基于CentOS平台的Snort+Barnyard安装步骤
一、背景
入侵检测系统(IDS)不但可以主动发现网络内遭受攻击,还可以作为防火墙的补充,虽然不能阻止网络入侵行为,但是能够帮助系统对网络攻击进行报警和分析。相当于部署在网络中的隐形摄像头。
然而Snort作为一种开源IDS系统,网上遍布各种版本的不同类型的安装资料,给初学者带来诸多不便,往往参考了一堆文档,还是无法达到预期。
本教程基于Cent OS 最小化安装为基础,展示了在其中安装的全过程。
阅读范围: 适用于初级网络运维人员参考使用。
二、准备软件环境
在安装前,必需做SPAN,SPAN端口监控是一种在现有网络结构中引入监控网段的方法。Cisco交换机的中高端产品都有SPAN端口或镜像端口。Span端口既可以是一个专用端口,也可以通过该端口实现交换机上所有的端口的配置选项设定。下文实在虚拟机环境下完成的实验,所以只要把网卡设置为混杂模式即可。
(1).准备虚拟机工具Vmware or VirtualBox 或其他种类的虚拟机。当然远程连接工具也不可或缺比如:Xshell5 或 SecureCRT。
(2).下载操作系统镜像: /s/1pKSmNs3 附件中包含了实验里涉及到的软件包和脚本文件。
(3).安装虚拟机(本文以Vmware Workstation 12为例进行安装)
图1
(4).将系统IP地址改为静态IP
默认安装,网络IP是自动获取,我们需要改成固定IP。
#ifconfig-a \\查看所有网卡的状态
#vi/etc/sysconfig/network-scripts/ifcfg-eth0 \\编辑网卡配置文件
DEVICE="eth0"
BOOTPROTO="dhcp"
HWADDR="00:0C:29:BA:53:4E"
IPV6INIT="yes"
NM_CONTROLLED="yes"
ONBOOT="yes"
TYPE="Ethernet"
UUID="685d0725-02ab-41b9-b9bf-6a52fc68c0f8"
下面开始改成静态IP
BOOTPROTO="dhcp" -> BOOTPROTO="static"
接着,增加以下内容:
IPADDR=
NETMASK=
GATEWAY=
DNS1=
DNS2= \\DNS配置根据当地网络供应商进行添加
DNS还可以在其他的文件进行配置
# vi /etc/
加入
nameserver
退出保存,重启网络服务。实际 /etc/ 是自动调用之前网卡配置文件DNS配置信息。
(5).本套教程主要基于网络安装所以大家必须保证网络畅通。
三、安装依赖包
1.安装wget工具
#yum install -y wget
更换成阿里云的源
#wget -O /etc//CentOS- /repo/Centos-
#yum clean all
#yum make cache
更新系统(完成后会升级所有包,改变软件设置和系统设置,系统版本内核都升级)
#yum update -y
#yum install epel-release -y
安装epel源,EPEL,即ExtraPackages for Enterprise Linux,这个软件仓库里有很多非常常用的软件,而且是专门针对RHEL设计的,对RHEL标准yum源是一个很好的补充,完全免费使用,由Fedora项目维护,EPEL 包含一个叫做epel-release的包,这个包包含了EPEL源的gpg密钥和软件源信息。您可以通过yum安装到您的企业版Linux发行版上。
检查系统是否安装epel-release
#rpm -q epel-release
package epel-release is not installed
2.安装基本环境和依赖包
#yum install -y gcc gcc-c++ flex bison zlib* libxml2 libpcap* pcre* tcpdump git libtool curl man make
3.解压DAQ、Libdnet、Snort
在服务器的安装配置过程中,大家很可能会到官网去下载最新版本的源码包,但是那样以来就会遇到各种依赖包缺失的问题,从而导致无法安装成功。因为有些软件比如Snort要在DAQ安装好之后才能继续,而DAQ依赖于Libdnet安装好了,才能再安装上DAQ。所以安装源码的顺序犹然重要。在学习本文时一定要注意版本的一致性&#