barnyard2 mysql_安裝配置Snort和barnyard2

1、安裝依賴包

yum install –y gcc flex bison zlib* libpcap* tcpdump gcc-c++ zlib* libdnet libdnet-devel pcre*

2、安裝libdnet

(資料圖片僅供參考)

wget https://phoenixnap.dl.sourceforge.net/project/libdnet/libdnet/libdnet-1.11/libdnet-1.11.tar.gz

tar -zxvf libdnet-1.11.tar.gz

cd libdnet-1.11

./configure

make

make install

3、安裝libpcap

wget http://www.tcpdump.org/release/libpcap-1.8.1.tar.gz

tar -zxvf libpcap-1.8.1.tar.gz

cd libpcap-1.8.1

./configure

make

make install

4、安裝DAQ

wget https://www.snort.org/downloads/snort/daq-2.0.6.tar.gz

tar -zxvf daq-2.0.6.tar.gz

cd daq-2.0.6

./configure

make

make install

5、安裝Snort

wget https://www.snort.org/downloads/archive/snort/snort-2.9.11.1.tar.gz

tar -zxvf snort-2.9.11.1.tar.gz

cd snort-2.9.11.1

./configure --prefix=/usr/local/snort --enable-pthread --enable-gre --enable-mpls --enable-targetbased

make

make install

驗證

輸入:#snort -V

出現一頭小豬，并顯示正確的版本號，說明snort已經安裝成功。

運行#snort –V出現：

錯誤：找不到命令。原因是系統找不到snort的路徑。

解決：

執行命令：

export PATH=$PATH:/usr/local/snort/bin

原因：

snort安裝完畢，沒有在系統路徑變量PATH中，添加snort可執行文件路徑。

6、配置Snort

mkdir /etc/snort

mkdir /var/log/snort #存放日志文件

mkdir /usr/local/lib/snort_dynamicrules

mkdir /etc/snort/rules #存放規則

cp /etc/snort/snort-2.9.11.1/etc/* /etc/snort/rules

#編輯配置文件

vi /etc/snort/snort.conf

#修改路徑

var HOME_NET 10.60.250.0/24

var RULE_PATH /etc/snort/rules

var EXTERNAL_NET !$HOME_NET

#設置log目錄

config logdir:/var/log/snort

#配置輸出插件

Snort輸出設置在snort.conf文件的

Step #6: Configure output plugins

output unified2: filename merged.log, limit 128, nostamp, mpls_event_types, vlan_event_types

7、安裝mysql

yum install -y mysql mysql-server mysql-devel

mysql --version #查看mysql版本

service mysqld start #啟動mysql

要啟動MySQL數據庫是卻是這樣的提示

Failed to start mysqld.service: Unit not found

解決方法如下:

首先需要安裝mariadb-server

~]# yum install -y mariadb-server

啟動服務

~]# systemctl start mariadb.service

添加到開機啟動

~]# systemctl enable mariadb.service

8、配置mysql

mysql -u root -p #使用root登錄，默認不用密碼

use mysql

update user set password=password("root") where user="root"; #設置用戶root的登錄密碼

create database snort;

grant create,select,update,insert,delete on snort.* to snort@localhost identified by "123456"; #創建名為snort、密碼為123456的數據庫用戶并賦予名為snort數據庫權限

exit #退出

wget https://codeload.github.com/firnsy/barnyard2/zip/master 下載barnyard2

mv master /etc/snort/barnyard2.zip

cd /etc/snort

unzip barnyard2.zip

cd barnyard2-master

mysql -u snort -p -Dsnort < /etc/snort/barnyard2-master/schemas/create_mysql #根據特定的格式創建數據庫表

#進入mysql驗證表是否創建成功

mysql -u root -p

123456 #密碼

use snort;

show tables; #查看snort數據庫中表是否創建成功，

成功如圖

9、配置默認規則

vi /etc/snort/snort.conf

7) Customize your rule set

部分下面進行配置。

在其下添加include $RULE_PATH/etc/snort/rules

把其余的注釋掉

配置文件中要把所有的沒有 \的未注釋的都加上 \ (注意是空格和斜杠)

10、測試Snort

snort -T -i eth1 -c /etc/snort/snort.conf

參數解釋：

-T 指定啟動模式：測試

-i 指定網絡接口

-c 指定配置文件

成功

11、安裝barnyard2

#之前解壓過barnyard2，所以直接cd到解壓后的目錄

cd /etc/snort/barnyard2-master

sudo yum -y install libtool //安裝libtool，否則出現no libtoolize錯誤。

./autogen.sh

./configure --with-mysql --with-mysql-libraries=/usr/lib64/mysql/

make

make install

12、配置barnyard2

sudo groupadd snort

useradd snort –g snort //創建snort組、snort用戶

sudo mkdir /var/log/snort /var/log/barnyard2

touch /var/log/snort/barnyard2.waldo

chown snort.snort /var/log/snort/barnyard2.waldo

sudo chown -R snort.snort /var/log/snort

sudo chown -R snort.snort /var/log/barnyard2 //創建日志目錄，并授權

#修改配置文件

cp /usr/local/etc/barnyard2.conf /etc/snort

vi /etc/snort/barnyard2.conf

1、找到 output alert_fast: stdout 改為：

output alert_fast

2、訪問數據庫設置

在database設置部分，找到mysql相關的，去掉注釋符號#，并修改為：

output database: log, mysql, user=snort password= 123456 dbname=snort host=localhost

13、測試barnyard2

barnyard2 -c /etc/snort/barnyard2.conf -d /var/log/snort -f snort.log -w /var/log/snort/barnyard2.waldo

參數解釋：

-c 指定配置文件

-d 指定log目錄

-f 指定log文件

-w 指定waldo文件

出錯1：barnyard2 error while loading shared libraries libmysqlclient.so.21

解決：

sudo find –name libmysqlclient.so.21 //找到了，在/usr/local/mysql/lib目錄下

ln -s /usr/local/mysql/lib/libmysqlclient.so.21 /usr/lib/libmysqlclient.so.21 //32位系統

ln -s /usr/local/mysql/lib/libmysqlclient.so.21 /usr/lib64/libmysqlclient.so.21 //64位系統

出錯2：Unable to open SID file ‘/etc/snort/sid-msg.map’

解決：

將規則文件community-rules.tar解壓到/etc/snort/目錄下。

wget https://www.snort.org/downloads/community/community-rules.tar.gz

tar -zxvf community-rules.tar.gz

mv community-rules /etc/snort

出錯3：database mysql_error: Access denied for user ‘root’@‘localhost’ (using password: YES)

解決：

vim /etc/snort/barnyard2.conf

出現下圖，說明配置成功

至此snort和barnyard2的安裝配置已完成

下面的就可以進行 Apache+php安裝了。這里就不再演示了。自行安裝完成，然后就可以進行測試了。