centos平台基于snort、barnyard2以及base的IDS(入侵检测系统)的搭建与测试及所遇问题汇总

时间:2023-06-23 10:26:19

centos平台基于snort、barnyard2以及base的IDS(入侵检测系统)的搭建与测试及所遇问题汇总

原创 2016年12月19日 01:20:03
  • 2847

一、基本环境 
虚拟机工具:Vmware Workstation Pro 12 
Centos版本:CentOS-7-x86_64-Minimal-1511 
Snort版本:snort-2.9.9.0 
Barnyard2版本:barnyard2-1.9 
Base版本:base-1.4.5

二、IDS系统搭建 
1、安装wget工具

[root@localhost alankong]# yum install -y wget
  • 1

2、更换为阿里云的源

[root@localhost alankong]# wget -O /etc/yum.repos.d/CentOS-Base.repo http://mirrors.aliyun.com/repo/Centos-6.repo
[root@localhost alankong]# yum clean all
[root@localhost alankong]# yum makecache
[root@localhost alankong]# yum -y update
  • 1
  • 2
  • 3
  • 4

其中 
yum clean all的意思是:yum clean, yum clean all (= yum clean packages; yum clean oldheaders) 清除缓存目录下的软件包及旧的headers

yum makecache的意思是:将服务器上的软件包信息 现在本地缓存,以提高 搜索 安装软件的速度

yum -y update的意思是:升级所有包,改变软件设置和系统设置,系统版本内核都升级(yum -y upgrade:升级所有包,不改变软件设置和系统设置,系统版本升级,内核不改变)

3、安装epel源

[root@localhost alankong]# yum install -y epel-release
  • 1
  • 2

yum install -y epel-release意思是:安装epel源,EPEL,即ExtraPackages for Enterprise Linux,这个软件仓库里有很多非常常用的软件,而且是专门针对RHEL(Red Hat Enterprise Linux,Red Hat的linux系统)设计的,对RHEL标准yum源是一个很好的补充,完全免费使用,由Fedora项目维护,EPEL 包含一个叫做epel-release的包,这个包包含了EPEL源的gpg密钥和软件源信息。可以通过yum安装到企业版Linux发行版上。

4、安装基本环境和依赖包

[root@localhost alankong]# yum install -y gcc gcc-c++flex bison zlib* libxml2 libpcap* pcre* tcpdump git libtool curl man make
  • 1

5、解压并安装libdnet、DAQ、snort 
libdnet、DAQ、snort的源文件可下载点我

libdnet:
[root@localhost alankong]# cd /usr/local/src
[root@localhost src]# tar -zxvf /home/alankong/Desktop/IDS/libdnet-1.11.tar.gz
[root@localhost src]# cd libdnet-1.11/
[root@localhost libdnet-1.11]# ./configure
[root@localhost libdnet-1.11]# make && make install
  • 1
  • 2
  • 3
  • 4
  • 5
  • 6

注: 
libdnet 提供了简单、可移植的接口来操作底层网络,包括: 
网址操作 
内核 arp(4) 缓存和 route(4) 表查找和操作 
网络防火墙 (IP filter, ipfw, ipchains, pf, PktFilter, …) 
网络接口查找和操作 
IP tunnelling (BSD/Linux tun, Universal TUN/TAP device) 
原始 IP包和以太网帧传输

支持的编程语言: 
C, C++ 
Python 
Perl, Ruby (see below)

支持的平台: 
BSD (OpenBSD, FreeBSD, NetBSD, BSD/OS) 
Linux (Redhat, Debian, Slackware, etc.) 
MacOS X 
Windows (NT/2000/XP) 
Solaris 
IRIX 
HP-UX 
Tru64 
项目主页:http://www.open-open.com/lib/view/home/1383872481040

DAQ
[root@localhost src]# tar -zxvf /home/alankong/Desktop/IDS/daq-2.0.6.tar.gz
[root@localhost src]# ./configure
[root@localhost src]# make && make install
  • 1
  • 2
  • 3
  • 4
snort
[root@localhost src]# tar -zxvf /home/alankong/Desktop/IDS/snort-2.9.9.0.tar.gz
[root@localhost src]# ./configure --enable-sourcefire
[root@localhost src]# make && make install
  • 1
  • 2
  • 3
  • 4

6、配置snort 
(1)新建/etc/snort文件夹并复制配置文件到当前目录

[root@localhost usr]# mkdir /etc/snort
[root@localhost usr]# cd /etc/snort
[root@localhost snort]# cp /usr/local/src/snort-2.9.9.0/etc/* .
  • 1
  • 2
  • 3

(2)把规则包解压到当前目录 
点我下载

[root@localhost snort]# tar -zvxf /home/alankong/Desktop/IDS/snortrules-snapshot-2990.tar.gz
  • 1

(3)在/etc/snort/rules下新建white_list.rules和black_list.rules两个文件

[root@localhost snort]# touch /etc/snort/rules/white_list.rules /etc/snort/rules/black_list.rules
  • 1
  • 2

(4)编辑snort配置文件 
(不太会用vi,用的是gedit)

[root@localhost snort]# gedit /etc/snort/snort.conf
  • 1

其中需要修改的内容如下所示: 
45行 ipvar HOME_NET any > ipvar HOME_NET 192.168.x.x 你的的IP网段,写成CIDR格式,可以添加多个网段 
举例:ipvar HOME_NET [192.168.0.0/16,172.16.0.0/16]

ipvar EXTERNAL_NET any > ipvar EXTERNAL_NET!$HOME_NET

104行 var RULE_PATH ../ruls > var RULE_PATH /etc/snort/rules

105行 var SO_RULE_PATH ../so_rules > var SO_RULE_PATH /etc/snort/so_rules

106行 var PREPROC_RULE_PATH ../preproc_rules > var PREPROC_RULE_PATH/etc/snort/preproc_rules

113行 var WHITE_LIST_PATH ../rules > 109 varWHITE_LIST_PATH /etc/snort/rules

114行 var BLACK_LIST_PATH ../rules > 110 var BLACK_LIST_PATH /etc/snort/rules

设置log目录属组 snort.snort: 
config logdir :/var/log/snort(记得去掉前面的注释:#)

配置输出插件: 
到521行修改成如下内容:output unified2:filename snort.log,limit 128(同样记得去掉前面的注释:#)

7、添加用户和组 
注: 
创建用户、组、设置权限因为在root身份下解包的文件权限都是跟root有关,所以要修改成snort用户的属主和相关权限。 
简单讲用户组的作用就是: 
因为linux 是多人多任务系统 所有可能有很多人在主机人作业。 
比如 有A B C D 4个人 在linux主机上作业, A B C 3个人 在做同一个项目 建了一个文件夹 
这个文件只能A B C 3个人进入,不能让其他用户进入 ,所有就出来用户组了, 
那么那个D 就 是非用户组了。

[root@localhost snort]# groupadd -g 40000 snort
[root@localhost snort]# useradd snort -u 40000 -d /var/log/snort -s /sbin/nologin -c SNORT_IDS -g snort
  • 1
  • 2

查看未修改属主之前的情况:

[root@localhost snort]# ls -l
  • 1

[root@localhost snort]# ls -l 
total 344 
-rw-r–r–. 1 root root 1281 Dec 18 12:55 attribute_table.dtd 
-rw-r–r–. 1 root root 3757 Dec 18 12:55 classification.config 
drwxr-xr-x. 3 1210 1210 4096 Sep 23 2010 doc 
drwxr-xr-x. 2 1210 1210 4096 Sep 23 2010 etc 
-rw-r–r–. 1 root root 23058 Dec 18 12:55 file_magic.conf 
-rw-r–r–. 1 root root 31971 Dec 18 12:55 gen-msg.map 
-rw-r–r–. 1 root root 13429 Dec 18 12:55 Makefile 
-rw-r–r–. 1 root root 190 Dec 18 12:55 Makefile.am 
-rw-r–r–. 1 root root 12306 Dec 18 12:55 Makefile.in 
drwxr-xr-x. 2 1210 1210 4096 Sep 23 2010 preproc_rules 
-rw-r–r–. 1 root root 687 Dec 18 12:55 reference.config 
drwxr-xr-x. 2 1210 1210 4096 Dec 18 13:01 rules 
-rw-r–r–. 1 root root 26882 Dec 18 13:11 snort.conf 
-rw-r–r–. 1 root root 26882 Dec 18 13:10 snort.conf~ 
drwxr-xr-x. 4 1210 1210 4096 Sep 23 2010 so_rules 
-rw-r–r–. 1 root root 2335 Dec 18 12:55 threshold.conf 
-rw-r–r–. 1 root root 160606 Dec 18 12:55 unicode.map

修改属主并再次查看属主情况:

[root@localhost snort]# chown -R snort:snort *
[root@localhost snort]# ls -l
  • 1
  • 2
  • 3

[root@localhost snort]# ls -l 
total 344 
-rw-r–r–. 1 snort snort 1281 Dec 18 12:55 attribute_table.dtd 
-rw-r–r–. 1 snort snort 3757 Dec 18 12:55 classification.config 
drwxr-xr-x. 3 snort snort 4096 Sep 23 2010 doc 
drwxr-xr-x. 2 snort snort 4096 Sep 23 2010 etc 
-rw-r–r–. 1 snort snort 23058 Dec 18 12:55 file_magic.conf 
-rw-r–r–. 1 snort snort 31971 Dec 18 12:55 gen-msg.map 
-rw-r–r–. 1 snort snort 13429 Dec 18 12:55 Makefile 
-rw-r–r–. 1 snort snort 190 Dec 18 12:55 Makefile.am 
-rw-r–r–. 1 snort snort 12306 Dec 18 12:55 Makefile.in 
drwxr-xr-x. 2 snort snort 4096 Sep 23 2010 preproc_rules 
-rw-r–r–. 1 snort snort 687 Dec 18 12:55 reference.config 
drwxr-xr-x. 2 snort snort 4096 Dec 18 13:01 rules 
-rw-r–r–. 1 snort snort 26882 Dec 18 13:11 snort.conf 
-rw-r–r–. 1 snort snort 26882 Dec 18 13:10 snort.conf~ 
drwxr-xr-x. 4 snort snort 4096 Sep 23 2010 so_rules 
-rw-r–r–. 1 snort snort 2335 Dec 18 12:55 threshold.conf 
-rw-r–r–. 1 snort snort 160606 Dec 18 12:55 unicode.map

8、设置开机自动启动snort

[root@localhost snort]# cd /usr/local/src/snort-2.9.9.0/rpm
[root@localhost rpm]# cp snortd /etc/init.d/snortd
[root@localhost rpm]# cp /usr/local/src/snort-2.9.9.0/rpm/snort.sysconfig /etc/sysconfig/snort
[root@localhost rpm]# chkconfig --add /etc/init.d/snortd
[root@localhost rpm]# chkconfig snortd on
  • 1
  • 2
  • 3
  • 4
  • 5

9、新建链接文件

就像是配置环境变量一样,在/usr/sbin/目录中新建连接文件snort

[root@localhost rpm]# cd /usr/sbin
[root@localhost sbin]# ln -s /usr/local/bin/snort snort
  • 1
  • 2

10、新建目录设置权限

[root@localhost sbin]# mkdir -p /usr/local/lib/snort_dynamicrules
[root@localhost sbin]# chown -R snort:snort /usr/local/lib/snort_dynamicrules
[root@localhost sbin]# chown -R 755 /usr/local/lib/snort_dynamicrules
  • 1
  • 2
  • 3

11、测试当前snort是否可用

[root@localhost snort]# snort -T -i eht0 -u snort -g snort -c /etc/snort/snort.conf
  • 1
  • 2

会报这样的错: 
ERROR: /etc/snort//etc/snort/rules/app-detect.rules(0) Unable to open rules file “/etc/snort//etc/snort/rules/app-detect.rules”: No such file or directory. 
这是因为如下图所示,snort.conf中的rule多于规则包中的rule,应该是版本不匹配的问题,但是目前我还没有找到对应的版本,所以我的办法是对应着将snort.conf中多于的rule给注释掉(如果再次遇到某些rule有问题,我目前的办法是直接注释掉): 
centos平台基于snort、barnyard2以及base的IDS(入侵检测系统)的搭建与测试及所遇问题汇总

成功的结果: 
centos平台基于snort、barnyard2以及base的IDS(入侵检测系统)的搭建与测试及所遇问题汇总

12、添加一条规则进行测试

[root@localhost snort]# gedit /etc/snort/rules/local.rules
  • 1

添加如下规则: 
alert icmp any any -> $HOME_NET any (msg:”Ping”;sid:1000003;rev:1;)

Ping Snort主机,使其产生alert 
在Snort主机上操作:

snort -i eth0 -c /etc/snort/snort.conf -A fast-l /var/log/snort/
  • 1

可以在alert中产生告警,用下面命令查看:

[root@localhost snort]# cd /var/log/snort/
[root@localhost snort]# tail -f ./alert
  • 1
  • 2

会看到: 
centos平台基于snort、barnyard2以及base的IDS(入侵检测系统)的搭建与测试及所遇问题汇总

13、安装mysql

[root@localhost snort]# yum install -y mysql-server mysql-devel php-mysql php-adodb php-pear php-gd libtool php-imapphp-ldap php-mbstring php-odbc php-pear php-xml php-pecl-apc
[root@localhost snort]# chkconfig --levels 235 mysqld on
[root@localhost snort]# /etc/init.d/mysqld start
  • 1
  • 2
  • 3

给mysql赋值密码(密码就是mysql):

[root@localhost snort]# /usr/bin/mysqladmin -u root password 'mysql' 
  • 1

14、建立snort数据库名设置权限 
这个数据库主要是用于专门保存snort的一些数据。 
进入数据库:

[root@localhost snort]# mysql -u root -p
Enter password:
  • 1
  • 2

创建数据库等:

mysql> create database snort;
Query OK, 1 row affected (0.00 sec) mysql> use snort;
Database changed mysql> create user 'snort'@'localhost' IDENTIFIED BY 'mysql';
Query OK, 0 rows affected (0.00 sec)
  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
  • 7
  • 8

创建名为snort、密码为mysql的数据库用户并赋予名为snort数据库权限

mysql> grant create,select,update,insert,delete on snort.* to snort@localhost identified by 'mysql';
Query OK, 0 rows affected (0.00 sec)
mysql> set password for 'snort'@'localhost'=password('mysql');
Query OK, 0 rows affected (0.00 sec)
  • 1
  • 2
  • 3
  • 4
  • 5

(可以在一个新的terminal中执行)乱入一点内容,此时要先解压barnyard2,因为这里面有创建数据库的文件,而barnyard本身的作用是将snort生成的数据导入到数据库中: 
点我下载barnyard

[root@localhost src]# tar -zxvf /home/alankong/Desktop/IDS/barnyard2-1.9.tar.gz 
  • 1

回到建立数据库的内容:

mysql> use snort;
Database changed
mysql> source /usr/local/src/barnyard2-1.9/schemas/create_mysql; mysql> show tables;
+------------------+
| Tables_in_snort |
+------------------+
| data |
| detail |
| encoding |
| event |
| icmphdr |
| iphdr |
| opt |
| reference |
| reference_system |
| schema |
| sensor |
| sig_class |
| sig_reference |
| signature |
| tcphdr |
| udphdr |
+------------------+
16 rows in set (0.01 sec)
  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
  • 7
  • 8
  • 9
  • 10
  • 11
  • 12
  • 13
  • 14
  • 15
  • 16
  • 17
  • 18
  • 19
  • 20
  • 21
  • 22
  • 23
  • 24
  • 25
  • 26
  • 27

最后:

mysql> flush privileges;
Query OK, 0 rows affected (0.00 sec) mysql> exit
Bye
  • 1
  • 2
  • 3
  • 4
  • 5

注: 
flush privileges是刷新数据库权限,防止出现拒绝访问的问题。

15、安装配置Barnyard2 
正如上面所说:Barnyard2的作用是读取snort产生的二进制事件文件并存储到MySQL。

刚刚我们已经解压了这个文件,所以就直接进入下一个环节。 
安装:

[root@localhost barnyard2-1.9]# ./configure --with-mysql --with-mysql-libraries=/usr/lib64/mysql
[root@localhost barnyard2-1.9]# make && make install
  • 1
  • 2

配置: 
首先创建目录和文件:

[root@localhost barnyard2-1.9]# mkdir /var/log/barnyard2
[root@localhost barnyard2-1.9]# touch /var/log/snort/barnyard2.waldo
  • 1
  • 2

查看和设置属主:

查看:
[root@localhost barnyard2-1.9]# ls -l /var/log/snort/barnyard2.waldo
-rw-r--r--. 1 root root 0 Dec 18 14:24 /var/log/snort/barnyard2.waldo
设置:
[root@localhost barnyard2-1.9]# chown snort.snort /var/log/snort/barnyard2.waldo
[root@localhost barnyard2-1.9]# ls -l /var/log/snort/barnyard2.waldo
-rw-r--r--. 1 snort snort 0 Dec 18 14:24 /var/log/snort/barnyard2.waldo
  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
  • 7

将barnyard2的配置模板文件复制到/etc/snort目录下:

[root@localhost barnyard2-1.9]# cp /usr/local/src/barnyard2-1.9/etc/barnyard2.conf /etc/snort
  • 1

修改配置文件:

[root@localhost barnyard2-1.9]# gedit /etc/snort/barnyard2.conf
  • 1

要修改的内容如下所示: 
config logdir:/var/log/barnyard2 \该目录权限snort.snort(记得去掉注释)

config hostname: localhost(记得去掉注释)

config interface: eth0(记得去掉注释)

config waldo_file:/var/log/snort/barnyard2.waldo(记得去掉注释)

output database: log,mysql,user=snort password=mysql dbname=snort host=localhost(记得去掉注释)

编辑完成后保存退出。

新建一个文件:

[root@localhost barnyard2-1.9]# touch /var/log/snort/barnyard2.waldo 
  • 1

同样修改属主:

[root@localhost barnyard2-1.9]# touch /var/log/snort/barnyard2.waldo
[root@localhost barnyard2-1.9]# chown snort.snort /var/log/barnyard2
[root@localhost barnyard2-1.9]# chown snort.snort /var/log/snort/barnyard2.waldo
[root@localhost barnyard2-1.9]# cp /etc/snort/etc/sid-msg.map /etc/snort
  • 1
  • 2
  • 3
  • 4

16、snort和barnyard2联合测试 
首先:

snort -q -u snort -g snort -c /etc/snort/snort.conf -i eth0 -D
  • 1

不会看到输出结果,因为程序在后台运行,-D 参数表示后台运行 
其次ping主机。 继续运行以下内容:

barnyard2 -c /etc/snort/barnyard2.conf -d /var/log/snort -f snort.log -w /var/log/snort/barnyard2.waldo -g snort -u snort
  • 1

结果: 
centos平台基于snort、barnyard2以及base的IDS(入侵检测系统)的搭建与测试及所遇问题汇总 
以及如下: 
centos平台基于snort、barnyard2以及base的IDS(入侵检测系统)的搭建与测试及所遇问题汇总 
按ctrl+c终止测试

如果遇到这个问题: 
ERROR: Unable to open log spool file ‘/var/log/snort/snort.log.1482098157’ (Permission denied) 
Closing spool file ‘/var/log/snort/snort.log.1482098157’. Read 0 records 
ERROR: Unable to create spooler! 
可以再次执行如下代码给予权限:

[root@localhost src]# chown -R snort:snort /var/log/snort
  • 1

17、安装LAMP组件

[root@localhost alankong]# yum install -y httpd mysql-server php php-mysql php-mbstring php-mcrypt mysql-devel php-gd
  • 1
  • 2

18、安装php插件

[root@localhost alankong]# yum install -y mcrypt libmcrypt libmcrypt-devel
  • 1

19、安装pear插件

[root@localhost alankong]# yum install -y php-pear
[root@localhost alankong]# pear channel-update pear.php.net
[root@localhost alankong]# pear install mail
[root@localhost alankong]# pear install Image_Graph-alpha Image_Canvas-alpha Image_Color Numbers_Roman
[root@localhost alankong]# pear install mail_mime
  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
  • 7

20、安装adodb 
点我下载

[root@localhost alankong]# tar -zxvf /home/alankong/Desktop/IDS/adodb519.tar.gz -C /var/www/html
[root@localhost alankong]# mv /var/www/html/adodb5 /var/www/html/adodb
  • 1
  • 2
  • 3

21、安装base 
点我下载

[root@localhost alankong]# tar -zxvf /home/alankong/Desktop/IDS/base-1.4.5.tar.gz -C /var/www/html
[root@localhost alankong]# mv /var/www/html/base-1.4.5 /var/www/html/base
  • 1
  • 2

22、修改php.ini

[root@localhost alankong]# gedit /etc/php.ini
  • 1
  • 2

修改: 
error_reporting = E_ALL & ~E_NOTICE

23、设置html目录权限以及adodb的权限

[root@localhost alankong]# chmod 755 /var/www/html/adodb
[root@localhost snort]# chmod 755 /var/www/html/adodb
  • 1
  • 2

24、配置base 
启动mysql 
启动apache 
关闭防火墙 

[root@localhost alankong]# service mysqld start
Starting mysqld: [ OK ]
[root@localhost alankong]# service httpd start
Starting httpd: httpd: Could not reliably determine the server's fully qualified domain name, using localhost.localdomain for ServerName
[ OK ]
[root@localhost alankong]# service iptables stop
iptables: Setting chains to policy ACCEPT: filter [ OK ]
iptables: Flushing firewall rules: [ OK ]
iptables: Unloading modules: [ OK ]
  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
  • 7
  • 8
  • 9

用浏览器打开http://localhost/base/setup/index.php 
然后如下图的顺序进行: 
centos平台基于snort、barnyard2以及base的IDS(入侵检测系统)的搭建与测试及所遇问题汇总
centos平台基于snort、barnyard2以及base的IDS(入侵检测系统)的搭建与测试及所遇问题汇总
配置数据库: 
centos平台基于snort、barnyard2以及base的IDS(入侵检测系统)的搭建与测试及所遇问题汇总
设置admin用户和密码(为方便记住,和mysql一致): 
centos平台基于snort、barnyard2以及base的IDS(入侵检测系统)的搭建与测试及所遇问题汇总
点击create: 
centos平台基于snort、barnyard2以及base的IDS(入侵检测系统)的搭建与测试及所遇问题汇总
成功: 
centos平台基于snort、barnyard2以及base的IDS(入侵检测系统)的搭建与测试及所遇问题汇总
点击上图第五步之后: 
centos平台基于snort、barnyard2以及base的IDS(入侵检测系统)的搭建与测试及所遇问题汇总

25、最终测试 
重复16步的测试,在网址http://localhost/base/setup/index.php可看到: 
centos平台基于snort、barnyard2以及base的IDS(入侵检测系统)的搭建与测试及所遇问题汇总

26、参考:

1、http://www.iitshare.com/cannot-find-libmysqlclient-under-usr.html 
2、http://www.secbox.cn/skill/8796.html 
3、http://blog.csdn.net/u011542994/article/details/46409631 
4、https://linux.cn/thread-15661-1-1.html 
5、http://wenku.baidu.com/link?url=jhmJ8CT5tb54Los5sdam3AJJw4-4poc8PJE7-7gJNjvWE37IiuXRRk5_DKWg5j0Ao_2TZH0KbBy6XqwG8X3dg370xEoaCJvhmRZCr1TEL73 
6、http://www.xitongzhijia.net/linux/201412/33603.html#download 
7、www.google.com