Snort部署及使用

共计5880字 阅读大约20分钟 45370

第1章 系统环境说明

1.1 部署环境说明

1.1.1 准备环境

[root@snort ~]# cat /etc/redhat-release
CentOS Linux release 7.4.1708 (Core)
[root@snort ~]# uname -r
3.10.0-693.el7.x86_64

1.1.2 程序版本

软件

版本

snort

 2.9.11.1

daq

2.0.6

barnyard2

2-1.13

base

1.4.5

adodb

5.20.13
mysql

5.7.23

1.2 参考文档

1.2.1 部署搭建文档

https://blog.csdn.net/u013816144/article/details/53729153

https://www.cnblogs.com/zlslch/p/7306632.html

https://klionsec.github.io/2017/09/22/snortpentest/

1.2.2 规则编写文档

https://blog.csdn.net/qq_28210869/article/details/78886604

https://www.cnblogs.com/lasgalen/p/4512755.html

https://www.cnblogs.com/Lthis/p/4949766.html

第2章 环境初始化

2.1 修改主机名

hostnamectl set-hostname snort # 后面会用到主机名
echo "/server/scripts/autoStart.sh" >> /etc/rc.local

2.2 关闭防火墙及SELinux

systemctl stop firewalld
systemctl disable firewalld

setenforce 0
vim /etc/selinux/config
SELINUX=disabled

2.3 部署MySQL

详见https://blog.leonshadow.cn/763482/525.html

第3章 部署IDS

3.1 部署Snort

3.1.1 创建snort用户

useradd -s /sbin/nologin -M snort

3.1.2 安装依赖程序

yum install -y gcc gcc-c++ flex bison zlib* libxml2 libpcap* pcre* tcpdump git libtool curl man make

3.1.3 编译安装libdnet

cd /server/tools/
tar xf libdnet-libdnet-1.12.tar.gz
cd libdnet-libdnet-1.12/
./configure && make && make install

3.1.4 编译安装daq

cd /server/tools/
tar xf daq-2.0.6.tar.gz
cd daq-2.0.6/
./configure && make && make install

3.1.5 编译安装snort

cd /server/tools/
tar xf snort-2.9.11.1.tar.gz
cd snort-2.9.11.1/
./configure --enable-sourcefire
make && make install

3.1.6 复制配置文件及检测规则

mkdir -p /etc/snort
cp /server/tools/snort-2.9.11.1/etc/* /etc/snort/
tar xf /server/tools/snortrules-snapshot-29111.tar.gz -C /etc/snort/

3.1.7 创建配置文件依赖项

mkdir -p /var/log/snort /usr/local/lib/snort_dynamicrules
touch /etc/snort/rules/{white_list.rules,black_list.rules}

3.1.8 编辑配置文件

vim /etc/snort/snort.conf
45 ipvar HOME_NET [192.168.10.0/24,192.168.1.0/24] # 设置嗅探的服务器网络地址,使用CIDR格式
48 ipvar EXTERNAL_NET !$HOME_NET
104 var RULE_PATH /etc/snort/rules
105 var SO_RULE_PATH /etc/snort/so_rules
106 var PREPROC_RULE_PATH /etc/snort/preproc_rules
113 var WHITE_LIST_PATH /etc/snort/rules
114 var BLACK_LIST_PATH /etc/snort/rules
186 config logdir: /var/log/snort
521 output unified2: filename snort.log, limit 128

3.1.9 设置相关目录权限

chown -R snort.snort /var/log/snort/ /etc/snort/ /usr/local/lib/snort_dynamicrules
chown -R 755 /usr/local/lib/snort_dynamicrules

3.1.10 编写测试规则

vim /etc/snort/rules/local.rules
alert icmp any any -> $HOME_NET any (msg:”Ping”;sid:1000001;rev:1;)

3.1.11 测试snort安装是否成功

snort -T -i eth0 -u snort -g snort -c /etc/snort/snort.conf
  • 成功标志:

图片[1]|Snort部署及使用|leon的博客

3.1.12 设置snort开机自启动

echo "snort -q -u snort -g snort -c /etc/snort/snort.conf -i eth0 -D" >> /server/scripts/autoStart.sh
  • snort参数详解:
  1. -T:指定启动模式:测试
  2. -i:指定网络接口
  3. -u:指定运行用户
  4. -g:指定运行时用户组
  5. -c: 指定配置文件
  6. -q:以静默方式运行
  7. -D:后台以Daemon方式运行

3.2 部署barnyard2

3.2.1 安装依赖程序

yum install -y php-mysql php-adodb php-pear php-gd libtool php-imap php-ldap php-mbstring php-odbc php-pear php-xml php-pecl-apc mysql-devel httpd php php-mcrypt mcrypt libmcrypt-devel

3.2.2 编译安装barnyard2

cd /server/tools/
tar xf barnyard2-2-1.13.tar.gz
cd /server/tools/barnyard2-2-1.13/
./autogen.sh
./configure --with-mysql --with-mysql-libraries=/usr/lib64/mysql
make && make install

3.2.3 创建配置文件依赖项

mkdir -p /var/log/barnyard2
touch /var/log/snort/barnyard2.waldo
cp /etc/snort/etc/sid-msg.map /etc/snort
cp /server/tools/barnyard2-2-1.13/etc/barnyard2.conf /etc/snort/

3.2.4 编辑配置文件

vim /etc/snort/barnyard2.conf
54 config logdir: /var/log/snort # 日志文件路径
70 config hostname: snort # 主机名称
71 config interface: eth0 # 监听的网卡接口
141 config waldo_file: /var/log/snort/barnyard2.waldo # waldo文件路径
354 output database: log,mysql,user=snort password=snort dbname=snort host=localhost
# user:数据库用户名
# password:数据库用户密码
# dbname:连接的数据库名称
# host:数据库IP地址

3.2.5 配置相关目录权限

chown -R snort.snort /etc/snort /var/log/snort /var/log/barnyard2

3.2.6 导入数据库文件

cp /server/tools/barnyard2-2-1.13/schemas/create_mysql /tmp/

mysql -uroot -p
mysql> create database snort;
mysql> grant all on snort.* to snort@'localhost' identified by 'snort';
mysql> use snort;
mysql> source /tmp/create_mysql;
mysql> flush privileges;

3.2.7 联合测试

snort -q -u snort -g snort -c /etc/snort/snort.conf -i eth0 -D
barnyard2 -c /etc/snort/barnyard2.conf -d /var/log/snort -f snort.log -w /var/log/snort/barnyard2.waldo -g snort -u snort
  • 成功标志:

图片[2]|Snort部署及使用|leon的博客

3.2.8 设置snort开机自启动

echo "barnyard2 -c /etc/snort/barnyard2.conf -d /var/log/snort -f snort.log -w /var/log/snort/barnyard2.waldo -g snort -u snort -D" >> /server/scripts/autoStart.sh
  • barnyard2参数详解:
  1. -c:指定配置文件
  2. -d:指定log目录
  3. -f:指定log文件
  4. -w:指定waldo文件
  5. -u:指定运行用户
  6. -g:指定运行时用户组
  7. -D:后台以Daemon方式运行

3.3 部署adodb和base

3.3.1 安装依赖程序

pear channel-update pear.php.net
pear install mail Image_Graph-alpha Image_Canvas-alpha Image_Color Numbers_Roman mail_mime

3.3.2 部署adodb

cd /server/tools/
unzip adodb-5.20.13.zip
mv adodb5/ /var/www/html/adodb

3.3.3 部署base

cd /server/tools/
tar xf base-1.4.5.tar.gz
mv base-1.4.5 /var/www/html/base

3.3.4 配置php.ini

vim /etc/php.ini
104 error_reporting = E_ALL & ~E_NOTICE

3.3.5 设置相关目录权限

chown -R apache.apache /var/www/html/
chmod 755 /var/www/html/adodb/

3.3.6 启动apache

systemctl enable httpd
systemctl start httpd

3.4 配置base

图片[3]|Snort部署及使用|leon的博客

图片[4]|Snort部署及使用|leon的博客

图片[5]|Snort部署及使用|leon的博客

图片[6]|Snort部署及使用|leon的博客

图片[7]|Snort部署及使用|leon的博客

图片[8]|Snort部署及使用|leon的博客

3.5 测试结果

图片[9]|Snort部署及使用|leon的博客

图片[10]|Snort部署及使用|leon的博客

温馨提示:本文最后更新于2022-12-20 20:57:46,已超过492天没有更新。某些文章具有时效性,若文章内容或图片资源有错误或已失效,请联系站长。谢谢!
转载请注明本文链接:https://blog.leonshadow.cn/763482/1255.html
© 版权声明
版权声明
1. 本网站名称:Leon的博客
2. 本站永久网址:https://blog.leonshadow.cn
3. 本网站的文章部分内容可能来源于网络,仅供大家学习与参考,如有侵权,请联系站长QQ632113590进行删除处理。
4. 本站一切资源不代表本站立场,并不代表本站赞同其观点和对其真实性负责。
5. 本站一律禁止以任何方式发布或转载任何违法的相关信息,访客发现请向站长举报
6. 本站资源大多存储在云盘,如发现链接失效,请联系我们我们会第一时间更新。
THE END
linux系统
# 安全工具# snort# IDS
喜欢就支持一下吧
点赞0 分享
Leon的博客的头像|leon的博客
HP服务器UEFI安装CentOS7.x后无法引导的问题|leon的博客
HP服务器UEFI安装CentOS7.x后无法引导的问题
HP服务器UEFI安装CentOS7.x后无法引导的问题
6年前 4202
Windows 1909中Windows沙盒和VMWare虚拟机冲突的解决办法|leon的博客
Windows 1909中Windows沙盒和VMWare虚拟机冲突的解决办法
Windows 1909中Windows沙盒和VMWare虚拟机冲突的解决办法
4年前 3978
修复nessus无法导出pdf|leon的博客
修复nessus无法导出pdf
修复nessus无法导出pdf
5年前 3818
自动化部署(kickstart/cobbler)问题总结|leon的博客
自动化部署(kickstart/cobbler)问题总结
自动化部署(kickstart/cobbler)问题总结
7年前 3805
zabbix相关错误及问题总结(五)|leon的博客
zabbix相关错误及问题总结(五)
zabbix相关错误及问题总结(五)
6年前 3231
Centos7中Logstash使用最新版GeoIP并自动更新|leon的博客
Centos7中Logstash使用最新版GeoIP并自动更新
Centos7中Logstash使用最新版GeoIP并自动更新
4年前 2965
相关推荐
Snort部署及使用|leon的博客
Snort部署及使用
Snort部署及使用
6年前 4537
修复nessus无法导出pdf|leon的博客
修复nessus无法导出pdf
修复nessus无法导出pdf
5年前 3818
Centos7中Logstash使用最新版GeoIP并自动更新|leon的博客
Centos7中Logstash使用最新版GeoIP并自动更新
Centos7中Logstash使用最新版GeoIP并自动更新
4年前 2965
KVM简单使用|leon的博客
KVM简单使用
KVM简单使用
7年前 2658
Rancher部署k8s及使用(一)|leon的博客
Rancher部署k8s及使用(一)
Rancher部署k8s及使用(一)
5年前 2656
容器技术(一)—LXC安装及使用|leon的博客
容器技术(一)—LXC安装及使用
容器技术(一)—LXC安装及使用
7年前 2613
开启精彩搜索
用户封面
Leon的博客的头像|leon的博客
最热文章
Snort部署及使用|leon的博客
4537人已阅读
Snort部署及使用
TOP1
HP服务器UEFI安装CentOS7.x后无法引导的问题|leon的博客
HP服务器UEFI安装CentOS7.x后无法引导的问题
6年前4202人已阅读
TOP2
Windows 1909中Windows沙盒和VMWare虚拟机冲突的解决办法|leon的博客
Windows 1909中Windows沙盒和VMWare虚拟机冲突的解决办法
4年前3978人已阅读
TOP3
修复nessus无法导出pdf|leon的博客
修复nessus无法导出pdf
5年前3818人已阅读
TOP4
自动化部署(kickstart/cobbler)问题总结|leon的博客
自动化部署(kickstart/cobbler)问题总结
7年前3805人已阅读
TOP5
zabbix相关错误及问题总结(五)|leon的博客
zabbix相关错误及问题总结(五)
6年前3231人已阅读
TOP6
Centos7中Logstash使用最新版GeoIP并自动更新|leon的博客
Centos7中Logstash使用最新版GeoIP并自动更新
4年前2965人已阅读
TOP7
草根吧论坛部署恢复|leon的博客
草根吧论坛部署恢复
5年前2783人已阅读
TOP8
KVM简单使用|leon的博客
KVM简单使用
7年前2658人已阅读
TOP9
Rancher部署k8s及使用(一)|leon的博客
Rancher部署k8s及使用(一)
5年前2656人已阅读
TOP10
标签云
黑客 (1)高可用 (6)靶场 (4)防火墙 (6)问题汇总 (3)镜像 (2)远程控制卡 (1)负载均衡 (3)读写分离 (1)语言 (1)证书 (1)论坛 (1)蚁剑 (1)虚拟机 (1)虚拟化 (9)草根吧 (1)自动化 (9)腾讯云 (1)网络安全 (47)网络 (1)网盘 (2)编程语言 (3)缓存 (4)经验总结 (1)系统 (1)硬件 (1)破解 (2)监控 (9)病毒 (6)版本控制 (5)激活 (1)漏洞扫描 (6)漏洞 (6) (1)渗透 (3)浏览器 (2)沙盒 (1)框架 (10)木马 (6)服务器硬件 (1)暴力破解 (5)日志 (1)数据库 (31)提权 (2)持久化 (7)批量管理 (9)性能 (6)开发 (25)