[入侵检测系统][IDS]CentOS6.6搭建基于snort+barnyard2+base的入侵检测系统

CentOS6.6搭建基于snort+barnyard2+base的入侵检测系统

由于网上对于linux下搭建基于snort的入侵检测系统不是很详细,这里我写个文档给大家参考参考;

本文档主要使用的软件已上传至百度云:http://pan.baidu.com/s/1qWui0c0 密码:y80f,其他软件可以根据文档中的命令在线下载安装;

文档中的命令大多可以直接使用(除非时间太久导致系统/软件/链接失去支持等),顺利的话,可以在2小时内搭建完毕;

如果安装报错,请检查步骤是否正确,然后百度/google解决

如果对文档有疑问请加QQ群187553731

一、准备工作

安装CentOS6.4系统(后面会升级到6.6,不知道直接安装6.6会不会有问题;用CentOS7后面配置base会报错),给系统设置IP和dns让系统可以联网

1.安装wget

#yum install wget -y

2.更换源

#mv /etc/yum.repos.d/CentOS-Base.repo /etc/yum.repos.d/CentOS-Base.repo.backup

#wget -O /etc/yum.repos.d/CentOS-Base.repo http://mirrors.aliyun.com/repo/Centos-6.repo

#yum clean all

#yum makecache

3.更新系统

#yum -y update

(升级到了6.6)

4.安装epel源

#yum install epel-release

5.下载安装文件

把网盘里的安装文件下载到CentOS里备用(可以利用附件中的FTPServer.exe传输),这里放到/root

二、安装配置LMAP

1.安装LMAP组件

#yum install httpd mysql-server php php-mysql php-mbstring php-mcrypt mysql-devel

2.安装php插件

#yum install mcrypt libmcrypt libmcrypt-devel

3.安装pear插件

#yum install php-pear

#pear upgrade pear

#pear channel-update pear.php.net

#pear install mail

#pear install Image_Graph-alpha Image_Canvas-alpha Image_Color Numbers_Roman

#pear install  mail_mime

4.安装phpmyadmin

(不要随意更换版本,可能会出现不支持数据库的情况)

#tar zxvf phpMyAdmin-4.0.10.5-all-languages.tar.gz -C /var/www/html

#mv /var/www/html/phpMyAdmin-4.0.10.5-all-languages /var/www/html/phpmyadmin

5.安装adodb

#tar zxvf adodb519.tar.gz -C /var/www/html

#mv /var/www/html/adodb5 /var/www/html/adodb

6.安装base

#tar zxvf base-1.4.5.tar.gz -C /var/www/html

#mv /var/www/html/base-1.4.5 /var/www/html/base

7.设置php.ini

#vi /etc/php.ini

error_reporting = E_ALL & ~E_NOTICE

8.配置phpmyadmin

#vi /var/www/html/phpmyadmin/libraries/config.default.php

$cfg[‘blowfish_secret‘] = ‘‘; 改成 $cfg[‘blowfish_secret‘] = ‘123456‘;

(注:其中的’123456′为随意的字符)

9.设置html目录权限

#chown -R apache:apache /var/www/html

10.设置adodb权限

#chmod 755 /var/www/html/adodb

11.配置mysql

解压barnyard2(这里要用里面的文件创mysql表)

#tar zxvf barnyard2-1.9.tar.gz

   启动mysql

#service mysqld start

设置root密码为123456

#mysqladmin -u root -p password 123456

以root登陆mysql

#mysql -uroot -p

创建名为snort的数据库

>create database snort;

创建名为snort、密码为123456的数据库用户并赋予名为snort数据库权限

>grant create,select,update,insert,delete on snort.* to [email protected] identified by ‘123456‘;

退出

>exit

创建数据库表

#mysql -usnort -p -Dsnort < /root/barnyard2-1.9/schemas/create_mysql

12.配置base

#service mysqld start                启动mysql

#service httpd start                            启动apache

#service iptables stop               关闭防火墙

用浏览器打开http://172.16.100.131/base/setup/index.php(IP换成你自己的)

1.点击Continuue

2.选择显示语言,设置adodb路径

3.配置数据库

4.设置admin用户和密码(这里应该是设置admin的用户和密码,我这里跟mysql的root一样)

5.点击“Createe BASE AG”

6.成功的话会有红色successfilly created字样,如下图(Centos7没有,原因未知),点击“step 5”

7.安装成功

三、安装配置snort+barnyard2

1.安装依赖包

#yum install gcc flex bison zlib libpcap tcpdump gcc-c++ pcre* zlib* libdnet libdnet-devel

2.安装libdnet

(这里必须是这个版本)

#tar zxvf libdnet-1.12.tgz

#cd libdnet-1.12

#./configure && make && make install

3.安装libpcap

(这里必须)

#wget http://www.tcpdump.org/release/libpcap-1.0.0.tar.gz

#tar zxvf libpcap-1.0.0.tar.gz

#cd libpcap-1.0.0

#./configure && make && make install

4.安装DAQ

#tar zxvf daq-2.0.4.tar.gz

#cd daq-2.0.4

#./configure && make && make install

5.安装snort

#tar zxvf snort-2.9.7.0.tar.gz

#cd snort-2.9.7.0

#./configure && make && make install

6.配置snort

创建需要的文件和目录

#mkdir /etc/snort

#mkdir /var/log/snort

#mkdir /usr/local/lib/snort_dynamicrules

#mkdir /etc/snort/rules

#touch /etc/snort/rules/white_list.rules /etc/snort/rules/black_list.rules

#cp /root/snort-2.9.7.0/etc/gen-msg.map threshold.conf classification.config reference.config unicode.map snort.conf /etc/snort/

编辑配置文件

#vi /etc/snort/snort.conf

定义路径变量

var RULE_PATH /etc/snort/rules

var SO_RULE_PATH /etc/snort/so_rules

var PREPROC_RULE_PATH /etc/snort/preproc_rules

var WHITE_LIST_PATH /etc/snort/rules

var BLACK_LIST_PATH /etc/snort/rules

设置log目录

config logdir:/var/log/snort

配置输出插件

output unified2:filename snort.log,limit 128

7.配置规则

#tar zxvf snortrules-snapshot-2970.tar.gz -C /etc/snort/

#cp /etc/snort/etc/sid-msg.map /etc/snort/

8.测试snort

(如果最后出现success的字样说明配置好了)

#snort -T -i eth0 -c /etc/snort/snort.conf

9.安装barnyard2

#cd /root/barnyard2-1.9

#./configure --with-mysql --with-mysql-libraries=/usr/lib64/mysql/

#make && make install

10.配置barnyard2

创建需要的文件和目录

#mkdir /var/log/barnyard2

#touch /var/log/snort/barnyard2.waldo

#cp /root/barnyard2-1.9/etc/barnyard2.conf /etc/snort

编辑配置文件

#vi /etc/snort/barnyard2.conf

config logdir:/var/log/barnyard2

config hostname:localhost

config interface:eth0

config waldo_file:/var/log/snort/barnyard.waldo

output database: log, mysql, user=snort password=123456 dbname=snort host=localhost

11.测试barnyard2

#barnyard2 -c /etc/snort/barnyard2.conf -d /var/log/snort -f snort.log -w /var/log/snort/barnyard2.waldo

四、测试IDS是否正常工作

1.编写测试规则

#vi /etc/snort/rules/local.rules

alert icmp any any -> any any (msg: "IcmP Packet detected";sid:1000001;)

(这是一条检查ping包的规则)

2.启动IDS

#service mysqld start

#service httpd start

#service iptables stop

#barnyard2 -c /etc/snort/barnyard2.conf -d /var/log/snort -f snort.log -w /var/log/snort/barnyard2.waldo -D

#snort -c /etc/snort/snort.conf -i eth0 –D

3.测IDS

向IDS的IP发送ping包,base的页面会出现红色ICMP告警(下图只是示范)

时间: 2024-10-05 15:46:45

[入侵检测系统][IDS]CentOS6.6搭建基于snort+barnyard2+base的入侵检测系统的相关文章

SNORT入侵检测系统

0x00 一条简单的规则 alert tcp 202.110.8.1 any -> 122.111.90.8 80 (msg:"Web Access"; sid:1) alert:表示如果此条规则被触发则告警 tcp:协议类型 ip地址:源/目的IP地址 any/80:端口号 ->:方向操作符,还有<>双向. msg:在告警和包日志中打印消息 sid:Snort规则id - 这条规则看字面意思就很容易理解.Snort就是利用规则来匹配数据包进行实时流量分析,网络

搭建开源入侵检测系统Snort并实现与防火墙联动

Snort作为一款优秀的开源主机入侵检测系统,在windows和Linux平台上均可安装运行.BT5作为曾经的一款经典的渗透神器,基于 Ubuntu,里面已经预装很多的应用,比如Mysql.Apache.Snort等等.Guardian是snort的插件,通过读取snort报警日 志将入侵IP加入到Iptables中.Iptables 是与最新的 3.5 版本 Linux 内核集成的 IP 信息包过滤系统. 本文详细介绍了BT5中安装snrot NIDS并实现与iptables防火墙联动的过程.

构建基于Suricata+Splunk的IDS入侵检测系统

一.什么是IDS和IPS? IDS(Intrusion Detection Systems):入侵检测系统,是一种网络安全设备或应用软件,可以依照一定的安全策略,对网络.系统的运行状况进行监视,尽可能发现各种攻击企图.攻击行为或者攻击结果,并发出安全警报. IPS(Intrusion Prevention System):入侵防御系统,除了具有IDS的监控检测功能之外,可以深度感知检测数据流量,对恶意报文进行丢弃,以阻止这些异常的或是具有伤害性的网络行为. NSM:网络安全监控系统,用于收集.检

如何在CentOS上配置基于主机的入侵检测系统?

任何系统管理员想要在其生产服务器上最先部署的安全措施之一就是检测文件篡改的机制――不法分子篡改的不仅仅是文件内容,还有文件属性. AIDE(全称“高级入侵检测环境”)是一种基于主机的开源入侵检测系统.AIDE通过检查许多文件属性的不一致性来检查系统二进制文件和基本配 置文件的完整性,这些文件属性包括权限.文件类型.索引节点(inode).链接数量.链接名称.用户.用户组.文件大小.块计数.修改时间.访问时间. 创建时间.访问控制列表(acl).SELinux安全上下文.xattrs以及md5/s

基于网络(NIDS)的入侵检测系统

入侵(Instruction)是个 广义的概念,不仅包括被发起攻击的人取得超出合法权限的系统的控制权,也包括搜集漏洞信息,造成拒绝访问(Denial of service)等对计算机系统造成危害的行为. 通过被动地监测网络上传输的原始流量,对获取的网络数据进行处理,从中提取有用的信息,再通过与已知攻击特征相匹配或与正常网络行为原型相比较来识别攻击事件.此类检测系统不依赖操作系统作为检测资源,可应用于不同的操作系统平台:配置简单,不需要任何特殊的审计和登录机制:可检测协议攻击.特定环境的攻击等多种

Graylog2进阶 打造基于Nginx日志的Web入侵检测分析系统

对于大多数互联网公司,基于日志分析的WEB入侵检测分析是不可或缺的. 那么今天我就给大家讲一讲如何用graylog的extractor来实现这一功能. 首先要找一些能够识别的带有攻击行为的关键字作为匹配的规则. 由于我不是专门搞安全的,所以在网上找了一些软waf的规则脚本. 剩下来的工作就可以交给Graylog的extractor实现了. 这次介绍一下extractor的Copy input用法. (1)waf规则脚本如下: \.\./ select.+(from|limit) (?:(unio

linux系统centos搭建入侵检测系统snort及问题总结与解答

一.环境准备 1.安装Centos6(安装选择开发环境,这样可以少装一些开发包),设置NAT获取,让系统可以上网,外加一台XP用于测试(可用可不). 2.安装wget(本身不带) 3.更换源(也可以不换,有的源有时候一些软件没有和速度很慢,自行选择) #mv /etc/yum.repos.d/CentOS-Base.repo/etc/yum.repos.d/CentOS-Base.repo.backup #wget -O /etc/yum.repos.d/CentOS-Base.repo htt

在Windows下搭建基于nginx的视频直播和点播系统

一.软件准备 由于nginx原生是为linux服务的,因此官方并没有编译好的windows版本可以下载,要在windows上使用nginx,要么下载源码进行编译,要么使用其他人已经编译好的文件. 而要让nginx支持视频直播和点播,还需要第三方的nginx模块:nginx-rtmp-module 所幸,已经有大神做好了nginx的编译,而且集成了很多nginx模块,其中就已经包括了nginx-rtmp-module. 下载地址:http://nginx-win.ecsds.eu/,详细说明可参见

开源入侵检测系统SELKS系统搭建

一.系统环境配置 系统环境:centos7x64      ip地址:172.16.91.130 1.设置静态IP地址 [[email protected] backlion]#vi  /etc/sysconfig/network-scripts/ifcfg-* BOOTPROTO=static #dhcp改为static(修改) ONBOOT=yes #开机启用本配置,一般在最后一行(修改) IPADDR=172.16.91.130  #静态IP(增加) GATEWAY=172.168.91.