(jí)網(wǎng)絡(luò)運(yùn)維人員參考使用。

二、準(zhǔn)備軟件環(huán)境

在安裝前,必需做SPAN,SPAN端口監(jiān)控是一種在現(xiàn)有網(wǎng)絡(luò)結(jié)構(gòu)中引入監(jiān)控網(wǎng)段的方法。Cisco交換機(jī)的中高端產(chǎn)品都有SPAN端口或鏡像端口。Span端口既可以是一個(gè)專(zhuān)用端口,也可以通過(guò)該端口實(shí)現(xiàn)交換機(jī)上所有的端口的配置選項(xiàng)設(shè)定。下文實(shí)在虛擬機(jī)環(huán)境下完成的實(shí)驗(yàn),所以只要把網(wǎng)卡設(shè)置為混雜模式即可。

(1).準(zhǔn)備虛擬機(jī)工具Vmware or VirtualBox 或其他種類(lèi)的虛擬機(jī)。當(dāng)然遠(yuǎn)程連接工具也不可或缺比如:Xshell5 或 SecureCRT。

(2).下載操作系統(tǒng)鏡像: http://pan.baidu.com/s/1pKSmNs3 附件中包含了實(shí)驗(yàn)里涉及到的軟件包和腳本文件。

(3).安裝虛擬機(jī)(本文以Vmware Workstation 12為例進(jìn)行安裝)

圖1

(4).將系統(tǒng)IP地址改為靜態(tài)IP

默認(rèn)安裝,網(wǎng)絡(luò)IP是自動(dòng)獲取,我們需要改成固定IP。

 
 
    
  
  
  1. #ifconfig-a  \\查看所有網(wǎng)卡的狀態(tài) 
    2. 
  
  
  2. #vi/etc/sysconfig/network-scripts/ifcfg-eth0    \\編輯網(wǎng)卡配置文件 
    3. 
  
  
  3. DEVICE="eth0" 
    4. 
  
  
  4. BOOTPROTO="dhcp" 
    5. 
  
  
  5. HWADDR="00:0C:29:BA:53:4E" 
    6. 
  
  
  6. IPV6INIT="yes" 
    7. 
  
  
  7. NM_CONTROLLED="yes" 
    8. 
  
  
  8. ONBOOT="yes" 
    9. 
  
  
  9. TYPE="Ethernet" 
    10. 
  
  
  10. UUID="685d0725-02ab-41b9-b9bf-6a52fc68c0f8" 
    11.

下面開(kāi)始改成靜態(tài)IP

BOOTPROTO="dhcp" -> BOOTPROTO="static"

接著,增加以下內(nèi)容:

 
 
    
  
  
  1. IPADDR=192.168.91.29 
    2. 
  
  
  2. NETMASK=255.255.255.0 
    3. 
  
  
  3. GATEWAY=192.168.91.2 
    4. 
  
  
  4. DNS1=192.168.91.2 
    5. 
  
  
  5. DNS2=8.8.8.8  \\DNS配置根據(jù)當(dāng)?shù)鼐W(wǎng)絡(luò)供應(yīng)商進(jìn)行添加 
    6.

DNS還可以在其他的文件進(jìn)行配置

 
 
    
  
  
  1. # vi /etc/resolv.conf 
    2.

加入

 
 
    
  
  
  1. nameserver 202.96.2.2 
    2.

退出保存,重啟網(wǎng)絡(luò)服務(wù)。實(shí)際 /etc/resolv.conf 是自動(dòng)調(diào)用之前網(wǎng)卡配置文件DNS配置信息。

(5).本套教程主要基于網(wǎng)絡(luò)安裝所以大家必須保證網(wǎng)絡(luò)暢通。

三、安裝依賴(lài)包

1.安裝wget工具

 
 
    
  
  
  1. #yum install -ywget 
    2.

更換成阿里云的源

 
 
    
  
  
  1. #wget -O /etc/yum.repos.d/CentOS-Base.repo http://mirrors.aliyun.com/repo/Centos-6.repo 
    2. 
  
  
  2. #yum clean all 
    3. 
  
  
  3. #yum makecache 
    4.

更新系統(tǒng)(完成后會(huì)升級(jí)所有包,改變軟件設(shè)置和系統(tǒng)設(shè)置,系統(tǒng)版本內(nèi)核都升級(jí))

 
 
    
  
  
  1. #yum-y update 
    2. 
  
  
  2.     
    3. 
  
  
  3. #yuminstall -y epel-release 
    4.

安裝epel源,EPEL,即ExtraPackages for Enterprise Linux,這個(gè)軟件倉(cāng)庫(kù)里有很多非常常用的軟件,而且是專(zhuān)門(mén)針對(duì)RHEL設(shè)計(jì)的,對(duì)RHEL標(biāo)準(zhǔn)yum源是一個(gè)很好的補(bǔ)充,完全免費(fèi)使用,由Fedora項(xiàng)目維護(hù),EPEL 包含一個(gè)叫做epel-release的包,這個(gè)包包含了EPEL源的gpg密鑰和軟件源信息。您可以通過(guò)yum安裝到您的企業(yè)版Linux發(fā)行版上。

檢查系統(tǒng)是否安裝epel-release

 
 
    
  
  
  1. #rpm -q epel-release  
    2. 
  
  
  2. packageepel-release is not installed 
    3.

2.安裝基本環(huán)境和依賴(lài)包

 
 
    
  
  
  1. #yum install -y gcc gcc-c++flex bison zlib* libxml2 libpcap* pcre* tcpdump git libtool curl man make 
    2.

3.解壓DAQ、Libdnet、Snort

在服務(wù)器的安裝配置過(guò)程中,大家很可能會(huì)到官網(wǎng)去下載最新版本的源碼包,但是那樣以來(lái)就會(huì)遇到各種依賴(lài)包缺失的問(wèn)題,從而導(dǎo)致無(wú)法安裝成功。因?yàn)橛行┸浖热鏢nort要在DAQ安裝好之后才能繼續(xù),而DAQ依賴(lài)于Libdnet安裝好了,才能再安裝上DAQ。所以安裝源碼的順序猶然重要。在學(xué)習(xí)本文時(shí)一定要注意版本的一致性,也就是大家一定要挑選本文指定的版本進(jìn)行試驗(yàn),只要成功了,你對(duì)Snort配置的信心就會(huì)大增,學(xué)習(xí)興趣也更加濃郁。

當(dāng)然,使用源碼安裝并不特別復(fù)雜,只是在安裝過(guò)程里排錯(cuò)的難度較大。如何解決安裝過(guò)程中的依賴(lài)問(wèn)題,可以參考《如何解決源碼包安裝時(shí)的依賴(lài)性問(wèn)題》http://chenguang.blog./350944/1034095 。

給大家打好預(yù)防針了,下面繼續(xù)安裝。

 
 
    
  
  
  1. cd /usr/local/src 
    2. 
  
  
  2. tar -zxvf /root/Desktop/libdnet-1.12.tgz 
    3. 
  
  
  3. tar -zxvf /root/Desktop/daq-2.0.4.tar.gz 
    4. 
  
  
  4. tar -zxvf /root/Desktop/snort-2.9.7.0.tar.gz 
    5.

安裝libdnet-1.12.tgz

 
 
    
  
  
  1. cd /usr/local/src/libdnet-1.12/ 
    2. 
  
  
  2. ./configure 
    3. 
  
  
  3. make && make install 
    4.

 

友情提示:

有些初學(xué)者會(huì)選擇安裝rpm包,尤其手動(dòng)安裝libdnet這個(gè)包時(shí)會(huì)遭遇以下問(wèn)題:

 
 
    
  
  
  1. [root@localhost ~]# rpm -ivh libdnet-1.12-6.el6.i686.rpm 
    2. 
  
  
  2. warning: libdnet-1.12-6.el6.i686.rpm:Header V3 RSA/SHA256 Signature, key ID 0608b895: NOKEY 
    3. 
  
  
  3. error: Failed dependencies: 
    4. 
  
  
  4.       libc.so.6is needed by libdnet-1.12-6.el6.i686 
    5. 
  
  
  5.       libc.so.6(GLIBC_2.0)is needed by libdnet-1.12-6.el6.i686 
    6. 
  
  
  6.       libc.so.6(GLIBC_2.1)is needed by libdnet-1.12-6.el6.i686 
    7. 
  
  
  7.       libc.so.6(GLIBC_2.1.3)is needed by libdnet-1.12-6.el6.i686 
    8. 
  
  
  8.       libc.so.6(GLIBC_2.3)is needed by libdnet-1.12-6.el6.i686 
    9. 
  
  
  9.       libc.so.6(GLIBC_2.3.4)is needed by libdnet-1.12-6.el6.i686 
    10. 
  
  
  10.       libc.so.6(GLIBC_2.4)is needed by libdnet-1.12-6.el6.i686 
    11. 
  
  
  11.       libc.so.6(GLIBC_2.7)is needed by libdnet-1.12-6.el6.i686 
    12.

安裝DAQ 這是安裝snort的前提。下面開(kāi)始安裝DAQ

 
 
    
  
  
  1. cd daq-2.0.4 
    2. 
  
  
  2. ./configure 
    3. 
  
  
  3. make && make install 
    4.

安裝snort2.9,(安裝snort前一定要編譯安裝libdnet-1.12.tgz)

 
 
    
  
  
  1. cd /usr/local/src/snort-2.9.7.0 
    2. 
  
  
  2. ./configure--enable-sourcefire 
    3. 
  
  
  3. make && make install 
    4.

四、添加用戶和組

創(chuàng)建用戶、組、設(shè)置權(quán)限因?yàn)樵趓oot身份下解包的文件權(quán)限都是跟root有關(guān),所以要修改成snort用戶的屬主和相關(guān)權(quán)限。

 
 
    
  
  
  1. groupadd -g 40000 snort 
    2. 
  
  
  2. useradd snort -u 40000 -d /var/log/snort -s /sbin/nologin -c SNORT_IDS -g snort 
    3. 
  
  
  3. cd /etc/snort 
    4. 
  
  
  4. chown -R snort:snort *            
    5. 
  
  
  5. \\執(zhí)行這條命令前先看看文件的屬主 
    6.

執(zhí)行之后:

 
 
    
  
  
  1. [root@localhost snort]# ls -l 
    2. 
  
  
  2. total 312 
    3. 
  
  
  3. -rw-r--r--. 1 snort snort   1281 Nov 2806:14 attribute_table.dtd 
    4. 
  
  
  4. -rw-r--r--. 1 snort snort   3757 Nov 28 06:14 classification.config 
    5. 
  
  
  5. drwxr-xr-x. 2 snort snort   4096 Nov 18 2014 etc 
    6. 
  
  
  6. -rw-r--r--. 1 snort snort  23058 Nov 28 06:14 file_magic.conf 
    7. 
  
  
  7. -rw-r--r--. 1 snort snort  31643 Nov 28 06:14 gen-msg.map 
    8. 
  
  
  8. -rw-r--r--. 1 snort snort  13478 Nov 28 06:14 Makefile 
    9. 
  
  
  9. -rw-r--r--. 1 snort snort    190 Nov 28 06:14 Makefile.am 
    10. 
  
  
  10. -rw-r--r--. 1 snort snort  12388 Nov 28 06:14 Makefile.in 
    11. 
  
  
  11. drwxr-xr-x. 2 snort snort   4096 Nov 18 2014 preproc_rules 
    12. 
  
  
  12. -rw-r--r--. 1 snort snort    687 Nov 28 06:14 reference.config 
    13. 
  
  
  13. drwxr-xr-x. 2 snort snort   4096 Nov 28 06:15 rules 
    14. 
  
  
  14. -rw-r--r--. 1 snort snort  26772 Nov 28 06:14 snort.conf 
    15. 
  
  
  15. drwxr-xr-x. 4 snort snort   4096 Nov 11 2014 so_rules 
    16. 
  
  
  16. -rw-r--r--. 1 snort snort   2335 Nov 28 06:14 threshold.conf 
    17. 
  
  
  17. -rw-r--r--. 1 snort snort 160606 Nov 2806:14 unicode.map 
    18.

下面,接著設(shè)置/var/log/snort目錄的屬主屬性。

 
 
    
  
  
  1. chown -R snort:snort/var/log/snort 
    2.

五、配置Snort

1.新建/etc/snort目錄

 
 
    
  
  
  1. #mkdir /etc/snort 
    2. 
  
  
  2. #cd /etc/snort 
    3.

復(fù)制配置文件到當(dāng)前目錄

 
 
    
  
  
  1. cp /usr/local/src/snort-2.9.7.0/etc/*.    
    2.

將/usr/local/src/snort-2.9.7.0/etc下配置文件復(fù)制到當(dāng)前目錄

tar -zvxf /root/Desktop/snortrules-snapshot-2970.tar.gz把規(guī)則包解壓到當(dāng)前目錄

touch /etc/snort/rules/white_list.rules /etc/snort/rules/black_list.rules

在/etc/snort/rules下新建white_list.rules和black_list.rules兩個(gè)文件。

2.編輯snort配置文件

vi /etc/snort/snort.conf

 
 
    
  
  
  1. 45行  ipvar HOME_NET any         >        ipvar HOME_NET 192.168.x.x    你的的IP網(wǎng)段,寫(xiě)成CIDR格式,可以添加多個(gè)網(wǎng)段 
    2. 
  
  
  2.  舉例:ipvarHOME_NET  [192.168.0.0/16,172.16.0.0/16] 
    3. 
  
  
  3.    ipvar EXTERNAL_NET any             >     ipvar EXTERNAL_NET!$HOME_NET    
    4. 
  
  
  4. 104行 var RULE_PATH ../ruls                >   var RULE_PATH /etc/snort/rules 
    5. 
  
  
  5. 105行 var SO_RULE_PATH  ../so_rules       >  var SO_RULE_PATH     /etc/snort/so_rules 
    6. 
  
  
  6. 106行 var PREPROC_RULE_PATH ../preproc_rules   >    var PREPROC_RULE_PATH/etc/snort/preproc_rules 
    7. 
  
  
  7.   
    8. 
  
  
  8. 113行 var WHITE_LIST_PATH ../rules             >   109 varWHITE_LIST_PATH   /etc/snort/rules 
    9. 
  
  
  9. 114行 var BLACK_LIST_PATH ../rules             >   110 var BLACK_LIST_PATH   /etc/snort/rules 
    10.

3.設(shè)置log目錄屬組 snort.snort

config logdir :/var/log/snort

4.配置輸出插件:

到521行修改成如下內(nèi)容:

output unified2:filename snort.log,limit 128

注意:也可以啟用tcpdump插件,啟用后在/var/log/snort/目錄下產(chǎn)生tcpdump.log.時(shí)間戳的文件用

tcpdump -r 文件名來(lái)讀取這個(gè)文件。

在OSSIM里是這樣寫(xiě)的“output unified2: filenamesnort,limit 128”

還可以,取消snort.conf文件中以下幾行的注釋?zhuān)梢允箂nort向系統(tǒng)日志文件中日志數(shù)據(jù):報(bào)警存儲(chǔ)在哪兒?

output alert_syslog: LOG_AUTH LOG_ALERT

輸出格式如下:

 
 
    
  
  
  1. May 10 00:03:38 xxxxxx snort: INFO - ICQAccess [Classification: 
    2. 
  
  
  2. content:"MKD / " Priority: 0]:1.1.1.1:5435 -> 1.2.2.5:80 
    3.

六、配置開(kāi)機(jī)自動(dòng)啟動(dòng) snort程序

接著輸入如下命令:

 
 
    
  
  
  1. cd /usr/local/src/snort-2.9.7.0/rpm 
    2. 
  
  
  2. cp snortd /etc/init.d/snortd 
    3. 
  
  
  3. cp /usr/local/src/snort-2.9.7.0/rpm/snort.sysconfig  /etc/sysconfig/snort 
    4. 
  
  
  4. chkconfig --add /etc/init.d/snortd 
    5. 
  
  
  5. chkconfig snortd on 
    6.

新建連接文件

 
 
    
  
  
  1. cd /usr/sbin 
    2. 
  
  
  2. ln -s /usr/local/bin/snort snort  
    3. 
  
  
  3. 在/usr/sbin/目錄中新建連接文件snort 
    4.

新建目錄設(shè)置權(quán)限

 
 
    
  
  
  1. mkdir -p /usr/local/lib/snort_dynamicrules 
    2. 
  
  
  2. chown -R snort:snort /usr/local/lib/snort_dynamicrules 
    3. 
  
  
  3. chown -R 755 /usr/local/lib/snort_dynamicrules 
    4.

七、測(cè)試snort

 
 
    
  
  
  1. #snort -T -i eht0 -u snort -g snort -c /etc/snort/snort.conf 
    2.

如果配置正確系統(tǒng)提示成功。

圖2

如果你看到“snort successfully validated the configuration!”提示就表示安裝配置成功啦!別高興太早,下面還有更艱巨的任務(wù)。

 
 
    
  
  
  1. #snort -vde 
    2.

1)添加一條規(guī)則測(cè)試

 
 
    
  
  
  1. #vi /etc/snort/rules/local.rules 
    2.

加入如下內(nèi)容:

 
 
    
  
  
  1. alert icmp any any -> $HOME_NET any (msg:"Ping";sid:1000003;rev:1;) 
    2.

其他規(guī)則:

 
 
    
  
  
  1. drop icmp any any -> any any (itype:0;msg:"Chan Ping";sid:1000002;) 
    2. 
  
  
  2. alert icmp any any -> $HOME_NET 81 (msg:"Scanning Port 81";sid:1000001;rev:1;) 
    3. 
  
  
  3. alert tcp any any -> $HOME_NET 22 (msg:"Scanning Port 22";sid:1000002;rev:1;) 
    4. 
  
  
  4. alert icmp any any -> any any (msg:"UDP Tesing Rule";sid:1000006;rev:1;) 
    5. 
  
  
  5. alert tcp any any -> $HOME_NET 80(msg:"HTTP Test!!!"; classtype:not-suspicious; sid:1000005;  rev:1;) 
    6.

友情提示:

對(duì)Snort性能影響最大的是Snort的配置和規(guī)則集的設(shè)置,如果你是第一次接觸IDS可能更在乎功能的實(shí)現(xiàn)而不注重性能,如果你是專(zhuān)家就要考慮規(guī)則之間的邏輯。

舉個(gè)例子,假設(shè)你直接配置snort輸出插件交給snort產(chǎn)生輸出,發(fā)送到數(shù)據(jù)庫(kù),這個(gè)時(shí)候在加上你啟用了很多規(guī)則,會(huì)導(dǎo)致Snort性能?chē)?yán)重下降甚至崩潰。

2.)Ping Snort主機(jī)

我們用ping命令來(lái)進(jìn)行測(cè)試,是為了使其產(chǎn)生alert。ping命令使用的是最典型的ICMP回顯保溫,在IDS中使用Libpcap函數(shù)所捕獲的也就是ICMP數(shù)據(jù)包。下面在Snort主機(jī)上操作:

 
 
    
  
  
  1. snort -i eth0 -c /etc/snort/snort.conf -A fast-l /var/log/snort/ 
    2.

3) 設(shè)置規(guī)則的注意事項(xiàng):

對(duì)snort的性能影響最大的是snort的配置設(shè)定以及規(guī)則集設(shè)置。內(nèi)部瓶頸則主要出現(xiàn)在包解碼階段,要snort檢查包的容,那么它比一般的規(guī)則都要更加耗費(fèi)系統(tǒng)資源。啟用的檢查包內(nèi)容的規(guī)則越多,snort的運(yùn)行就需要越多的系統(tǒng)資源。如果要激活預(yù)處理程序中的某些設(shè)置選項(xiàng),就會(huì)需要消耗額外的系統(tǒng)資源。最明顯的例子就是啟用在frag2預(yù)處理程序和stream4預(yù)處理程序中的“最大存儲(chǔ)容量(memcap)”選項(xiàng)。如果您打算激活大量耗費(fèi)資源的預(yù)處理程序選項(xiàng),最好確定有足夠的硬件資源的支持。我曾經(jīng)遇到過(guò)一個(gè)用戶花了大筆的錢(qián)購(gòu)買(mǎi)了最先進(jìn)的 IDS由于配置不當(dāng),連檢測(cè)100M網(wǎng)都出現(xiàn)了丟包現(xiàn)象。

4) 如果順利,便可以在alert中產(chǎn)生告警,用下面命令查看

 
 
    
  
  
  1. #cd /var/log/snort/ 
    2. 
  
  
  2. #tail -f /var/log/snort/alert 
    3.

圖3

收到告警,就代表階段性勝利,我們希望把這些告警存儲(chǔ)到數(shù)據(jù)庫(kù)中,下面接著安裝數(shù)據(jù)庫(kù)。

八、安裝 MySql

 
 
    
  
  
  1. #yum install -y mysql-server mysql-devel php-mysql php-adodb php-pear php-gd libtool php-imapphp-ldap php-mbstring php-odbc php-pear php-xml php-pecl-apc 
    2. 
  
  
  2. chkconfig --levels235 mysqld on 
    3. 
  
  
  3. /etc/init.d/mysqldstart 
    4.

接著為數(shù)據(jù)庫(kù)管理員賦密碼,我們可以用mysql_secure_installation(secure installation是安全的安裝模式,用來(lái)安全的初始化我們的MySql服務(wù)器)命令也可以用下面的方法。

 
 
    
  
  
  1. /usr/bin/mysqladmin -u root password '123456'   
    2.

注意以后用root用戶登錄phpmyadmin是密碼也是這個(gè)。

九、建庫(kù)并設(shè)定讀取權(quán)限

 
 
    
  
  
  1. #mysql -u root -p 
    2.

輸入剛 設(shè)置的密碼123456

 
 
    
  
  
  1. mysql>create database snort; 
    2. 
  
  
  2.   
    3. 
  
  
  3. mysql>use snort; 
    4. 
  
  
  4. mysql>create user 'snort'@'localhost' IDENTIFIED BY '123456'; 
    5.

這里的123456是mysql snort 的password

創(chuàng)建名為snort、密碼為123456的數(shù)據(jù)庫(kù)用戶并賦予名為snort數(shù)據(jù)庫(kù)權(quán)限

 
 
    
  
  
  1. mysql>grant create,select,update,insert,delete on snort.* tosnort@localhost identified by '123456'; 
    2. 
  
  
  2.   
    3. 
  
  
  3. mysql>set password for ‘snort’@’localhost’=password('123456'); 
    4. 
  
  
  4.  
    5. 
  
  
  5. mysql>source /usr/local/src/barnyard2-1.9/schemas/create_mysql;     
    6.

注意:路徑先解壓barnyard2-2-1.13這個(gè)文件執(zhí)行前確保snort庫(kù)被選中,路徑寫(xiě)對(duì)。

報(bào)錯(cuò):ERROR 1046 (3D000): No database selecte

新建數(shù)據(jù)庫(kù)也可以用以下命令:

 
 
    
  
  
  1. #echo "create database snort;" |mysql -u root -p 
    2.

提示一下錯(cuò)誤:

 
 
    
  
  
  1. ERROR: 
    2. 
  
  
  2. Failed to open file'/usr/local/src/barnyard2-2-1.13/schemas/create_mysql', error: 2 
    3. 
  
  
  3.   
    4. 
  
  
  4. Mysql>usr snort; 
    5. 
  
  
  5. mysql>show tables; 
    6. 
  
  
  6. +------------------+ 
    7. 
  
  
  7. |Tables_in_snort  | 
    8. 
  
  
  8. +------------------+ 
    9. 
  
  
  9. |data             | 
    10. 
  
  
  10. |detail           | 
    11. 
  
  
  11. |encoding         | 
    12. 
  
  
  12. |event            | 
    13. 
  
  
  13. |reference_system | 
    14. 
  
  
  14. |schema           | 
    15. 
  
  
  15. |sensor           | 
    16. 
  
  
  16. |udphdr           | 
    17. 
  
  
  17. +------------------+ 
    18. 
  
  
  18. 16rows in set (0.00 sec) 
    19. 
  
  
  19.   
    20. 
  
  
  20. mysql>flush privileges; 
    21. 
  
  
  21. mysql>exit 
    22.

十、安裝配置Barnyard2

上面提到過(guò),Snort配置文件中自身含有插件允許將Snort報(bào)警記錄到Mysql中,但這樣以來(lái),系統(tǒng)會(huì)形成瓶頸 ,當(dāng)IDS系統(tǒng)檢測(cè)到攻擊行為,就會(huì)用到INSERT語(yǔ)句向數(shù)據(jù)庫(kù)里寫(xiě)入數(shù)據(jù),導(dǎo)致到UPDATE時(shí)非常慢。所以直接將Snort輸出到數(shù)據(jù)庫(kù),這種方案的效率并不高。這里就使用外部代理將報(bào)警輸出到Barnyard2。言而言之Barnyard的作用是讀取snort產(chǎn)生的二進(jìn)制事件文件并存儲(chǔ)到MySQL。

1.源碼包方式安裝

 
 
    
  
  
  1. cd /usr/local/src/ 
    2. 
  
  
  2. tar zxvf /root/Desktop/barnyard2-1-9.tar.gz 
    3. 
  
  
  3. cd barnyard2-1-9/ 
    4. 
  
  
  4. ./configure--with-mysql --with-mysql-libraries=/usr/lib64/mysql  \\配置參數(shù)很重要切勿出錯(cuò)。 
    5. 
  
  
  5. make &&make install 
    6.

2.第二種方法:用GIT安裝

也下面的可以安裝

 
 
    
  
  
  1. git clone git://github.com/firnsy/barnyard2.git 
    2. 
  
  
  2. cd barnyard2/ 
    3. 
  
  
  3. ./autogen.sh 
    4. 
  
  
  4. autoreconf -fvi -I ./m4  
    5. 
  
  
  5. ./configure --with-mysql --with-mysql-libraries=/usr/lib64/mysql/ 
    6. 
  
  
  6.  make && make install 
    7.

3.配置barnyard2

首先創(chuàng)建目錄和文件

 
 
    
  
  
  1. mkdir /var/log/barnyard2 
    2. 
  
  
  2. touch /var/log/snort/barnyard2.waldo 
    3. 
  
  
  3. [root@localhost barnyard2]# ls -l/var/log/snort/barnyard2.waldo 
    4. 
  
  
  4. -rw-r--r--. 1 root root 0 Nov 28 06:56 /var/log/snort/barnyard2.waldo 
    5.

接下來(lái)還是要設(shè)置屬主

 
 
    
  
  
  1. #chown snort.snort /var/log/snort/barnyard2.waldo 
    2. 
  
  
  2. ls -l /var/log/snort/barnyard2.waldo 
    3. 
  
  
  3. -rw-r--r--. 1 snort snort 0 Nov 28 06:56 /var/log/snort/barnyard2.waldo 
    4.

根Snort類(lèi)似,Barnyard的配置也是通過(guò).conf文件來(lái)完成,為了達(dá)到這一目的將barnyard2的配置模板文件復(fù)制到/etc/snort目錄下。

 
 
    
  
  
  1. #cp /root/Desktop/barnyard2-1.9/etc/barnyard2.conf /etc/snort 
    2.

4.修改配置文件

加入如下行內(nèi)容

 
 
    
  
  
  1. #vi/etc/snort/barnyard2.conf 
    2. 
  
  
  2. config logdir:/var/log/barnyard2              \\該目錄權(quán)限snort.snort 
    3. 
  
  
  3. config hostname:  localhost 
    4. 
  
  
  4. config interface: eth0 
    5. 
  
  
  5. config waldo_file:/var/log/snort/barnyard2.waldo 
    6.

數(shù)據(jù)庫(kù)輸出插件可以將Snort二進(jìn)制的日志存放到Mysql數(shù)據(jù)庫(kù)中,下面這條配置定義了用戶snort,密碼:123456,數(shù)據(jù)庫(kù)名稱(chēng):snort 以及主機(jī)名localhost

 
 
    
  
  
  1. output database: log,mysql,user=snort password=123456 dbname=snort host=localhost 
    2.

編輯完成后保存退出。

接著新建一個(gè)文件。

touch /var/log/snort/barnyard2.waldo

5.修改屬主

 
 
    
  
  
  1. chown snort.snort /var/log/barnyard2 
    2. 
  
  
  2. chown snort.snort /var/log/snort/barnyard2.waldo 
    3. 
  
  
  3. cp /etc/snort/etc/sid-msg.map /etc/snort 
    4.

6.Snort 和Barnyard 測(cè)試

 
 
    
  
  
  1. snort -q -u snort -g snort -c /etc/snort/snort.conf -i eth0 -D 
    2.

你不會(huì)看到輸出結(jié)果,因?yàn)槌绦蛟诤笈_(tái)運(yùn)行,-D 參數(shù)表示后臺(tái)運(yùn)行。

同樣ping你的主機(jī)。 繼續(xù)運(yùn)行以下內(nèi)容

 
 
    
  
  
  1. barnyard2 -c /etc/snort/barnyard2.conf -d /var/log/snort -f snort.log -w /var/log/snort/barnyard2.waldo -g snort -u snort 
    2.

(該命令為一行)

圖4

注意:跟snort命令類(lèi)似,barnyard2后面還也可以跟參數(shù) “-T”表示測(cè)試。另外,針對(duì)baryard2測(cè)試時(shí)的問(wèn)題在http://edu./course/cid-7896.html 課程中有詳細(xì)的視頻講解。

此時(shí),報(bào)警到底存入到數(shù)據(jù)庫(kù)了嗎?,可以檢測(cè)下:

 
 
    
  
  
  1. #mysql -u snort -p -D snort -e "select count(*) from event" 
    2.

圖5

如果沒(méi)有那么下面需要檢查配置文件并重啟程序,對(duì)于他的參數(shù)解釋如下:

 
 
    
  
  
  1. #barnyard2 -c /etc/snort/barnyard2.conf -d /var/log/snort/ -f snort.log -w/var/log/snort/barnyard2.waldo  
    2.

(注意這是一條完整的命令)

解釋?zhuān)?/p>

-c 該選項(xiàng)告訴Barnyard 配置文件的路徑,是必選項(xiàng)。

-d 告訴Barnyard Snort Unified格式文件的路徑,所有Unified文件必須放在該目錄下,必選項(xiàng)。

-f 該選項(xiàng)告訴Barnyard以連續(xù)方式運(yùn)行時(shí)需要的Unified文件的基本名字,因?yàn)镾nort在每次生成的Snort Unified文件后面加了一個(gè)UNIX時(shí)間戳;基本名字就是去掉時(shí)間戳后綴的文件名。

-w 該選項(xiàng)開(kāi)啟檢驗(yàn)指示功能,用于告訴Barnyard檢驗(yàn)點(diǎn)文件的名字,也叫做waldo文件。這個(gè)文件用于記錄文件中最近處理的報(bào)警。無(wú)果不使用waldo文件,則Barnyard必須完整的載入一個(gè)日志文件,這就好像把已經(jīng)存在的報(bào)警信息又傳送到了入侵?jǐn)?shù)據(jù)庫(kù)中。

此外還可以以調(diào)試模式運(yùn)行加參數(shù)-R。

本文到此大家需要多花時(shí)間練習(xí),下次為大家介紹如何配置BASE。本文錄制的視頻也已經(jīng)上線,大家可以參考http://edu./course/course_id-7896.html

【本文為專(zhuān)欄作者“李晨光”原創(chuàng)稿件,轉(zhuǎn)載請(qǐng)聯(lián)系原作者】


網(wǎng)頁(yè)名稱(chēng):基于CentOS平臺(tái)的Snort+Barnyard安裝步驟
轉(zhuǎn)載源于:http://m.5511xx.com/article/cddjsgi.html