CentOS6.2下安装基于Suricata+Barnyard2+Base的入侵检测系

作者：夏慕晚阳 | 来源：互联网 | 2018-06-02 07:11

来源：hi.baidu.compia_cablogitem2767d3f386376edd7931aa28.html一、前言算了，这部分就省了吧。下面直奔主题。二、准备工作CentOS6.2我是最小化安装，同时使用163的源进行update，所以还需要安装如下的依赖包：[piaca@piaca~]$sud

来源：http://hi.baidu.com/pia_ca/blog/item/2767d3f386376edd7931aa28.html 一、前言算了，这部分就省了吧。下面直奔主题。二、准备工作 CentOS 6.2 我是最小化安装，同时使用 163 的源进行 update ，所以还需要安装如下的依赖包： [piaca@piaca ~]$ sud

来源：http://hi.baidu.com/pia_ca/blog/item/2767d3f386376edd7931aa28.html

一、前言

算了，这部分就省了吧。下面直奔主题。

二、准备工作

CentOS 6.2我是最小化安装，同时使用163的源进行update，所以还需要安装如下的依赖包：

[piaca@piaca ~]$ sudo yum install gcc make pcre pcre-devel libpcap libpcap-devel

同时需要关闭iptables、ip6tables：

[piaca@piaca ~]$ sudo service iptables stop

[piaca@piaca ~]$ sudo service ip6tables stop

[piaca@piaca ~]$ sudo chkconfig --level 2345 iptables off

[piaca@piaca ~]$ sudo chkconfig --level 2345 ip6tables off

需要下载的软件：

Suricata

http://www.openinfosecfoundation.org/index.php/downloads

Barnyard 2

http://www.securixlive.com/barnyard2/

Base

http://base.secureideas.net/

yaml

http://pyyaml.org/

adodb

http://sourceforge.net/projects/adodb/

rules

http://rules.emergingthreats.net/open/suricata/emerging.rules.tar.gz

Image_Canvas

http://download.pear.php.net/package/Image_Canvas-0.3.3.tgz

Image_Graph

http://download.pear.php.net/package/Image_Graph-0.8.0.tgz

三、配置APM环境

Base需要APM（Apache、PHP、Mysql）环境，通过yum来进行安装。

[piaca@piaca ids]$ sudo yum install httpd php mysql mysql-server mysql-devel php-mysql php-gd php-pear

启动httpd、mysql服务

[piaca@piaca ids]$ sudo /etc/init.d/httpd start

[piaca@piaca ids]$ sudo /etc/init.d/mysqld start

默认的web根目录是/var/www/html，在此目录新建phpinfo测试文件，来确认配置是否正确。

PS：mysql安装后root账号默认口令为空，通过下面命令可以修改root账号口令

[piaca@piaca ~]$ mysqladmin -uroot -p password [新密码]

四、安装Barnyard 2

安装过程如下：

[piaca@piaca ids]$ tar zxvf barnyard2-1.9.tar.gz

[piaca@piaca ids]$ cd barnyard2-1.9

[piaca@piaca barnyard2-1.9]$ ./configure --with-mysql

[piaca@piaca barnyard2-1.9]$ make

[piaca@piaca barnyard2-1.9]$ sudo make install

五、安装Suricata

安装过程如下：

Suricata需要依赖yaml，首先安装yaml

[piaca@piaca ids]$ tar zxvf yaml-0.1.4.tar.gz

[piaca@piaca ids]$ cd yaml-0.1.4

[piaca@piaca yaml-0.1.4]$ ./configure

[piaca@piaca yaml-0.1.4]$ make

[piaca@piaca yaml-0.1.4]$ sudo make install

[piaca@piaca ids]$ tar zxvf suricata-1.1.1.tar.gz

[piaca@piaca ids]$ cd suricata-1.1.1

[piaca@piaca suricata-1.1.1]$ ./configure

[piaca@piaca suricata-1.1.1]$ make

[piaca@piaca suricata-1.1.1]$ sudo make install

六、配置Suricata、Barnyard 2

配置Barnyard 2

把Barnyard 2安装源文件中的etc/barnyard2.conf文件拷贝到Suricata的配置目录下

[piaca@piaca ids]$ cd barnyard2-1.9

[piaca@piaca barnyard2-1.9]$ sudo cp etc/barnyard2.conf /etc/suricata/

创建barnyard2日志目录/var/log/barnyard2

[piaca@piaca ~]$ sudo mkdir /var/log/barnyard2

配置数据库

需要创建数据库和相应的账号

[piaca@piaca ~]$ mysql -uroot –p

mysql> create database ids;

mysql> grant create,select,update,insert,delete on ids.* to ids@localhost identified by 'ids123';

Barnyard 2安装源文件中的schemas/create_mysql是创建表的sql文件，通过如下方式建表：

[piaca@piaca ~]$ mysql -uids -p -Dids

配置Suricata

[piaca@piaca ~]$ sudo mkdir /var/log/suricata

[piaca@piaca ~]$ sudo mkdir /etc/suricata

把规则文件拷贝到Suricata配置目录下

[piaca@piaca ids]$ tar zxvf emerging.rules.tar.gz

[piaca@piaca ids]$ sudo cp -R rules/ /etc/suricata/

把Suricata安装源文件中的suricata.yaml/classification.config/reference.config文件拷贝到Suricata的配置目录下

[piaca@piaca ids]$ cd suricata-1.1.1

[piaca@piaca suricata-1.1.1]$ sudo cp suricata.yaml classification.config reference.config /etc/suricata/

编辑barnyard2.conf文件

[piaca@piaca ~]$ cd /etc/suricata/

[piaca@piaca suricata]$ sudo vim barnyard2.conf

找到下面的内容

config reference_file: /etc/snort/reference.config

config classification_file: /etc/snort/classification.config

config gen_file: /etc/snort/gen-msg.map

config sid_file: /etc/snort/sid-msg.map

更改红色的内容如下：

config reference_file: /etc/suricata/reference.config

config classification_file: /etc/suricata/classification.config

config gen_file: /etc/suricata/rules/gen-msg.map

config sid_file: /etc/suricata/rules/sid-msg.map

同时在文件的末尾添加如下行，红色的mysql数据库、账号信息根据实际情况填写

output database: log, mysql, user=ids password=ids123 dbname=ids host=localhost

编辑suricata.yaml文件

[piaca@piaca suricata]$ sudo vim suricata.yaml

找到HOME_NET: "[192.168.0.0/16,10.0.0.0/8,172.16.0.0/12]"这一行，根据实际的网络情况来修改，在这里我修改为HOME_NET: "[192.168.0.0/16]"

找到下面的内容：

host-os-policy:

# Make the default policy windows.

windows: [0.0.0.0/0]

bsd: []

bsd_right: []

old_linux: []

linux: [10.0.0.0/8, 192.168.1.100, "8762:2352:6241:7245:E000:0000:0000:0000"]

old_solaris: []

solaris: ["::1"]

hpux10: []

hpux11: []

irix: []

macos: []

vista: []

windows2k3: []

根据实际网络情况修改。

启动Suricata、Barnyard 2

[piaca@piaca ~]$ sudo /usr/local/bin/barnyard2 -c /etc/suricata/barnyard2.conf -d /var/log/suricata -f unified2.alert -w /var/log/suricata/suricata.waldo -D

[piaca@piaca ~]$ sudo /usr/local/bin/suricata -c /etc/suricata/suricata.yaml -i eth1 -D

启动suricata的-i参数是镜像流量的网卡。

测试suricata工作是否正常，可以通过如下命令：

[piaca@piaca suricata]$ curl www.testmyids.com

执行后，/var/log/suricata目录下的fast.log/suricata.waldo/unified2.alert*文件大小发生变化，同时查看fast.log文件有如下类&＃20284;的内容则表示suricata工作正常：

01/12/2012-02:16:27.964981 [**] [1:2013028:3] ET POLICY curl User-Agent Outbound [**] [Classification: Attempted Informa

tion Leak] [Priority: 2] {TCP} 192.168.230.100:56260 -> 217.160.51.31:80

01/12/2012-02:16:28.309707 [**] [1:2100498:7] GPL ATTACK_RESPONSE id check returned root [**] [Classification: Potential

ly Bad Traffic] [Priority: 2] {TCP} 217.160.51.31:80 -> 192.168.230.100:56260

七、配置Base

Base需要用到adodb以及Image_Canvas、Image_Graph绘图组件，配置过程如下：

解压adodb514.zip

[piaca@piaca ids]$ unzip adodb514.zip

把adodb5拷贝到/usr/local/lib/目录下，这个目录随意指定，记下来后面要用到

[piaca@piaca ids]$ sudo cp -R adodb5 /usr/local/lib/

安装Image_Canvas、Image_Graph

[piaca@piaca ids]$ sudo pear install Image_Canvas-0.3.3.tgz

[piaca@piaca ids]$ sudo pear install Image_Graph-0.8.0.tgz

解压base-1.4.5.tar.gz

[piaca@piaca ids]$ tar zxvf base-1.4.5.tar.gz

拷贝base-1.4.5到/var/www/html目录下

[piaca@piaca ids]$ sudo cp -R base-1.4.5 /var/www/html/base

更改/var/www/html/base的属主为apache

[piaca@piaca ids]$ cd /var/www/html/

[piaca@piaca html]$ sudo chown -R apache:apache base

然后通过浏览器访问http://192.168.230.100/base

根据页面中红色的部分提示来进行操作。

修改php.ini

[piaca@piaca html]$ sudo vim /etc/php.ini

找到error_reporting = E_ALL & ~E_DEPRECATED内容，修改为如下：error_reporting = E_ALL & ~E_DEPRECATED & ~E_NOTICE

重新载入apache配置

[piaca@piaca html]$ sudo /etc/init.d/httpd reload

然后点击“Continue”到下一步

选择语言，和前面我们的adodb5的路径，然后点击“Continue”

填写mysql相关信息，点击“Continue”继续

填写认证的相关信息，如果需要验证身份，请勾上“Use Authentication System”,点击“Continue”

点击“Create BASE AG”

点击“step 5”，跳到首页。

八、最后

以上是整个安装过程，IDS的价&＃20540;在于规则设置的是否合适，根据实际情况设置合适的规则才能够体现IDS的强大。

推荐阅读

macos
Hibernate基础映射

在说Hibernate映射前，我们先来了解下对象关系映射ORM。ORM的实现思想就是将关系数据库中表的数据映射成对象，以对象的形式展现。这样开发人员就可以把对数据库的操作转化为对 ... [详细]

蜡笔小新 2023-12-14 10:57:47
io
Android 新闻App的本地服务器搭建教程

本文介绍了在开发Android新闻App时，搭建本地服务器的步骤。通过使用XAMPP软件，可以一键式搭建起开发环境，包括Apache、MySQL、PHP、PERL。在本地服务器上新建数据库和表，并设置相应的属性。最后，给出了创建new表的SQL语句。这个教程适合初学者参考。 ... [详细]

蜡笔小新 2023-12-14 17:15:19
io
SpringBoot集成前端模版（thymeleaf）的配置步骤

本文介绍了在SpringBoot中集成thymeleaf前端模版的配置步骤，包括在application.properties配置文件中添加thymeleaf的配置信息，引入thymeleaf的jar包，以及创建PageController并添加index方法。 ... [详细]

蜡笔小新 2023-12-14 10:11:46
io
高质量SQL书写的30条建议

本文提供了30条关于优化SQL的建议，包括避免使用select *，使用具体字段，以及使用limit 1等。这些建议是基于实际开发经验总结出来的，旨在帮助读者优化SQL查询。 ... [详细]

蜡笔小新 2023-12-13 13:24:33
io
CentOS 7部署KVM虚拟化环境之一架构介绍

本文介绍了CentOS 7部署KVM虚拟化环境的架构，详细解释了虚拟化技术的概念和原理，包括全虚拟化和半虚拟化。同时介绍了虚拟机的概念和虚拟化软件的作用。 ... [详细]

蜡笔小新 2023-12-12 21:38:57
io
CentOS 6.5安装VMware Tools及共享文件夹显示问题解决方法

本文介绍了在CentOS 6.5上安装VMware Tools及解决共享文件夹显示问题的方法。包括清空CD/DVD使用的ISO镜像文件、创建挂载目录、改变光驱设备的读写权限等步骤。最后给出了拷贝解压VMware Tools的操作。 ... [详细]

蜡笔小新 2023-12-12 18:18:49
io
MacOS系统安装MySQL及设置MySQL服务开机启动和密码修改方法

本文介绍了在MacOS系统上安装MySQL的步骤，并详细说明了如何设置MySQL服务的开机启动和如何修改MySQL的密码。通过下载MySQL的macos版本并按照提示一步一步安装，在系统偏好设置中可以找到MySQL的图标进行设置。同时，还介绍了通过终端命令来修改MySQL的密码的具体操作步骤。 ... [详细]

蜡笔小新 2023-12-11 17:35:39
io
Centos7部署安装zabbix5.0详细步骤及注意事项

本文详细介绍了在Centos7上部署安装zabbix5.0的步骤和注意事项，包括准备工作、获取所需的yum源、关闭防火墙和SELINUX等。提供了一步一步的操作指南，帮助读者顺利完成安装过程。 ... [详细]

蜡笔小新 2023-12-10 09:35:39
io
Python项目实战10.2：MySQL读写分离性能优化

本文介绍了在Python项目实战中进行MySQL读写分离的性能优化，包括主从同步的配置和Django实现，以及在两台centos 7系统上安装和配置MySQL的步骤。同时还介绍了创建从数据库的用户和权限的方法。摘要长度为176字。 ... [详细]

蜡笔小新 2023-12-09 19:17:54
io
在vmware中配置centos6.5时遇到的网络问题及解决方法

本文介绍在使用vmware中配置centos6.5时遇到的网络问题，包括host-only和natip的配置，以及无法上网的原因。同时提供了解决方法，包括去掉host-only配置文件中的gateway。 ... [详细]

蜡笔小新 2023-12-09 09:01:46
io
安卓投屏到电脑使用scrcpy

scrcpy通过adb调试的方式来将手机屏幕投到电脑上，并可以通过电脑控制您的Android设备。它可以通过USB连接，也可以通过Wifi连接（类似于隔空投屏），而且不需要任何ro ... [详细]

蜡笔小新 2023-10-17 16:14:28
blob
基于layUI的图片上传前预览功能的2种实现方式

本文介绍了基于layUI的图片上传前预览功能的两种实现方式：一种是使用blob+FileReader，另一种是使用layUI自带的参数。通过选择文件后点击文件名，在页面中间弹窗内预览图片。其中，layUI自带的参数实现了图片预览功能。该功能依赖于layUI的上传模块，并使用了blob和FileReader来读取本地文件并获取图像的base64编码。点击文件名时会执行See()函数。摘要长度为169字。 ... [详细]

蜡笔小新 2023-12-14 17:06:58
int
Java实现大数乘法（分治算法）

本文介绍了使用Java实现大数乘法的分治算法，包括输入数据的处理、普通大数乘法的结果和Karatsuba大数乘法的结果。通过改变long类型可以适应不同范围的大数乘法计算。 ... [详细]

蜡笔小新 2023-12-14 15:43:50
int
Centos下安装memcached+memcached教程

本文介绍了在Centos下安装memcached和使用memcached的教程，详细解释了memcached的工作原理，包括缓存数据和对象、减少数据库读取次数、提高网站速度等。同时，还对memcached的快速和高效率进行了解释，与传统的文件型数据库相比，memcached作为一个内存型数据库，具有更高的读取速度。 ... [详细]

蜡笔小新 2023-12-10 17:10:24
int
（九）Docker常用安装

一、总体步骤1、搜索镜像2、拉取镜像3、查看镜像4、启动镜像5、停止镜像6、移除镜像二、安装tomcat1、dockerhub上面查找tomcat镜像 dockersearchto ... [详细]

蜡笔小新 2023-10-17 18:10:49