1.準備yum源
阿裡雲linux安裝鏡像源位址:http://mirrors.aliyun.com/
第一步:備份原鏡像
#mv /etc/yum.repo.d/CentOS-Base.repo /etc/yum.repo.d/CentOS-Base.repo.bak
第二步:下載下傳CentOS-Base.repo到/etc/yum.repo.d/下
CentOS 5
#wget -O /etc/yum.repos.d/CentOS-Base.repo http://mirrors.aliyun.com/repo/Centos-5.repo
CentOS 6
#wget -o /etc/yum.repo.d/CentOS-Base.repo http://mirrors.aliyun.com/repo/Centos-6.repo
第三步:運作yum makecache生成緩存并更新yum
#yum clean all
#yum makecache
#yum -y update
2.開始安裝IDS
本次安裝所需要的安裝包如下:
1、snortrules-snapshot-2990.tar.gz----snort規則庫
2、snort-2.9.9.0.tar.gz-----snort主程式
3、libpcap-1.8.1.tar.gz
4、libdnet-1.12.tgz
5、daq-2.0.6.tar.gz
6、base-1.4.5.tar.gz
7、barnyard2-1.9.tar.gz
8、adodb-5.20.9.zip
以上安裝包(打包在centos6.7-snort.gz下),用CRT用戶端,PUT方式上傳至伺服器
第一步:安裝依賴包
#yum -y install epel-release
#yum -y install gcc gcc-c++ flex bison zlib* libxml2 libpcap* pcre* tcpdump git libtool curl man make
第二步:安裝libdnet
#tar zxvf libdnet-1.12.tgz
#cd libdnet-1.12
#./configure
#make && make install
第三步:安裝libpcap
#tar zxvf libpcap-1.8.1.tar.gz
#cd libpcap-1.8.1
#./configure
#make && make install
第四步:安裝daq
#tar zxvf daq-2.0.6.tar.gz
#cd daq-2.0.6
#./configure
#make && make install
第五步:安裝snort并配置snort
1、安裝snort
#tar zxvf snort-2.9.9.0.tar.gz
#cd snort-2.9.9.0
#./configure
#make && make install
2、配置snort
第一步:建立配置檔案目錄,并複制配置檔案
#mkdir /etc/snort
#cp /root/centos6.7-snort/snort-2.9.9.0/etc/* /etc/snort
第二步:複制規則庫至配置檔案目錄
#cd /root/centos6.7-snort
#tar zxvf snortrules-snapshot-2990.tar.gz
#mv so_rules/ /etc/snort
#mv rules/ /etc/snort
#mv preproc_rules/ /etc/snort
#mv etc/ /etc/snort
#cd /etc/snort
#touch /etc/snort/rules/white_list.rules /etc/snort/rules/black_list.rules
第三步:建立snort運作使用者
#groupadd -g 4000 snort
#useradd snort -u 4000 -d /var/log/snort -s /sbin/nologin -c SNORT_IDS -g snort
#chown -R snort:snort /etc/snort/*
#chown -R snort:snort /var/log/snort
第四步:配置snort.conf檔案
修改rules路徑
#cd /etc/snort
#vi snort.conf
做以下修改:
var RULE_PATH ../rules ---> var RULE_PATH /etc/snort/rules
var SO_RULE_PATH ../so_rules ---> var SO_RULE_PATH /etc/snort/so_rules
var PREPROC_RULE_PATH ../preproc_rules ---> var PREPROC_RULE_PATH /etc/snort/preproc_rules
var WHITE_LIST_PATH ../rules ---> var WHITE_LIST_PATH /etc/snort/rules
var BLACK_LIST_PATH ../rules ---> var BLACK_LIST_PATH /etc/snort/rules
#config logdir: ---> config logdir:/var/log/snort ---修改log目錄
#output unified2: filename merged.log, limit 128, nostamp, mpls_event_types, vlan_event_types ---> output unified2: filename snort.log, limit ---修改輸出配置
第五步:建立連結檔案,并賦予權限
#cd /usr/bin/
#ln -s /usr/local/bin/snort snort
#mkdir /usr/local/lib/snort_dynamicrules
#chown snort:snort /usr/local/lib/snort_dynamicrules/
#chown -R snort:snort /usr/local/lib/snort_dynamicrules/
#chmod -R 755 /usr/local/lib/snort_dynamicrules/
第六步:建立測試資料規則
#vi /etc/snort/rules/local.rules
alert icmp any any -> $HOME_NET any (msg:"Ping";sid:1000003;rev:1;)
以上就是snort的安裝和配置過程,安裝完成後,可以用以下指令來确認是否安裝成功
#snort -u snort -g snort -c /etc/snort/snort.conf -i eth0 -A console
2.barnyard2的安裝
第一步:安裝資料庫
1.安裝資料庫,并設定資料庫狀态和密碼
#yum -y install mysql-server mysql-devel php-mysql php-adodb php-pear php-gd libtool php-imap php-ldap php-mbstring php-odbc php-pear php-xml php-pecl-apc
#chkconfig --levels 235 mysqld on
#service mysqld start
#/usr/bin/mysqladmin -u root password 'root'
2.建立資料庫和操作使用者
#mysql -u root -p
輸入密碼:root
>create database snort;
>create user 'snort'@'localhost' identified by 'snort';
>grant create,select,update,insert,delete on snort.* to [email protected] identified by 'snort';
>set password for [email protected]=password('snort');
>use snort;
>source /root/centos6.7-snort/barnyard2-1.9/schemas/create_mysql; --這裡可能會提示找不到檔案,提前把barnyard2的安裝包解壓就可以解決。
>flush privileges;
>exit
上面指令中的source就是barnyard2自帶的一個mysql的腳本,可以在源碼包的schemas中找到。
第二步:安裝barnyard2并配置
1.安裝barnyard2并複制配置檔案
#cd barnyard2-1.9
#./configure --with-mysql --with-mysql-libraries=/usr/lib64/mysql --這步可能會遇到報錯說沒有libmysqlclient.so.18這個檔案,解決方法是找到這個檔案,做個軟連結到/usr/lib64/mysql/下就可以解決
#make && make install
#mkdir /var/log/barnyard2
#touch /var/log/snort/barnyard2.waldo
#chown -R snort:snort /var/log/snort/barnyard2.waldo
#cp /root/centos6.7-snort/barnyard2-1.9/etc/barnyard2.conf /etc/snort/
2.修改配置檔案
#cd /etc/snort
#vi barnyard2.conf
做以下修改
#config logdir: /tmp ---> config logdir: /var/log/barnyard2
#config hostname: thor ---> config hostname: localhost
#config interface: eth0 ---> config interface: eth0
#config waldo_file: /tmp/waldo ---> config waldo_file: /var/log/snort/barnyard2.waldo
# output database: log, mysql, user=root password=test dbname=db host=localhost ---> output database: log, mysql, user=snort password=snort dbname=snort host=localhost
以上就是我們barnyard2的安裝部分
3.聯合運作snort和barnyard2
這裡有一個地方要注意,就是最好先運作barnyard2,然後再運作snort,因為barnyard2會先監聽有沒有新的資料産生。
第一步:先運作barnyard2
#barnyard2 -c /etc/snort/barnyard2.conf -d /var/log/snort -f snort.log -w /var/log/snort/barnyard2.waldo -g snort -u snort
第二步:運作snort(再開一個視窗,效果明顯)
#snort -q -u snort -g snort -c /etc/snort/snort.conf -i eth0 -D --參數D是表示放到背景程式運作了
檢視barnyard2的結果(要先ping,才能看到結果)
檢視資料庫
#mysql -u snort -p
輸入密碼:snort
>use snort;
>select * from event;
下面開始安裝base頁面
第一步:安裝LMAP環境
#yum -y install httpd mysql-server php php-mysql php-mbstring php-mcrypt mysql-devel php-gd
第二步:安裝pear插件
#yum -y install php-pear
#pear upgrade pear
#pear channel-update pear.php.net
#pear install mail
#pear install Image_Graph-alpha Image_Ganvas-alpha Image_Color Number_Roman
#pear install mail_mime
第三步:安裝adodb
#cd centos6.7-snort
#unzip adodb-5.20.9.zip
#mv ./adodb5 /var/www/html/
第四步:安裝base
#tar zxvf base-1.4.5.tar.gz
#mv base-1.4.5 /var/www/html/base
第五步:配置PHP錯誤資訊,并賦予權限
#vi /etc/php.ini
error_reporting = E_ALL & ~E_DEPRECATED -----> error_reporting = E_ALL & ~E_NOTICE
#chown -R apache:apache /var/www/html
#chmod 755 /var/www/html
第六步:啟動服務,關閉防火牆
#service mysqld restart
#service httpd restart
#service iptables stop
第七步:關閉selinux(如果不關閉,可能頁面打不開)
#setenforce 0
#vi /etc/selinux/config
SELINUX=enforcing -----> SELINUX=disabled
第八步:打開base頁面,并配置
安裝完成!!!