1、环境

ubuntu-14.04.5
daq-2.0.7
Snort-2.9.15.1
Barbyard2
snorby
Mysql
Docker

2、架构

3、安装步骤

Ubuntu配置

  如果是刚安装好的Ubuntu系统,需要执行下面的步骤,否则可以忽略,视自己实际环境而定。
sudo apt-get update

sudo apt-get dist-upgrade -y

sudo apt-get install -y openssh-server

sudo reboot

安装snort依赖

  snort运行前提已安装:pcap、PCRE、Libdnet、DAQ。

sudo apt-get install -y build-essential

sudo apt-get install -y libpcap-dev libpcre3-dev libdumbnet-dev

sudo apt-get install -y bison flex

mkdir ~/snort_src

cd ~/snort_src

安装DAQ (Data AcQuisition library)

cd ~/snort_src

wget https://snort.org/downloads/snort/daq-2.0.7.tar.gz

tar -xvzf daq-2.0.7.tar.gz

cd daq-2.0.7

./configure

make

sudo make install
sudo apt-get install -y zlib1g-dev liblzma-dev openssl libssl-dev
Ubuntu 16 执行(Ubuntu 14 不执行)

sudo apt-get install -y libnghttp2-dev
Ubuntu 14 执行(Ubuntu 16 不执行)

sudo apt-get install -y autoconf libtool pkg-config

cd ~/snort_src

wget https://github.com/nghttp2/nghttp2/releases/download/v1.17.0/nghttp2-1.17.0.tar.gz

tar -xzvf nghttp2-1.17.0.tar.gz

cd nghttp2-1.17.0

autoreconf -i --force

automake

autoconf

./configure --enable-lib-only

make

sudo make install

安装snort

cd ~/snort_src

wget https://snort.org/downloads/snort/snort-2.9.15.1.tar.gz

tar -xvzf snort-2.9.15.1.tar.gz

cd snort-2.9.15.1

./configure --enable-sourcefire

make

sudo make install

后续配置

sudo ldconfig

sudo ln -s /usr/local/bin/snort /usr/sbin/snort
  如果我们不想使用root运行snort,我们需要创建一个其它账户。我们创建一些文件和目录供snort使用,并且为这些文件和目录设置权限。snort包含以下文件夹:/etc/snort包含配置文件和规则文件。/var/log/snort/包含alert日志。/usr/local/lib/snort_dynamicrules/下包含其他规则。
# Create the snort user and group:

sudo groupadd snort

sudo useradd snort -r -s /sbin/nologin -c SNORT_IDS -g snort

# Create the Snort directories:

sudo mkdir /etc/snort

sudo mkdir /etc/snort/rules

sudo mkdir /etc/snort/rules/iplists

sudo mkdir /etc/snort/preproc_rules

sudo mkdir /usr/local/lib/snort_dynamicrules

sudo mkdir /etc/snort/so_rules

# Create some files that stores rules and ip lists

sudo touch /etc/snort/rules/iplists/black_list.rules

sudo touch /etc/snort/rules/iplists/white_list.rules

sudo touch /etc/snort/rules/local.rules

sudo touch /etc/snort/sid-msg.map

# Create our logging directories:

sudo mkdir /var/log/snort

sudo mkdir /var/log/snort/archived_logs

# Adjust permissions:

sudo chmod -R 5775 /etc/snort

sudo chmod -R 5775 /var/log/snort

sudo chmod -R 5775 /var/log/snort/archived_logs

sudo chmod -R 5775 /etc/snort/so_rules

sudo chmod -R 5775 /usr/local/lib/snort_dynamicrules

# Change Ownership on folders:

sudo chown -R snort:snort /etc/snort

sudo chown -R snort:snort /var/log/snort

sudo chown -R snort:snort /usr/local/lib/snort_dynamicrules

cd ~/snort_src/snort-2.9.15.1/etc/

sudo cp *.conf* /etc/snort

sudo cp *.map /etc/snort

sudo cp *.dtd /etc/snort

cd ~/snort_src/snort-2.9.15.1/src/dynamic-preprocessors/build/usr/local/lib/snort_dynamicpreprocessor/

sudo cp * /usr/local/lib/snort_dynamicpreprocessor/

sudo sed -i "s/include \$RULE\_PATH/#include \$RULE\_PATH/" /etc/snort/snort.conf
sudo vi /etc/snort/snort.conf
  更改第45行信息为自己主机地址。
ipvar HOME_NET 10.0.0.0/24
  更改第104行信息如下:
var RULE_PATH /etc/snort/rules

var SO_RULE_PATH /etc/snort/so_rules

var PREPROC_RULE_PATH /etc/snort/preproc_rules

更改第110行信息如下:

var WHITE_LIST_PATH /etc/snort/rules/iplists

var BLACK_LIST_PATH /etc/snort/rules/iplists
  将第546行注释去掉。
include $RULE_PATH/local.rules

安装Barnyard2

sudo apt-get install -y mysql-server libmysqlclient-dev mysql-client autoconf libtool
  更改/etc/snort/snort.conf第521行为如下:
# unified2

# Recommended for most installs

# output unified2: filename merged.log, limit 128, nostamp, mpls_event_types, vlan_event_types

output unified2: filename snort.u2, limit 128
cd ~/snort_src

wget https://github.com/firnsy/barnyard2/archive/master.tar.gz -O barnyard2-Master.tar.gz

tar zxvf barnyard2-Master.tar.gz

cd barnyard2-master

autoreconf -fvi -I ./m4
sudo ln -s /usr/include/dumbnet.h /usr/include/dnet.h

sudo ldconfig
./configure --with-mysql --with-mysql-libraries=/usr/lib/x86_64-linux-gnu

make

sudo make install
sudo cp ~/snort_src/barnyard2-master/etc/barnyard2.conf /etc/snort/

# the /var/log/barnyard2 folder is never used or referenced

# but barnyard2 will error without it existing

sudo mkdir /var/log/barnyard2

sudo chown snort.snort /var/log/barnyard2

sudo touch /var/log/snort/barnyard2.waldo

sudo chown snort.snort /var/log/snort/barnyard2.waldo
  在/etc/snort/barnyard2.conf配置文件最后一行添加,数据库为snort,如果安装了snorby,可以设置为snorby。
output database: log, mysql, user=Mysql用户名 password=MySql密码 dbname=snort host=localhost sensor name=sensor01
sudo chmod o-r /etc/snort/barnyard2.conf
  运行指令
sudo barnyard2 -c /etc/snort/barnyard2.conf -d /var/log/snort -f snort.u2 -w /var/log/snort/barnyard2.waldo -g snort -u root

安装snorby

  Ubuntu安装Docker可以使用安装脚本自动安装,安装完成后可以使用Docker.
curl -fsSL https://get.docker.com | bash -s docker --mirror Aliyun
  docker安装完毕后安装snorby。
docker pull troptop/docker-snorby
  配置docker镜像参数,参数含义参考:链接
docker run -d --name snorby -p 80:80 --env="MYSQL_HOST=database_ip" --env="MYSQL_USER=snorby" --env="MYSQL_PASSWORD=snorby" --env="MYSQL_DBNAME=snorby" --env="INSTALLDB" --env="MYSQL_ADMIN=root" --env="MYSQL_ADMINPASS=rootpassword" troptop/docker-snorby
  进入docker系统,查看log文件夹下的development.log,看web服务是否运行成功。
docker exec –it snorby bash
  最后在浏览器中访问docker网关地址即可登录snorby。

问题

'aclocal-1.15' is missing on your system

cd ~/snort_src

wget http://ftp.gnu.org/gnu/automake/automake-1.15.tar.gz

tar -xvzf automake-1.15

cd automake-1.15

./configure --docdir=/usr/share/doc/automake-1.15

make

sudo make install

Autoconf 2.65 or better is required

wget http://ftp.gnu.org/gnu/autoconf/autoconf-2.68.tar.gz

tar xzf autoconf-2.68.tar.gz

cd autoconf-2.68

./configure

make

sudo make install

LuaJIT library not found.

sudo wget http://luajit.org/download/LuaJIT-2.0.5.tar.gz

sudo tar -zxvf LuaJIT-2.0.5.tar.gz

cd LuaJIT-2.0.5/

make

sudo make install

possibly undefined macro:AC_PROG_LIBTOOL

#将系统拥有的/usr/share/aclocal中文件拷贝到重复安装路径

cp -rf /usr/share/aclocal/* /usr/local/share/aclocal/

数据库连不上

1、数据库不允许远程连接。

mysql> grant all on *.* to root@'%' identified by '123456' with grant option;

flush privileges;

2、更改mysql的配置文件。

# Instead of skip-networking the default is now to listen only on

 46 # localhost which is more compatible and is not less secure.

 47 bind-address            = 127.0.0.1  # 更改为主机地址。
/etc/init.d/mysql restart   # 重启Mysql服务。

  automake版本变化。在编译daq的时候要求automake1.15,然后在snort编译的时候要求automake1.13.4,如果不切换的话会编译不过去。

Snort + Barbyard2 + Snorby环境搭建的更多相关文章

  1. .NET Core系列 : 1、.NET Core 环境搭建和命令行CLI入门

    2016年6月27日.NET Core & ASP.NET Core 1.0在Redhat峰会上正式发布,社区里涌现了很多文章,我也计划写个系列文章,原因是.NET Core的入门门槛相当高, ...

  2. Azure Service Fabric 开发环境搭建

    微服务体系结构是一种将服务器应用程序构建为一组小型服务的方法,每个服务都按自己的进程运行,并通过 HTTP 和 WebSocket 等协议相互通信.每个微服务都在特定的界定上下文(每服务)中实现特定的 ...

  3. rnandroid环境搭建

    react-native 环境搭建具体步骤这个大家已经玩烂了,这个主要是记录下来自己做win7系统遇到的坑 1.com.android.ddmlib.installexception 遇到这个问题,在 ...

  4. python开发环境搭建

    虽然网上有很多python开发环境搭建的文章,不过重复造轮子还是要的,记录一下过程,方便自己以后配置,也方便正在学习中的同事配置他们的环境. 1.准备好安装包 1)上python官网下载python运 ...

  5. springMVC初探--环境搭建和第一个HelloWorld简单项目

    注:此篇为学习springMVC时,做的笔记整理. MVC框架要做哪些事情? a,将url映射到java类,或者java类的方法上 b,封装用户提交的数据 c,处理请求->调用相关的业务处理—& ...

  6. 【定有惊喜】android程序员如何做自己的API接口?php与android的良好交互(附环境搭建),让前端数据动起来~

    一.写在前面 web开发有前端和后端之分,其实android还是有前端和后端之分.android开发就相当于手机app的前端,一般都是php+android或者jsp+android开发.androi ...

  7. Nexus(一)环境搭建

    昨天,成功搭建了自己的 Maven 环境(详见:Maven(一)环境搭建),今天就来研究和探讨下 Nexus 的搭建! 使用背景: 安装环境:Windows 10 -64位 JDK版本:1.7 Mav ...

  8. 「译」JUnit 5 系列:环境搭建

    原文地址:http://blog.codefx.org/libraries/junit-5-setup/ 原文日期:15, Feb, 2016 译文首发:Linesh 的博客:环境搭建 我的 Gith ...

  9. appium+robotframework环境搭建

    appium+robotframework环境搭建步骤(Windows系统的appium自动化测试,只适用于测试安卓机:ios机需要在mac搭建appium环境后测试) 搭建步骤,共分为3部分: 一. ...

随机推荐

  1. Codeforces Round #627 (Div. 3) C - Frog Jumps(逻辑)

    题意: 有一个每个单元标明移动方向的长为n的序列,每次移动不能超过距离k,问能够从0移动到n+1的k的最小值. 思路: k=最长连续L序列长度+1. #include <bits/stdc++. ...

  2. P3376 【模板】网络最大流——————Q - Marriage Match IV(最短路&最大流)

    第一道题是模板题,下面主要是两种模板,但都用的是Dinic算法(第二个题也是) 第一题: 题意就不需要讲了,直接上代码: vector代码: 1 //invalid types 'int[int]' ...

  3. SPI/QSPI通信协议详解和应用

    SPi是高速全双工的串行总线,通常应用在通讯速率较高的场合. SS:从设备选择信号线,也称片选信号线 每个从设备都有一个独立的SS信号线,信号线独占主机的一个引脚,及有多少个从设备就有多少个片选信号线 ...

  4. 【luogu AT3957】[AGC023F] 01 on Tree

    01 on Tree 题目链接:luogu AT3957 题目大意 有一棵根为 \(1\) 的树,每个节点有个值 \(0\) 或 \(1\). 然后每次你可以把一个没有父亲的点删除,然后把值放进一个数 ...

  5. SpringBoot 中使用 Swagger2 出现 whitelabel page error 解决方法

    今天使用Swagger最新版,在pom.xml引入 <dependency> <groupId>io.springfox</groupId> <artifac ...

  6. 按层次顺序创建二叉树;判断BST

    https://github.com/TouwaErioH/subjects/tree/master/C%2B%2B/PA2 BST 假设已经给定树节点的结构不可修改. 然后输入是按照层次顺序 怎样创 ...

  7. redis持久化-AOF

    1.aof文件写入与同步 2.aof重写 重写的目的是为了减小aof文件的体积,redis服务器可以创建一个新的aof文件来代替现有的aof文件,新文件不会有冗余的命令. BGREWRITEAOF:遍 ...

  8. 计算机网络 part1 TCP

    一.TCP协议 references:newcoder TCP/IP协议,TCP和UDP的区别及特点 1.四层模型 应用层:载有应用程序,将数据发送给传输层.主要协议有HTTP.SMTP.FTP.DN ...

  9. HDU2837 Calculation(指数循环节)题解

    题意: 已知\(f(0)=1,f(n)=(n\%10)^{f(n/10)}\),求\(f(n)\mod m\) 思路: 由扩展欧拉定理可知:当\(b>=m\)时,\(a^b\equiv a^{b ...

  10. Linux 驱动框架---input子系统

    input 子系统也是作为内核的一个字符设备模块存在的,所以他也是字符设备自然也会有字符设备的文件接口.input子系统的注册过程主要分为两步,先注册了一个input class然后再注册一个字符设备 ...