Vmware workstation12里如何正确快速安装可视化IDS系统Security Onion(图文详解)

大大源码 未分类

 

 

  不多说,直接上干货!

 

  首先,大家要明确:

  问:安全洋葱能阻止入侵吗?

  答:这一点,和OSSIM一样,不能阻止入侵。

 

 

 

 

  Security Onion基于Ubuntu,包含了入侵检测、网络安全监控、日志管理所需的Snort、Suricata、Bro、OSSEC、Sguil、Squert、ELSA、Xplico、NetworkMiner等众多工具。

  Security Onion是用于网络监控和入侵检测的基于Ubuntu的Linux发行版。

 

https://security-onion-solutions.github.io/security-onion/

https://github.com/Security-Onion-Solutions

http://sourceforge.net/projects/security-onion/

 

 

 

 

 

 

 

 

https://sourceforge.net/projects/security-onion/files/

 

 

 

 

 

 

 

https://sourceforge.net/projects/security-onion/files/12.04.5.3/

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

   因为,安全洋葱Security Onion(本文中简称:SO),它和OSSIM一样,是基于Debian Linux的系统,内部集成了很多开源安全工具例如: OSSEC、NIDS、HIDS以及各种监控工具等等。

   所以,这里选择debian。

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

    刚装完系统,会进入系统会启动XFCE桌面,如下

 

 

 

 

 

  root权限下使用以下命令

由普通用户,切换到root用户
sudo -s


apt-get update && sudo apt-get dist-upgrade    apt-get rule-update

中间得输入几个y

(更新安装的软件)。

 

 

 

 

 

 

 

点击Setup,提示输入密码。

 

 

 

 

  

输入当前用户的登录口令,你会看到Security Onion Setup的欢迎界面,单击Yes,Continue!按钮。

 

 

 

 

 

 

 

  

接下来,配置网络接口

   在这个环节系统会自动优化你的网卡,包括禁用一些有可能干扰监听的一些功能。更多信息查看,如果此时,选择No,not right now,那么就会手动配置你的管理和监听接口。一般我们还是选择Yes,configure /etc/network/interfaces。

 

 

 

 

 

   通常,系统会默认的将第一块网卡设定为管理接口,如果只有一块网卡,那么管理接口和监听接口合二为一。

 

 

 

 

 

 

 

单击OK按钮后,通常需要给网卡指定静态IP地址。除非你在DHCP中配置了静态映射,才选择DHCP自动获取。

 

 

 

 

 

   指定IP

   因为,我自己虚拟机里的网段是,192.168.80.*

 

 

 

 

  

点击OK,然后指定掩码。

 

 

 

 

 

  

  

点击OK,然后设定网关。

 

 

 

 

 

   

点击OK后设定DNS。

 

 

 

 

 

 

   

点击OK后,在弹出设定本地域名的对话框,我们输入本地域名test.com。

 

 

 

 

 

 

 

 

 

点击OK后系统给出管理接口的网络配置清单。

 

 

 

 

 

   

   

核对无误后点击Yes,make changest按钮,这时系统提示重新启动。点击Yes,reboot!

 

 

 

注意:手动修改网络配置,你可以打开/etc/network/interfaces文件编辑iface eth0 inet static的配置。

编辑完成后重启网络服务。

$sudo /etc/init.d/networking restart

如果你是初学者,最好按系统提示重启服务器

 

 

 

 

 

 

 

 

 

 

 

 

   重启

 

 

 

 

 

 

 

 

 

 

 

   组件安装

 当重启系统完成之后,我们再进入系统XFCE桌面环境。按图1中选择setup,

 

 

 

 

 

 

 

 

   因为,之前,我已经配置好了网络。所以这里。选择,no

 

 

 

 

 

 

 

 

 

 

 

 

   由于SO是使用电子邮件地址作为独立认证机制,下面输入你常用电子邮箱,将被Snorby用于生成报警日志。

 

 

 

 

 

 

  点击OK按钮后,下面需要提供NSM(Network Security Monitoring)组件中Sguil模块的用户名,SO会在其他几款NSM工具中使用它。请务必记住。

  我这里就以sguil吧。

 

 

 

   输入OK后,下面要选择一个字符数字的口令以供让SO安装的NSM软件认证使用。稍后可以通过Sguil和Snorby更改口令。

 

 

 

 

 

 

 

 

   那我这里,就为sguil_password(这样命名规范,是我大数据那边的一个习惯)

 

  

点击OK后, 确认口令。

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

点击OK后, 确认口令。

 

 

 

 

当再次确认口令,点击OK按钮后,也就是SO NSM应用程序创建完了凭证,配置脚本会问你,是否想安装企业日志搜索和归档ELSA。

 

 

 

 

 

 

 

 

你需要选择Yes,enable ELSA,ELSA为NSM日志数据提供了一个搜索引擎接口。

此时,SO会提示用户,准备做好变更,看你是否同意。

 

 

 

我们选择继续改变。SO要配置系统的时区,可以使用UTC,然后安装与其打包在一起的所有NSM应用程序。

 

 

 

 

 

 

 

 

 

 

 

 

 

接下来系统会自动设置,当设置完成后,你可以在/var/log/nsm/sosetup.log文件看到安装状态报告。

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

使用sostat检查服务运行状态

 

 

 

 

 

 

 

 检查安装状态

  当单机系统完成安装,应该采取了解安装状态,首先打开终端,运行下面命令,查看NSM代理是否在线。

 

  

如果你发现有组件没有启动成功,可以尝试sudo service nsm restart命令重启。

在排除故障时,你还需要验证传感器连接到服务器的autossh隧道是否正常。

注意:一个IP只能同时连接一台SO服务器。

 

 

 

 

 

 Web浏览器访问

 

 

 

 

参考

  快速安装可视化IDS系统Security Onion(http://chenguang.blog.51cto.com/350944/1783994)(李晨光老师)

快速安装可视化IDS系统 (带视频)

THE END
< <上一篇
下一篇>>