基于CentOS平台的Snort+Barnyard安装步骤

基于CentOS平台的Snort+Barnyard安装步骤

一、背景

   入侵检测系统（IDS）不但可以主动发现网络内遭受攻击，还可以作为防火墙的补充，虽然不能阻止网络入侵行为，但是能够帮助系统对网络攻击进行报警和分析。相当于部署在网络中的隐形摄像头。

   然而Snort作为一种开源IDS系统，网上遍布各种版本的不同类型的安装资料，给初学者带来诸多不便，往往参考了一堆文档，还是无法达到预期。

本教程基于Cent OS 最小化安装为基础，展示了在其中安装的全过程。

阅读范围：    适用于初级网络运维人员参考使用。

二、准备软件环境

   在安装前，必需做SPAN，SPAN端口监控是一种在现有网络结构中引入监控网段的方法。Cisco交换机的中高端产品都有SPAN端口或镜像端口。Span端口既可以是一个专用端口，也可以通过该端口实现交换机上所有的端口的配置选项设定。下文实在虚拟机环境下完成的实验，所以只要把网卡设置为混杂模式即可。

    （1）.准备虚拟机工具Vmware or VirtualBox 或其他种类的虚拟机。当然远程连接工具也不可或缺比如：Xshell5 或 SecureCRT。

     （2）.下载操作系统镜像： /s/1pKSmNs3 附件中包含了实验里涉及到的软件包和脚本文件。

     （3）.安装虚拟机（本文以Vmware Workstation 12为例进行安装）

图1

     （4）.将系统IP地址改为静态IP

默认安装，网络IP是自动获取，我们需要改成固定IP。

#ifconfig-a  \\查看所有网卡的状态

#vi/etc/sysconfig/network-scripts/ifcfg-eth0    \\编辑网卡配置文件

DEVICE="eth0"

BOOTPROTO="dhcp"

HWADDR="00:0C:29:BA:53:4E"

IPV6INIT="yes"

NM_CONTROLLED="yes"

ONBOOT="yes"

TYPE="Ethernet"

UUID="685d0725-02ab-41b9-b9bf-6a52fc68c0f8"

下面开始改成静态IP

BOOTPROTO="dhcp"   -> BOOTPROTO="static"

接着，增加以下内容：

IPADDR=

NETMASK=

GATEWAY=

DNS1=

DNS2=  \\DNS配置根据当地网络供应商进行添加

 

DNS还可以在其他的文件进行配置

  # vi /etc/

加入

  nameserver

退出保存，重启网络服务。实际 /etc/ 是自动调用之前网卡配置文件DNS配置信息。

     

     （5）.本套教程主要基于网络安装所以大家必须保证网络畅通。

三、安装依赖包

 1．安装wget工具

#yum install -y wget

 更换成阿里云的源

#wget -O /etc//CentOS- /repo/Centos-

#yum clean all

#yum make cache

 更新系统(完成后会升级所有包，改变软件设置和系统设置,系统版本内核都升级)

#yum  update -y

   

#yum install  epel-release -y

安装epel源，EPEL，即ExtraPackages for Enterprise Linux，这个软件仓库里有很多非常常用的软件,而且是专门针对RHEL设计的，对RHEL标准yum源是一个很好的补充，完全免费使用，由Fedora项目维护，EPEL 包含一个叫做epel-release的包，这个包包含了EPEL源的gpg密钥和软件源信息。您可以通过yum安装到您的企业版Linux发行版上。

检查系统是否安装epel-release

#rpm -q epel-release 

package epel-release is not installed

2.安装基本环境和依赖包

#yum install -y gcc gcc-c++ flex bison zlib* libxml2 libpcap* pcre* tcpdump git libtool curl man make

3.解压DAQ、Libdnet、Snort

    在服务器的安装配置过程中，大家很可能会到官网去下载最新版本的源码包，但是那样以来就会遇到各种依赖包缺失的问题，从而导致无法安装成功。因为有些软件比如Snort要在DAQ安装好之后才能继续，而DAQ依赖于Libdnet安装好了，才能再安装上DAQ。所以安装源码的顺序犹然重要。在学习本文时一定要注意版本的一致性&#