如何在 Linux 系统上安装 Suricata 入侵检测系统
由于安全威胁持续不断,配备入侵检测系统(IDS)已成为如今数据中心环境下最重要的要求之一。然而,随着越来越多的服务器将网卡升级到10GB/40GB以太网技术,我们越来越难在大众化硬件上以线速实施计算密集型入侵检测。本篇文章将演示如何在linux服务器上安装和配置Suricata IDS。在linux上安装Suricata IDS不妨用源代码构建Suricata。你先要安装几个所需的依赖项,如下所示。在Debian、Ubuntu或linux Mint上安装依赖项$ sudo apt-get install wget build-essential libpcre3-dev libpcre3-dbg automake autoconf libtool libpcap-dev libnet1-dev libyaml-dev zlib1g-dev libcap-ng-dev libjansson-dev在CentOS、Fedora或RHEL上安装依赖项$ sudo yum install wget libpcap-devel libnet-devel pcre-devel gcc-c++ automake autoconf libtool make libyaml-devel zlib-devel file-devel jansson-devel nss-devel一旦你安装了所有必需的程序包,现在可以安装Suricata了,如下所示。首先,从suricata-ids(https://)安装可用的社区规则集的最新快照,并将它们存储在/etc/suricata/rules下。首次配置Suricata IDS现在就可以配置Suricata了。配置文件位于/etc/suricata/suricata.yaml。使用文本编辑工具打开文件,以便编辑。$ sudo vi /etc/suricata/suricata.yaml下面是一些基本的设置,供你开始入门。“default-log-dir”关键字应该指向Suricata日志文件的位置。default-log-dir: /var/log/suricata/在“vars”这部分下面,你会找到Suricata使用的几个重要变量。“HOME_NET”应该指向由Suricata检查的本地网络。“!$HOME_NET”(被分配给EXTERNAL_NET)指本地网络以外的任何网络。“XXX_PORTS”表明不同服务所使用的一个或多个端口号。请注意:不管使用哪个端口, Suricata都能自动检测HTTP流量。所以,正确指定HTTP_PORTS变量并不是很重要。vars:HOME_NET: [192.168.122.0/24]EXTERNAL_NET: !$HOME_NETHTTP_PORTS: 80SHELLCODE_PORTS: !80SSH_PORTS: 22“host-os-policy”这部分用来防范一些利用操作系统的网络堆栈的行为(比如TCP重组)来规避检测的常见攻击。作为一项应对措施,现代IDS想出了所谓的“基于目标的”检测,检查引擎根据流量的目标操作系统,对检测算法进行微调。因而,如果你知道每个本地主机运行什么操作系统,就可以将该信息提供给Suricata,从而有望提高其检测速度。这时候用到了“host-os-policy“部分。在该例子中,默认的IDS策略是linux;如果不知道某个IP地址的操作系统信息,Suricata就会运用基于linux的检查策略。如果捕获到192.168.122.0/28和192.168.122.155的流量,Suricata就会运用基于Windows的检查策略。host-os-policy:# 这些是Windows机器。windows: [192.168.122.0/28, 192.168.122.155]bsd: []bsd-right: []old-linux: []# 将linux作为默认策略。linux: [0.0.0.0/0]old-solaris: []solaris: [::1]hpux10: []hpux11: []irix: []macos: []vista: []windows2k3: []在“threading”这部分下面,你可以为不同的Suricata线程指定CPU亲和性(CPU affinity)。默认情况下,CPU亲和性被禁用(“set-cpu-affinity: no”),这意味着Suricata线程将被安排在任何可用的CPU核心上。默认情况下,Suricata会为每个CPU核心创建一个“检测”线程。你可以调整这个行为,只要指定“detect-thread-ratio: N”。这会创建N x M个检测 线程,其中M是指主机上CPU核心的总数。
1.概述 入侵检测(Intrusion Detection),顾名思义,便是对入侵行为的发觉。它通过对计算机网络或计算机系统中的若干关键点收集信息并对其进行分析,从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。进行入侵检测的软件与硬件的...
由于安全威胁持续不断,配备入侵检测系统(IDS)已成为如今数据中心环境下最重要的要求之一。然而,随着越来越多的服务器将网卡升级到10GB/40GB以太网技术,我们越来越难在大众化硬件上以线速实施计算密集型入侵检测。 本篇文章将演示如何在linux服务器上安装和配置Suricata IDS。 在linux上安装Suricata IDS 不妨用源代码构建Suricata。你先要安装几个所需的依赖项,如下所示。 在Debian、Ubuntu或linux Mint上安装依赖项 $ sudo apt-get install wget build-essential libpcre3-dev libpcre3-dbg automake autoconf libtool libpcap-dev libnet1-dev libyaml-dev zlib1g-dev libcap-ng-dev libjansson-dev在CentOS、Fedora或RHEL上安装依赖项 $ sudo yum install wget libpcap-devel libnet-devel pcre-devel gcc-c++ automake autoconf libtool make libyaml-devel zlib-devel file-devel jansson-devel nss-devel一旦你安装了所有必需的程序包,现在可以安装Suricata了,如下所示。 首先,从suricata-ids(https://)安装可用的社区规则集的最新快照,并将它们存储在/etc/suricata/rules下。 首次配置Suricata IDS 现在就可以配置Suricata了。配置文件位于/etc/suricata/suricata.yaml。使用文本编辑工具打开文件,以便编辑。 $ sudo vi /etc/suricata/suricata.yaml 下面是一些基本的设置,供你开始入门。 “default-log-dir”关键字应该指向Suricata日志文件的位置。 default-log-dir: /var/log/suricata/在“vars”这部分下面,你会找到Suricata使用的几个重要变量。“HOME_NET”应该指向由Suricata检查的本地网络。“!$HOME_NET”(被分配给EXTERNAL_NET)指本地网络以外的任何网络。“XXX_PORTS”表明不同服务所使用的一个或多个端口号。请注意:不管使用哪个端口, Suricata都能自动检测HTTP流量。所以,正确指定HTTP_PORTS变量并不是很重要。 vars:HOME_NET: [192.168.122.0/24]EXTERNAL_NET: !$HOME_NETHTTP_PORTS: 80SHELLCODE_PORTS: !80SSH_PORTS: 22“host-os-policy”这部分用来防范一些利用操作系统的网络堆栈的行为(比如TCP重组)来规避检测的常见攻击。作为一项应对措施,现代IDS想出了所谓的“基于目标的”检测,检查引擎根据流量的目标操作系统,对检测算法进行微调。因而,如果你知道每个本地主机运行什么操作系统,就可以将该信息提供给Suricata,从而有望提高其检测速度。这时候用到了“host-os-policy“部分。在该例子中,默认的IDS策略是linux;如果不知道某个IP地址的操作系统信息,Suricata就会运用基于linux的检查策略。如果捕获到192.168.122.0/28和192.168.122.155的流量,Suricata就会运用基于Windows的检查策略。 host-os-policy:# 这些是Windows机器。windows: [192.168.122.0/28, 192.168.122.155]bsd: []bsd-right: []old-linux: []# 将linux作为默认策略。linux: [0.0.0.0/0]old-solaris: []solaris: [::1]hpux10: []hpux11: []irix: []macos: []vista: []windows2k3: []在“threading”这部分下面,你可以为不同的Suricata线程指定CPU亲和性(CPU affinity)。默认情况下,CPU亲和性被禁用(“set-cpu-affinity: no”),这意味着Suricata线程将被安排在任何可用的CPU核心上。默认情况下,Suricata会为每个CPU核心创建一个“检测”线程。你可以调整这个行为,只要指定“detect-thread-ratio: N”。这会创建N x M个检测 线程,其中M是指主机上CPU核心的总数。尘舒贝立: Windows与Linux双系统安装方法:准备工具: 1.一个大于等于1G的U盘. 2.制作安装盘,使用UltraISO. 前期准备: 1. 首先打开UltraISO,导入系统镜像 2.然后依次点击“启动”——“写入硬盘映像”3.建议先“格式化”,然后再点击“写入...
建华区19735349080: 如何在linux下安装mysql数据库并配置 - ?
尘舒贝立: 在linux下安装mysql数据库并配置的流程比较繁琐,需要耐心调试,具体方法和步骤如下:1.查找以前是否安装有mysql,使用下面命令:rpm -qa|grep -i mysql 如果显示有如下包则说明已安装mysql mysql-4.1.12-3.RHEL4.1 mysqlclient10-3.23.58-4...
建华区19735349080: LINUX系统下怎么安装WINDOWS 7 - ?
尘舒贝立: 直接安装是不行的,你需要用Nero等软件(linux下应该也有类似的工具),压缩成镜像文件,然后再刻录到盘上.开机启动安装.另外如果你先装的linux,再装win7.启动选项里不会再有linux.也就是主引导分区记录里没有linux系统的条目了....
建华区19735349080: Linux系统怎么安装? - ?
尘舒贝立: Linux安装前的准备工作 1.用Windows系统收集硬件信息 在安装Linux之前,您需要借助Windows系统了解计算机硬件的基本信息,如内存大小、声卡、显示器、鼠标和显卡型号等. 2.设置从光盘引导系统 Linux支持几种安装方式,但直接以光盘...
建华区19735349080: 请问各位电脑高手如何在linux下安装NS2软件呢??
尘舒贝立: 一.ns2的安装方式 1.windows下安装ns2:需要VC环境,而且要手工安装每一个包,比较繁琐,不常使用. 2.allinone安装:也就是 all in one,把所有的包都放到了一起,只要执行install就可以一步到底,需要linux环境.这种方式比较常用. ...
建华区19735349080: 如何在Linux系统下安装软件? - ?
尘舒贝立: 在windows下安装软件大家都觉得很容易,只要双击setup或是install的图标,然后跟着向导一步一步的按提示做就可以了,但是在linux下安装软件就不像windows下那样容易了,有时你找到的是没有编译过的软件源码,那就更加的麻烦了,这里...
建华区19735349080: 怎么在linux下安装软件? - ?
尘舒贝立: 呵呵,这个好多人问过的,可以用来赚分呀^o^ 源代码包要先编译,再安装!1.先解压,对于tar.bz2结尾的:tar -jxvf packagename.tar.bz2 其中packagename是你的软件包名称,可以用tab自动补全.2.配置 进入解压后的目录,运行: ./configure...
建华区19735349080: 如何在Linux系统中安装Tools - ?
尘舒贝立: VMware Tools是VMware虚拟机中自带的增强工具包,用于增强虚拟机显卡与硬盘性能、同步虚拟机与主机的时钟时间、最主要的是可以支持虚拟机与主机之间的文件拖拽传输.本回答的详细的图文介绍可参考linuxprobe.com/chapter-01.html上...
建华区19735349080: 怎样在Linux里装软件??
尘舒贝立: 一、RPM文件的安装 RPM是RedHat Package Manager(RedHat软件包管理工具)的缩写,这一文件格式名称虽然打上了RedHat的标志,但是其原始设计理念是开放式的,现在包括OpenLinux、S.u.S.E.以及Turbo Linux等Linux的分发版本都有采...
建华区19735349080: 怎么在linux 系统下 通过 win iso安装系统 - ?
尘舒贝立: 查看win10系统版本,并更新到最新版本.设置->更新和安全->windows更新(左侧).开启win10开发者模式.开启windows功能.按win+x键->选择控制面板(或者直接打开控制面板)->启用或关闭windows功能->适用于Linux的windows子系统...
