使用 Snort、Sguil、Barnyard 等进行入侵检测

来自 Alpine Linux
此材料建议合并 ...

它应该与 Intrusion Detection using Snort 合并。(讨论)

此材料正在开发中 ...

在此通知移除之前,请勿按照此处的说明操作。
(最后编辑由 Dubiousjim 于 2012 年 6 月 1 日。)

本指南将设置 (列表可能会更改)

  • Snort
  • Barnyard
  • Sguil

本指南将假定

  • 您了解您的网络设置 (至少知道存在哪些子网)
  • 您已安装 Alpine 2.0.2 并能正常联网

获取开发包

安装 Alpine 和预打包组件 

    apk add alpine-sdk mysql-dev openssl-dev snort wireshark tcpdump tcpflow cvs


下载未打包的应用程序

使用 wget 下载以下软件包 

   cd /usr/src
   wget itcl3.4b1.tar.gz
   wget tcl8.4.19-src.tar.gz
   wget tk8.4.19-src.tar.gz
   wget mysqltcl-3.02.tar.gz
   wget tclx8.4.tar.bz2
   wget tls1.6-src.tar.gz
   wget barnyard-0.2.0.tar.gz
   wget tcllib-1.12.tar.gz
   wget p0f.tgz
   wget iwidgets4.0.1.tar.gz

(需要为以上所有软件包添加源位置)


sguild 配置步骤

配置 sguild 

   mkdir -p /home/sguil/sguild_data/archive
   mkdir /home/sguil/sguild_data/rules
   mkdir /home/sguil/sguild_data/load
   chown -R sguil.sguil /home/sguil/sguild_data

现在,使用以下命令启动 mysql: mysql -u root -p

   GRANT ALL PRIVILEGES ON sguildb.* TO sguil@localhost IDENTIFIED BY "password";
   GRANT FILE ON *.* to sguil@localhost;
   update user set Password = OLD_PASSWORD("password") where User = "sguil";
   FLUSH PRIVILEGES;
   QUIT;

从命令行

   mysql -u sguil -p -e "CREATE DATABASE sguildb"
   mysql -u sguil -p -D sguildb < /usr/local/sguil/server/sql_scripts/create_sguildb.sql
   mysql -u sguil -p -D sguildb -e "show tables"

   mkdir /var/run/sguil
   chown sguil.sguil /var/run/sguil

   mkdir -p /etc/sguild/certs
   cp /usr/local/sguil/server/sguild.conf /etc/sguild
   cp /usr/local/sguil/server/autocat.conf /etc/sguild
   cp /usr/local/sguil/server/sguild.users /etc/sguild
   cp /usr/local/sguil/server/sguild.queries /etc/sguild
   cp /usr/local/sguil/server/sguild.access /etc/sguild
   cp /usr/local/sguil/server/sguild.email /etc/sguild
   cp /usr/local/sguil/server/sguild.reports /etc/sguild
   chown -R sguil.sguil /etc/sguild

现在编辑 /etc/sguild/sguild.conf 并更改以下行以匹配以下内容

   set SGUILD_LIB_PATH /usr/local/sguil/server/lib
   set DEBUG 0
   set SENSOR_AGGREGATION_ON 0
   set RULESDIR /home/sguil/sguild_data/rules
   set DBPASS "password"
   set DBUSER sguil
   set LOCAL_LOG_DIR /home/sguil/sguild_data/archive
   set TCPFLOW /usr/bin/tcpflow
   set P0F 1
   set P0F_PATH /usr/local/bin/p0f
   set TMP_LOAD_DIR /home/sguil/sguild_data/load
取自 "https://wiki.alpinelinux.cn/w/index.php?title=Intrusion_Detection_using_Snort,_Sguil,_Barnyard_and_more&oldid=8252"