设为首页收藏本站

LinuxSir.cn,穿越时空的Linuxsir!

 找回密码
 注册
搜索
热搜: shell linux mysql
LinuxSir.cn,穿越时空的Linuxsir!»论坛 运维技术 —— LinuxSir.cn 服务器架设、应用、维护 Debian下架设Prelude IDS
返回列表 发新帖
查看: 1013|回复: 0

Debian下架设Prelude IDS

[复制链接]
zchar
发表于 2006-2-25 17:19:09 | 显示全部楼层 |阅读模式
Prelude的详细介绍请参考官方网站:www.prelude-ids.org;
所有相关软件官方网站也提供下载.

基本系统安装:
1.本次架设使用Debian 3.1 r0ai(Sarge)版本,安装采取默认过程,基本软件包只选择“邮件系统”,APT源根据需要选择debian.cn99或debian.uestc.edu.cn提供的APT源;我的APT源如下:
deb http://debian.cn99.com/debian sarge main non-free contrib
deb http://debian.cn99.com/debian-non-US sarge/non-US main contrib non-free
deb http://debian.cn99.com/debian testing-proposed-updates main contrib non-free
deb http://debian.cn99.com/debian-security sarge/updates main contrib non-free
deb-src http://debian.cn99.com/debian sarge main non-free contrib
deb-src http://debian.cn99.com/debian-non-US sarge/non-US main contrib non-free
deb-src http://debian.cn99.com/debian testing-proposed-updates main contrib non-free
deb http://security.debian.org/ testing/updates main contrib non-free
2.基系统安装好后需安装如下软件:
a.为了方便文本编辑,下载vim编辑器:#apt-get install vim;编辑/etc/vim/vimrc文件,去掉“syntax on”字段前面的分号,打开语法高亮支持;编辑~/.bashrc文件,打开ls别名支持;
b.为了解压缩.bz2的压缩包,下载bzip2:#apt-get install bzip2;
c.为了安装mysql服务程序,下载curses库文件:#apt-get install libncurses5 libncurses-dev;
d.为了安装snort,安装libpcap包:#apt-get install libpcap0.8 libpcap0.8-dev

Prelude安装:
1.下载libgpg-error-1.1.tar.gz库文件至/usr/local/src目录,解包后编译安装:#./configure&&make&&make install;
2.下载libgcrypt-1.2.2.tar.gz库文件至/usr/local/src目录,解包后编译安装:#./configure&&make&&make install;
3.下载gnutls-1.3.1.tar.bz2文件至/usr/local/src目录,解包后编译安装:#./configure&&make&&make install;
4.编辑/etc/ld.so.conf文件,添加/lib、/usr/lib、/usr/local/lib三个动态库目录项,运行命令#ldconfig使改变生效;
注:上述三个文件均是安装prelude所需的文件,并且必须按照上述顺序安装,以免产生依赖错误;将所有源码包放在/usr/local/src目录中,是良好的系统架设习惯。

5.安装mysql:
a.下载mysql-4.0.20.tar.gz软件至/usr/local/src目录,解包后进行配置:#./configure --prefix=/usr/local/mysql --sysconfdir=/etc --with-unix-socket-path=/var/run/mysqld/mysqld.sock,这里需要加上--with-unix-socket-path选项,是因为安装prelude-manager时默认需要访问/var/run/mysqld/mysqld.sock文件;然后编译安装:#make&&make install;
b.添加mysql用户和mysql用户组,使/usr/local/mysql目录及该目录下所有文件、子目录均属于mysql用户和mysql用户组:#groupadd mysql;#useradd -d /usr/local/mysql -g mysql mysql;chown -R mysql.mysql /usr/local/mysql;
c.初始化数据库:#/usr/local/mysql/bin/mysql_install_db;
d.创建sock目录,启动mysql服务:#mkdir /var/run/mysqld/mysqld.sock;chown mysql.mysql /var/run/mysqld/;chmod 700 /var/run/mysqld/;cp /usr/local/mysql/share/mysql/my-small.cnf /etc/my.cnf;/usr/local/mysql/bin/mysqld_safe&;
e.建立mysql的root密码:/usr/local/mysql/bin/mysqladmin -u root password ‘123456’;

  

6.安装libprelude:
                       
a.下载libprelude-latest.tar.gz包至/usr/local/src目录,解包后进行配置:#./configure;
b.编译并安装:#make&&make install;
c.运行ldconfig命令使/usr/lib/libprelude.so模块动态链接至系统;
注:安装libprelude要求python-binding,该基系统已经安装python2.3,需要将python_lib_path加入/etc/ld.so.conf文件,这里加入/usr/lib/python2.3字段,运行#ldconfig使改变生效;python-biding还需要Python.h头文件,该文件默认搜索路径为/usr/include/python2.3/Python.h,只需apt-get install python2.3-dev开发包即可获得该头文件。

7. 安装libpreludedb:
a.下载libpreludedb-latest.tar.gz包至/usr/local/src目录,解包后进行配置:#./confiugre;
b.编译并安装:#make&&make install;
c.运行ldconfig命令使/usr/lib/libpreludedb.so模块动态链接至系统;
d.建立数据库:连接至mysql,建立数据库prelude:mysql>CREATE DATABASE prelude;
建立prelude数据库管理员:mysql>grant all on prelude.* to prelude@'localhost' identified by '123456';mysql>flush privileges;
e. 建立默认表:#/usr/local/mysql/bin/mysql -u prelude prelude -p < /usr/local/share/libpreludedb/classic/mysql.sql;
注:安装libpreludedb要求Enable MySQL Plugin,需要libmysqlclient.so和mysql.h头文件,这两个文件分别放在/usr/local/mysql/lib/mysql下和/usr/local/mysql/include/mysql下,在/usr/local/lib/下建立一个到/usr/local/mysql/lib/mysql的链接目录、在/usr/local/include下建立一个到/usr/local/mysql/include/mysql的链接目录即可;为了Enable Sqlite3,运行#apt-get install sqlite3 libsqlite3-dev安装sqlite3。

8.安装prelude-manager:

a.下载prelude-manager-latest.tar.gz包至/usr/local/src目录,解包后进行配置:#./configure;
b.编译并安装:#make&&make install;
c.编辑/usr/local/etc/prelude-manager/prelude-manager.conf文件,去掉[db]、type=mysql、host=localhost、name=prelude、user=prelude、pass=xxxxxx前的注释符号,并将pass改为prelude用户的密码;
d.建立prelude-manager用户:#prelude-adduser add prelude-manager --uid 0 --gid 0;
e.启动prelude-manager:#prelude-manager&
注:安装prelude-manager需要Enable Xml,运行#apt-get install libxml2-dev即可;在运行prelude-adduser add prelude-manager --uid 0 --gid 0时,需要在/usr/lib中寻找libgcrypt.so支持,而此时/usr/lib中的libgcrypt.so是11.1.1版本的,需要将最开始安装libgcrypt包生成的/usr/local/lib/中的libgcrypt.so.11.2.1拷贝至/usr/lib中,并重新修改符号链接;


9.安装snort:
a.下载snort-2.4.3.tar.gz包至/usr/local/src目录,解包后进行配置:
#./configure --prefix=/usr/local/snort --sysconfdir=/etc --enable-prelude;
b.编译安装:#make&&make install;
c.建立snort配置目录:#mkdir /etc/snort,将/usr/local/src/snort-2.4.3/etc目录中的所有文件拷贝至/etc/snort中;下载snort rules:#apt-get install snort-rules-default;编辑/etc/snort/snort.conf文件,找到var RULE_PATH一行,将后面内容改为当前系统中rules目录的存放位置/etc/snort/rules,为了使snort能与prelude-manager通信,将output alert_prelude一行的注释去掉;
d.注册snort:为了使sensor能和prelude-manager通信,必须对sensor进行注册,注册包括以下几个步骤:首先,为sensor分配一个独一无二的id,然后创建sensor使用的目录,最后由sensor向prelude-manager发出注册请求,manager向sensor发送一个x509数字签名认证,这样就允许manager和sensor之间相互通信了。上述所有数据都存放在sensor的’profile’中,sensor的’profile’就是以sensor的名字命名的,比如snort的’profile’就是’snort’,当sensor启动时,它会试图加载这个和它名字一样的’profile’。整个注册过程由命令prelude-adduser完成,它的基本格式如下:prelude-adduser register <profile_name> <requested permission> <manager address> --uid <uid> --gid <gid>;其中的<requested permission>用来加载你的sensor操作权限,有如下两种权限:idmef和admin,两种类型都有可选参数r(read)和w(write),一般来说,sensor需要可写权限来向manager写入IDMEF报文,以及可读权限来读取manager发送来的管理命令,这样的权限可以写为:”idmef:w admin:r” 。你需要重复使用该命令来向多个manager进行注册。如果你对这些参数都一无所知的话,可以直接启动sensor,然后sensor会提供你正确的参数,你只需要知道manager的地址就行了。默认情况下会使用uid和gid对应的用户来创建profile文件。现在首先使用命令#prelude-adduser register snort “idmef:w admin:r” localhost --uid 0 --gid 0,这时,系统会提醒你“Enter registration one shot password:”,只需另外开启一个终端,输入:#prelude-adduser registration-server prelude-manager命令,即可产生一个one shot password,将该密码记住,输入sensor注册提示行中,回车便可完成注册。
e.启动snort:创建/var/log/snort目录:#mkdir /var/log/snort #/usr/local/snort/bin/snort -c /etc/snort -i eth0;

10.安装prewikka:
a.下载prewikka-0.9.3.tar.gz、Cheetah-2.0rc6.tar.gz至/usr/local/src目录,解包;
b. 安装Cheetah:#python /usr/local/src/Cheetah-2.0rc6/setup.py install;
c. 安装prewikka:#cd /usr/local/src/prewikka-0.9.3;vi prewikka/templates/HeartbeatListing.tmpl,在第43和44行之间加上#end filter CleanOutput,保存推出后运行python /usr/local/src/prewikka-0.9.3/setup.py install;

11.创建prewikka数据库:
a.连接mysql数据库,创建prewikka数据库:mysql>create database prewikka;
b.创建prewikka数据库管理用户:mysql>grant all on prewikka.* to prewikka@’localhost’ identified by ‘123456’;mysql>flush privileges;      
c.初始化prewikka数据库:/usr/local/mysql/bin/mysql -u prewikka prewikka -p < /usr/share/prewikka/database/mysql.sql;
            
12.编辑/etc/prewikka/prewikka.conf文件,修改idmef_database和database字段,分别设置prelude数据库和prewikka数据库的管理员用户名和密码;

13.最后启动prewikka:#prewikka-httpd&,在浏览器中访问http://your_ip_address:8000, ... 码均为admin。
回复

使用道具 举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 注册

本版积分规则

快速回复 返回顶部 返回列表