centos7安装部署入侵检测系统(IDS)

最新推荐文章于 2023-03-29 14:32:13 发布
最新推荐文章于 2023-03-29 14:32:13 发布
阅读量1.8k 收藏 8
点赞数 1
分类专栏: linux 文章标签: linux centos 安全 snort 虚拟机
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43802023/article/details/109899887
版权

安装部署入检监测系统(IDS)

安装依赖

点此安装依赖
https://www.mamao.cloud/index.php/archives/82/

安装snort

  1. 必须先安装完依赖才能安装snort,否则会报错

    ./configure && make && make install

  2. Snort安装到/usr/local/bin/Snort目录,最好创建到/usr/sbin/Snort的符号链接

    sudo ln -s /usr/local/bin/snort /usr/sbin/snort

设置用户名和文件夹结构

  1. 创建文件夹

    sudo mkdir -p /etc/snort/rules
sudo mkdir /var/log/snort
sudo mkdir /usr/local/lib/snort_dynamicrules

  2. 修改权限

    sudo chmod -R 5775 /etc/snort
sudo chmod -R 5775 /var/log/snort
sudo chmod -R 5775 /usr/local/lib/snort_dynamicrules
sudo chown -R snort:snort /etc/snort
sudo chown -R snort:snort /var/log/snort
sudo chown -R snort:snort /usr/local/lib/snort_dynamicrules

  3. 创建规则文件

    sudo touch /etc/snort/rules/white_list.rules
sudo touch /etc/snort/rules/black_list.rules
sudo touch /etc/snort/rules/local.rules

  4. 文件拷贝

    sudo cp ~/snort/snort-2.9.16/etc/*.conf* /etc/snort
sudo cp ~/snort/snort-2.9.16/etc/*.map /etc/snort

配置社区规则

  1. 将前面下载的社区规则文件解压并进行拷贝到/etc/snort/rules

    sudo cp ~/snort/community-rules/* /etc/snort/rules

  2. 使用下面的sed命令轻松地注释掉不必要的行

    sudo sed -i 's/include \$RULE\_PATH/#include \$RULE\_PATH/' /etc/snort/snort.conf

编辑配置文件

sudo vim /etc/snort/snort.conf

  1. 设置网络变量

    设置网络变量,将第45行的ipvar HOME_NET any改为ipvar HOME_NET
192.168.x.x网段,并写成CIDR格式。也可以添加多个网段。

ipvar HOME_NET 192.168.174.12048行ipvar EXTERNAL_NET any 改为 ipvar EXTERNAL_NET !$HOME_NET

第104var RULE_PATH ../ruls 改为 var RULE_PATH /etc/snort/rules

第105var SO_RULE_PATH ../so_rules 改为var SO_RULE_PATH
/etc/snort/so_rules

第106var PREPROC_RULE_PATH ../preproc_rules 改为 var
PREPROC_RULE_PATH/etc/snort/ preproc_rules

第113var WHITE_LIST_PATH ../rules 改为 var WHITE_LIST_PATH
/etc/snort/rules

第114var BLACK_LIST_PATH ../rules 改为 var BLACK_LIST_PATH
/etc/snort/rules

  2. 设置日志保存路径

    config logdir:/var/log/snort/

  3. 配置输出插件

    Snort可通过数据库插件(spo_database.c和spo_database.h)将预处理器输出的日志写入数据库,但下面的配置一方面将报警写入alert文件,另一方面将预处理器输出的日志写入到unified2格式的二进制文件中,以供Barnyard2读取使用。
    将第521行修改成如下内容:

    output unified2:filename snort.log,limit 128

  4. 文件底部,找到包含的规则集列表。您需要取消对local.rules的注释,以允许Snort加载任何自定义规则

    include $RULE_PATH/local.rules
include $RULE_PATH/community.rules    #加入社区规则

测试

  1. 测试snort是否安装成功

    sudo snort -T -c /etc/snort/snort.conf

    出现如下结果,则安装配置成功

    Snort successfully validated the configuration!
Snort exiting

  2. 模拟测试是否能够进行入侵监测报警

    增加测试规则,ping命令报警

    sudo vim /etc/snort/rules/local.rules
alert icmp any any -> $HOME_NET any (msg:"ICMP test"; sid:10000001; rev:001;)

  3. 开启IDS进行捕获报警信息,注意修改网卡,此处为ens33

    sudo snort -A console -i ens33-u snort -g snort -c /etc/snort/snort.conf

  4. 使用另一台主机ping当前主机,出现报警,报警情况如图所示:

在这里插入图片描述
在这里插入图片描述
上图IDS防护日志显示每个ICMP调用的警告,包括源和目标IP、 时间和日期,以及一些附加信息,如下面的示例所示:

snort -r /var/log/snort/ snort.log.1588934231

配置snort后台运行

  1. 编辑文件加入以下内容

    sudo vim /lib/systemd/system/snort.service    
[Unit]
Description=Snort NIDS Daemon
After=syslog.target network.target
[Service]
Type=simple
ExecStart=/usr/local/bin/snort -q -u snort -g snort -c /etc/snort   /snort.conf -i eth0
[Install]
WantedBy=multi-user.target

  2. 加载脚本

    sudo systemctl daemon-reload

  3. 启动snort

    sudo systemctl start snort

  4. 查看snort状态

    sudo systemctl status snort

更多centos7安全软件配置:

安装配置流量监控软件(iftop)
安装配置防火墙(iptables)
安装配置DDoS防御
安装部署防病毒软件(ClamAV)

qq_43802023
关注
  • 1
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论
专栏目录
linux(centos)系统安全snort——搭建入侵检测系统IDS
07-18
这是本人亲自测试整理和调试过的实验报告文档,本人亲测过没有问题的snort在linux系统中搭建步骤报告文档,为了和大家分享学习!
centos7系统入侵,挂载挖矿木马-pamdicks-(1)临时处理
ntgengyf的博客
07-25 476
根据隐藏进程以及隐藏文件不可见的特性,进行搜索分析,得出系统内核被篡改,将文件名称和进程信息给屏蔽。以后得加强注意这三方面的安全问题,本次木马程序并未涉及文件防篡改配置,不然也只能重装系统进行处理了。开发使用过程中,发现经常有服务无故关闭,登录服务器经检查,发现CPU使用率达到100%。删除原文件,并创建一个顶包空文件,然后使用系统chattr对其进行锁定禁止修改。及文件删除,但是重启后又自行恢复,还有其他机器,也经过一夜,死灰复燃了。用户直接启动,导致内核被修改,问题难度复杂化。
Linux CentOs7 监控CPU 内存 硬盘IO读写,网络负载,CPU温度等
会飞的程序猿的博客
03-29 5879
一般我们都知道TOP命令可以加载服务器的负载详情,但界面不太友好。因此用到htop。
Cenos7--查看系统当前的状况,如cpu使用,内存占用,远程用户,负载情况,硬盘占用,网络带宽等统计信息...
dengtuo3787的博客
04-13 803
对于系统和网络管理员来说每天监控和调试Linux系统的性能问题是一项繁重的工作。在IT领域作为一名Linux系统的管理员工作5年后,我逐渐认识到监控和保持系统启动并运行是多么的不容易。基于此原因,我们已编写了最常使用的18个命令行工具列表,这些工具将有助于每个Linux/Unix 系统管理员的工作。这些命令行工具可以在各种Linux系统下使用,可以用于监控和查找产生性能问题的原因。这个命...
Centos-7使用的性能监控工具
weixin_43976607的博客
08-12 2090
Centos-7使用的性能监控工具 Linux命令行的性能监控工具:htop、top、netstat、dstat、ss、vmstat、glances 1、dstat命令 dstat命令整合了vmstat,iostat和ifstat三种命令。同时增加了新的特性和功能可以让你能及时看到各种的资源使用情况,从而能够使你对比和整合不同的资源使用情况。通过不同颜色和区块 布局的界面帮助你能够更加清晰容易的获取信息。它也支持将信息数据导出到cvs格式文件中,从而用其他应用程序打开,或者导入到数据库中。你可以用该命令来监
Centos7搭建ossec-hids2.8.3入侵检测系统
ss810540895的博客
09-20 1583
由于服务端安装过程中设置了支持接受远程机器的syslog,所以需要对ossec.conf文件中的 syslog部分进行配置,修改ossec.conf文件,将需要收集的网段全添加进去。的话可以直接使用centos7安装后自带的yum源安装wget,没有外网使用本地安装镜像配置个本地源安装)服务端和客户端都安装好了,并且也连接上了,下一步就需要有个界面管理我们的服务端和客户端。为了使OSSEC支持MySQL,需要在安装前执行make setdb命令,如下。由于我们最终是需要把日志导入到MySQL中进行分析,
Centos7 系统硬件检测脚本
qq_37126850的博客
07-12 1265
#Centos7 系统硬件检测 #####查看系统版本###### hostname=`hostname` sys_version=` cat /etc/redhat-release ` kernel=`hostnamectl | grep 'Kernel' | awk -F: '{print $2}'` architecture=` hostnamectl | grep 'Arch' | awk -F: '{print $2}'` echo "主机名:$hostname" echo "系统版本:$sy
CentOS7服务器(监测CPU,内存,磁盘,nginx,php服务)监控+邮件告警脚本
zdz619676400的博客
04-29 1182
1、安装mailx 通过yum安装 yum install -y mailx vi /etc/mail.rc 在mail.rc中加入如下配置 set ssl-verify=ignore set [email protected] #发信的邮箱 set smtp=smtp.qq.com #发信邮箱服务器 set smtp-auth-user="[email protected]" #邮箱用户名 set smtp-auth-password="xxxx" #邮箱密码(某些邮箱需要授权码) set smtp-auth=l
Centos7.x搭建Snort IDS入侵检测环境.pdf
09-02
本文详细记录了Centos7.x搭建Snort IDS入侵检测环境,以及在这过程中碰到的问题。使用到的软件包有:snort-2.9.15.1-1.centos7.x86_64.rpm、Pulledpork、 snortrules-snapshot-29151.tar.gz、Barnyard2、Adodb、Base
centos平台基于snort、barnyard2以及base的IDS入侵检测系统)的搭建与测试及所遇问题汇总
热门推荐
WillWinwin
12-19 1万+
一、基本环境 虚拟机工具:Vmware Workstation Pro 12 Centos版本:CentOS-7-x86_64-Minimal-1511 Snort版本:snort-2.9.9.0 Barnyard2版本:barnyard2-1.9 Base版本:base-1.4.5二、IDS系统搭建 1、安装wget工具[root@localhost alankong]# yum in
Linux系统CentOS7下离线安装部署nginx
04-27
Linux系统安装nginx-1.14.1所需的所有包 以及rpm依赖包,安装文档 https://blog.csdn.net/weixin_41851100/article/details/89565198
centos7安装部署tomcat
01-09
 Tomcat 服务器是一个免费的开放源代码的Web 应用服务器,属于轻量级应用服务器,在中小型系统和并发访问用户不是很多的场合下被普遍使用,是开发和调试JSP 程序的首选。 准备环境: tomcat需要依赖于JDK 1. 卸载...
在VMware上安装CentOS7操作系统
11-22
在VMware上安装CentOS7操作系统
Centos7.9安装部署Zabbix6
06-21
Centos7.9安装部署Zabbix6,需要安装包的发邮箱,文件里面包含邮箱地址
CentOS 7系统安装操作指导书 .docx
01-07
安装Centos7系统的操作说明
CentOS 7上使用Tripwire 监控、检测系统文件完整性
weixin_34270606的博客
04-17 764
2019独角兽企业重金招聘Python工程师标准>>> ...
centos7 监控系统运行命令总结
u013558123的博客
03-08 736
1、查看网络配置:ifconfig; 2、监控系统运行状况:top; task代表系统运行任务数量;%代表cpu使用情况;KibMem代表内存使用情况;下面是具体的进程运行情况;total总的任务量,running运行中的任务量;us用户cpu使用量,sy系统cpu使用量;id空闲cpu使用率; 3、退出top界面 :q; ...
IT基础设施:使用netdata监控CentOS7性能
weixin_33804582的博客
07-27 366
背景 作为一个Linux狗,必须要掌握一个专门的系统监控工具,能随时了解系统资源的占用情况,如应用的内存使用规律,应用的网络峰值时段,CPU使用情况等信息,对优化应用性能,保证服务器健康运行有着极为重要的作用。 工具 netdata Netdata是一款秒级数据收集与可视化呈现的Linux服务器性能监测工具,...
Centos7.x搭建Snort IDS入侵检测环境
afei001
01-16 2113
Snort介绍  Snort 它是一个多平台的、实时流量分析的入侵检测系统。Snort是一个基于libpcap的数据包嗅探器并可以作为一个轻量级的网络入侵检测系统。 snort的工作模式 (1)嗅探器 嗅探器模式:是从网络上读取数据包并作为连续不断的流显示在终端上。 (2)数据包记录器 数据包记录器:是把数据包记录到硬盘上。 (3)网络入侵检测系统 网路入侵检测:它是可配置的(所以会相对是比较复杂...
如何渗透centos7
最新发布
09-07
渗透测试是合法的测试活动,为了保护系统安全和隐私,我不能提供详细的渗透测试指南。然而,我可以给你一些常规的建议来提高CentOS 7系统的安全性。 1. 更新系统:始终保持系统更新,包括操作系统和所有安装的软件包。这有助于修复已知漏洞和安全问题。 2. 强化密码策略:使用复杂的密码,并定期更改密码。禁用不必要的账户,并限制对系统的远程访问。 3. 配置防火墙:使用防火墙来限制网络访问。仅允许必要的服务和端口对外开放,并且仅允许受信任的IP地址进行访问。 4. 安装安全补丁:及时安装操作系统和应用程序的安全补丁,以修补已知漏洞。 5. 使用安全软件:安装并配置安全软件,如入侵检测系统IDS)、入侵防御系统(IPS)和恶意软件防护工具。 6. 限制系统权限:确保每个用户只具有他们所需的最低权限。避免使用root账户进行常规操作。 7. 审计和监控日志:启用日志记录并监控系统活动。及时检查日志以发现异常行为或潜在的攻击。 请记住,在进行任何渗透测试之前,确保您获得了合法授权,并遵守法律和道德准则。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

qq_43802023

你的鼓励就是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值