硬盘至少4C/16G/200G空间
运行脚本安装
CentOS环境,版本大家自己选择
如果没有git,先安装git
sudo yum -y install git
然后下载仓库,运行一键安装脚本
git clone https://github.com/Security-Onion-Solutions/securityonion
cd securityonion
sudo bash so-setup-network
Ubuntu环境
sudo apt -y install git curl
git clone https://github.com/Security-Onion-Solutions/securityonion
cd securityonion
sudo bash so-setup-network
安装过程
运行完脚本会弹出古老的图形化界面,在<Yes>上回车
然后继续回车
然后输入AGREE
输入自定义的hostname
继续回车
然后按空格选择网卡,前面会出现*号
选择Direct直连,我们不需要代理,按回车
预装检测完成后,会让我们选择监控流量的网卡,我们依旧是按空格选择网卡
根据个人情况选择更新计划,我们这里默认是Automatic,每8个小时一更,继续回车
基础设置完成
防火墙开放端口
so-allow
注意事项:
1、确定访问的管理地址段,是安装完成后访问的管理地址
2、双网卡,一块用于管理,另外一块用于接收流量镜像。
本地机房:在核心交换机上联接口镜像到另外一个接口。服务器的第二块网卡接到这个镜像口上。
1. 配置镜像(观测)端口
[SwitchA]monitor-port e0/8
2. 配置被镜像端口
[SwitchA]port mirror Ethernet 0/1 to Ethernet 0/2
1. 可以一次性定义镜像和被镜像端口
[SwitchA]port mirror Ethernet 0/1 to Ethernet 0/2 observing-port Ethernet 0/8
云端的话,可以直接设置把流量镜像打到服务器网卡上。