Я - новичок к среде Linux. Я пытаюсь установить фырканье на своей машине Ubuntu, в то время как я устанавливаю его, это часто застревает в середине и говорит: libnet, zlib, daq are not found
. Таким образом, я пытался загрузить эти пакеты. Затем я начал устанавливать фырканье снова и на этот раз говорю это pcre is not found
. В окнах, если я устанавливаю некоторое программное обеспечение, оно спросит их, пакет необходим для установки, и оно загрузит это для выполнения установки. Аналогично есть ли любые команды или что-то еще для знания, какие файлы необходимы, прежде чем установка запускается.
Фырканье является основанной на подписи системой обнаружения проникновения, это или отбрасывает или принимает пакеты, прибывающие в определенный интерфейс в зависимости от правил, которые Вы использовали. Следуйте ниже шагов для установки его правильно:
Раздел - я: Подготовка Вашей Системы
Перед фактической установкой Фырканья, выполненного эти команды для установки всех необходимых предпосылок:
sudo apt-get update
sudo apt-get dist-upgrade
Перезагрузите свою систему после выполнения вышеупомянутых команд
Откройте интерфейс командной строки снова и выполните эти команды:
sudo apt-get install build-essential
sudo apt-get install -y libpcap-dev libpcre3-dev libdumbnet-dev
sudo apt-get install -y zlib1g-dev liblzma-dev openssl libssl-dev
sudo apt-get bison flex
Теперь Ваша система готова установить Фырканье
Раздел - II: установка Daq
Фырканье требует, чтобы "Daq" работал. Можно создать отдельную папку для всех загрузок mkdir ~/snort
. Это сохранит все Ваши загрузки в одном месте. Загрузите и Извлечение "Daq" использование команд:
cd ~/snort
wget https://www.snort.org/downloads/snort/daq-2.0.6.tar.gz
tar -xvzf daq-2.0.6.tar.gz
cd daq-2.0.6
./configure
make
sudo make install
Раздел - III: установка фырканья
Вы теперь готовы загрузить исходный код Фырканья. Выполните следующие команды:
cd ~/snort
wget https://www.snort.org/downloads/snort/snort-2.9.8.3.tar.gz
tar -xvzf snort-2.9.8.3.tar.gz
cd snort-2.9.8.3
./configure
make
sudo make install
sudo ldconfig
sudo ln -s /usr/local/bin/snort /usr/sbin/snort
Фырканье теперь установлено в Вашей системе, но необходимо будет все еще настроить его правильно для использования его. Работайте snort -V
команда для обеспечения Фырканья правильно установлена в системе.
Раздел - IV: Создание некоторых необходимых Каталогов
Потребность "Фырканья" некоторая папка и файлы для размещения ее журналов, ошибок и файлов правил. Если Вы хороши со сценарием удара, создаете его или иначе выполняете эти команды сразу, или можно просто выполнить их один за другим:
sudo groupadd snort
sudo useradd snort -r -s /sbin/nologin -c SNORT_IDS -g snort
sudo mkdir /etc/snort
sudo mkdir /etc/snort/rules
sudo mkdir /etc/snort/rules/iplists
sudo mkdir /etc/snort/preproc_rules
sudo mkdir /usr/local/lib/snort_dynamicrules
sudo mkdir /etc/snort/so_rules
sudo touch /etc/snort/rules/iplists/black_list.rules
sudo touch /etc/snort/rules/iplists/white_list.rules
sudo touch /etc/snort/rules/local.rules
sudo touch /etc/snort/sid-msg.map
sudo mkdir /var/log/snort
sudo mkdir /var/log/snort/archived_logs
sudo chmod -R 5775 /etc/snort
sudo chmod -R 5775 /var/log/snort
sudo chmod -R 5775 /var/log/snort/archived_logs
sudo chmod -R 5775 /etc/snort/so_rules
sudo chmod -R 5775 /usr/local/lib/snort_dynamicrules
sudo chown -R snort:snort /etc/snort
sudo chown -R snort:snort /var/log/snort
sudo chown -R snort:snort /usr/local/lib/snort_dynamicrules
cd ~/snort/snort-2.9.8.3/etc/
sudo cp *.conf* /etc/snort
sudo cp *.map /etc/snort
sudo cp *.dtd /etc/snort
cd ~/snort/snort-2.9.8.3/src/dynamic-preprocessors/build/usr/local/lib/snort_dynamicpreprocessor/
sudo cp * /usr/local/lib/snort_dynamicpreprocessor/
Внимание: Не игнорируйте эти команды.
Раздел - VI: Редактирование конфигурационных файлов Фырканья
Мы также должны изменить некоторые конфигурационные файлы для выполнения Фырканья в сетевом режиме обнаружения проникновения. Для этого мы должны были бы прокомментировать все правила в конфигурационном файле фырканья. Вот команда:
sudo sed -i "s/include \$RULE\_PATH/#include \$RULE\_PATH/" /etc/snort/snort.conf
После того как Вы прокомментировали все правила, время к тестовому прогону Фырканье.
Раздел - VII: тестирование фырканья
Чтобы удостовериться, что Фырканье работает в сетевом режиме обнаружения проникновения, мы должны вставить правило в наш файл Правил. Так, откройте его и выполните следующее правило:
alert ip any any -> any any (msg:"ATTACK RESPONSES id check returned root"; content: "uid=0(root)"; classtype:bad-unknown;
sid:498; rev:3;)
sudo snort -A console -q -u snort -g snort -c /etc/snort/snort.conf -i ens3
Примечание: Это начнет слушать в интерфейсе ens3, таким образом, удостоверьтесь, что Вы заменяете его своим именем интерфейса. После рабочего Фырканья откройте другое соединение SSH для сервера и выполните эту команду: ping -b 255.255.255.255 -p "7569643d3028726f6f74290a" -c3
Необходимо теперь смочь видеть предупреждения на SSH, где Вы запустили Фырканье.