centos6.7的环境下安装snort、barnyard2和base
1.准备yum源
阿里云linux安装镜像源地址:http://mirrors.aliyun.com/
第一步:备份原镜像
#mv /etc/yum.repo.d/CentOS-Base.repo /etc/yum.repo.d/CentOS-Base.repo.bak
第二步:下载CentOS-Base.repo到/etc/yum.repo.d/下
CentOS 5
#wget -O /etc/yum.repos.d/CentOS-Base.repo http://mirrors.aliyun.com/repo/Centos-5.repo
CentOS 6
#wget -o /etc/yum.repo.d/CentOS-Base.repo http://mirrors.aliyun.com/repo/Centos-6.repo
第三步:运行yum makecache生成缓存并更新yum
#yum clean all
#yum makecache
#yum -y update
2.开始安装IDS
本次安装所需要的安装包如下:
1、snortrules-snapshot-2990.tar.gz----snort规则库
2、snort-2.9.9.0.tar.gz-----snort主程序
3、libpcap-1.8.1.tar.gz
4、libdnet-1.12.tgz
5、daq-2.0.6.tar.gz
6、base-1.4.5.tar.gz
7、barnyard2-1.9.tar.gz
8、adodb-5.20.9.zip
以上安装包(打包在centos6.7-snort.gz下),用CRT客户端,PUT方式上传至服务器
第一步:安装依赖包
#yum -y install epel-release
#yum -y install gcc gcc-c++ flex bison zlib* libxml2 libpcap* pcre* tcpdump git libtool curl man make
第二步:安装libdnet
#tar zxvf libdnet-1.12.tgz
#cd libdnet-1.12
#./configure
#make && make install
第三步:安装libpcap
#tar zxvf libpcap-1.8.1.tar.gz
#cd libpcap-1.8.1
#./configure
#make && make install
第四步:安装daq#tar zxvf daq-2.0.6.tar.gz
#cd daq-2.0.6
#./configure
#make && make install
第五步:安装snort并配置snort
1、安装snort
#tar zxvf snort-2.9.9.0.tar.gz
#cd snort-2.9.9.0
#./configure
#make && make install
2、配置snort
第一步:创建配置文件目录,并复制配置文件
#mkdir /etc/snort
#cp /root/centos6.7-snort/snort-2.9.9.0/etc/* /etc/snort
第二步:复制规则库至配置文件目录
#cd /root/centos6.7-snort
#tar zxvf snortrules-snapshot-2990.tar.gz
#mv so_rules/ /etc/snort
#mv rules/ /etc/snort
#mv preproc_rules/ /etc/snort
#mv etc/ /etc/snort
#cd /etc/snort
#touch /etc/snort/rules/white_list.rules /etc/snort/rules/black_list.rules
第三步:创建snort运行用户
#groupadd -g 4000 snort
#useradd snort -u 4000 -d /var/log/snort -s /sbin/nologin -c SNORT_IDS -g snort
#chown -R snort:snort /etc/snort/*
#chown -R snort:snort /var/log/snort
第四步:配置snort.conf文件
修改rules路径
#cd /etc/snort
#vi snort.conf
做以下修改:
var RULE_PATH ../rules ---> var RULE_PATH /etc/snort/rules
var SO_RULE_PATH ../so_rules ---> var SO_RULE_PATH /etc/snort/so_rules
var PREPROC_RULE_PATH ../preproc_rules ---> var PREPROC_RULE_PATH /etc/snort/preproc_rules
var WHITE_LIST_PATH ../rules ---> var WHITE_LIST_PATH /etc/snort/rules
var BLACK_LIST_PATH ../rules ---> var BLACK_LIST_PATH /etc/snort/rules
#config logdir: ---> config logdir:/var/log/snort ---修改log目录
#output unified2: filename merged.log, limit 128, nostamp, mpls_event_types, vlan_event_types ---> output unified2: filename snort.log, limit ---修改输出配置
第五步:创建链接文件,并赋予权限
#cd /usr/bin/
#ln -s /usr/local/bin/snort snort
#mkdir /usr/local/lib/snort_dynamicrules
#chown snort:snort /usr/local/lib/snort_dynamicrules/
#chown -R snort:snort /usr/local/lib/snort_dynamicrules/
#chmod -R 755 /usr/local/lib/snort_dynamicrules/
第六步:创建测试数据规则
#vi /etc/snort/rules/local.rules
alert icmp any any -> $HOME_NET any (msg:"Ping";sid:1000003;rev:1;)
以上就是snort的安装和配置过程,安装完成后,可以用以下命令来确认是否安装成功
#snort -u snort -g snort -c /etc/snort/snort.conf -i eth0 -A console
2.barnyard2的安装
第一步:安装数据库
1.安装数据库,并设置数据库状态和密码
#yum -y install mysql-server mysql-devel php-mysql php-adodb php-pear php-gd libtool php-imap php-ldap php-mbstring php-odbc php-pear php-xml php-pecl-apc
#chkconfig --levels 235 mysqld on
#service mysqld start
#/usr/bin/mysqladmin -u root password 'root'
2.创建数据库和操作用户
#mysql -u root -p
输入密码:root
>create database snort;
>create user 'snort'@'localhost' identified by 'snort';
>grant create,select,update,insert,delete on snort.* to [email protected] identified by 'snort';
>set password for [email protected]=password('snort');
>use snort;
>source /root/centos6.7-snort/barnyard2-1.9/schemas/create_mysql; --这里可能会提示找不到文件,提前把barnyard2的安装包解压就可以解决。
>flush privileges;
>exit
上面命令中的source就是barnyard2自带的一个mysql的脚本,可以在源码包的schemas中找到。
第二步:安装barnyard2并配置
1.安装barnyard2并复制配置文件
#cd barnyard2-1.9
#./configure --with-mysql --with-mysql-libraries=/usr/lib64/mysql --这步可能会遇到报错说没有libmysqlclient.so.18这个文件,解决方法是找到这个文件,做个软链接到/usr/lib64/mysql/下就可以解决
#make && make install
#mkdir /var/log/barnyard2
#touch /var/log/snort/barnyard2.waldo
#chown -R snort:snort /var/log/snort/barnyard2.waldo
#cp /root/centos6.7-snort/barnyard2-1.9/etc/barnyard2.conf /etc/snort/
2.修改配置文件
#cd /etc/snort
#vi barnyard2.conf
做以下修改
#config logdir: /tmp ---> config logdir: /var/log/barnyard2
#config hostname: thor ---> config hostname: localhost
#config interface: eth0 ---> config interface: eth0
#config waldo_file: /tmp/waldo ---> config waldo_file: /var/log/snort/barnyard2.waldo
# output database: log, mysql, user=root password=test dbname=db host=localhost ---> output database: log, mysql, user=snort password=snort dbname=snort host=localhost
以上就是我们barnyard2的安装部分
3.联合运行snort和barnyard2
这里有一个地方要注意,就是最好先运行barnyard2,然后再运行snort,因为barnyard2会先监听有没有新的数据产生。
第一步:先运行barnyard2
#barnyard2 -c /etc/snort/barnyard2.conf -d /var/log/snort -f snort.log -w /var/log/snort/barnyard2.waldo -g snort -u snort
第二步:运行snort(再开一个窗口,效果明显)
#snort -q -u snort -g snort -c /etc/snort/snort.conf -i eth0 -D --参数D是表示放到后台程序运行了
查看barnyard2的结果(要先ping,才能看到结果)
查看数据库
#mysql -u snort -p
输入密码:snort
>use snort;
>select * from event;
下面开始安装base页面
第一步:安装LMAP环境
#yum -y install httpd mysql-server php php-mysql php-mbstring php-mcrypt mysql-devel php-gd
第二步:安装pear插件
#yum -y install php-pear
#pear upgrade pear
#pear channel-update pear.php.net
#pear install mail
#pear install Image_Graph-alpha Image_Ganvas-alpha Image_Color Number_Roman
#pear install mail_mime
第三步:安装adodb
#cd centos6.7-snort
#unzip adodb-5.20.9.zip
#mv ./adodb5 /var/www/html/
第四步:安装base
#tar zxvf base-1.4.5.tar.gz
#mv base-1.4.5 /var/www/html/base
第五步:配置PHP错误信息,并赋予权限
#vi /etc/php.ini
error_reporting = E_ALL & ~E_DEPRECATED -----> error_reporting = E_ALL & ~E_NOTICE
#chown -R apache:apache /var/www/html
#chmod 755 /var/www/html
第六步:启动服务,关闭防火墙
#service mysqld restart
#service httpd restart
#service iptables stop
第七步:关闭selinux(如果不关闭,可能页面打不开)
#setenforce 0
#vi /etc/selinux/config
SELINUX=enforcing -----> SELINUX=disabled
第八步:打开base页面,并配置
安装完成!!!