خروپف است رایگان شبکه سیستم تشخیص نفوذ (IDS). در شرایط رسمی کمتر ، به شما امکان می دهد شبکه خود را برای فعالیت مشکوک در زمان واقعی نظارت کنید . در حال حاضر ، Snort بسته هایی را برای سیستمهای Fedora ، CentOS ، FreeBSD و Windows-based دارد. روش نصب دقیق بین سیستم عامل ها متفاوت است. در این آموزش ، ما به طور مستقیم از پرونده های منبع برای Snort نصب خواهیم کرد. این راهنما برای دبیان نوشته شده است.
قبل از اینکه واقعاً دست خود را به منابع Snort برسانیم ، باید اطمینان حاصل کنیم که سیستم ما به روز است. ما می توانیم با صدور دستورات زیر این کار را انجام دهیم.
sudo apt-get update
sudo apt-get upgrade -y
sudo reboot
پس از راه اندازی مجدد سیستم ، باید تعدادی بسته را نصب کنیم تا مطمئن شویم که می توانیم SBPP را نصب کنیم. من توانستم متوجه شوم که تعدادی از بسته های مورد نیاز ، بنابراین دستور پایه در زیر قرار دارد.
sudo apt-get install flex bison build-essential checkinstall libpcap-dev libnet1-dev libpcre3-dev libnetfilter-queue-dev iptables-dev libdumbnet-dev zlib1g-dev -y
پس از نصب همه بسته ها ، باید یک فهرست موقت برای پرونده های منبع خود ایجاد کنید - آنها می توانند در هر مکانی که می خواهید باشند. من با استفاده از /usr/src/snort_src. برای ایجاد این پوشه ، باید به عنوان rootکاربر وارد شوید یا sudoمجوزهایی داشته باشید - rootفقط این کار را آسان تر می کند.
sudo mkdir /usr/src/snort_src
cd /usr/src/snort_src
قبل از اینکه بتوانیم منبع Snort را بدست آوریم ، باید DAQ را نصب کنیم. نصب آن بسیار ساده است.
wget https://www.snort.org/downloads/snort/daq-2.0.6.tar.gz
پرونده ها را از تاربال خارج کنید.
tar xvfz daq-2.0.6.tar.gz
به فهرست DAQ تغییر دهید.
cd daq-2.0.6
DAQ را پیکربندی و نصب کنید.
./configure; make; sudo make install
این خط آخر ، ./configureاول اجرا خواهد شد . سپس آن را اجرا می کند make. در آخر ، آن را اجرا خواهد کرد make install. ما در اینجا از نحو کوتاه تر فقط برای صرفه جویی در تایپ استفاده می کنیم.
ما می خواهیم مطمئن شویم که /usr/src/snort_srcدوباره در این فهرست قرار داریم ، بنابراین حتماً آن فهرست را با استفاده از زیر تغییر دهید:
cd /usr/src/snort_src
اکنون که در فهرست منابع قرار داریم ، tar.gzفایل را برای منبع بارگیری می کنیم . در زمان این نوشتن ، جدیدترین نسخه Snort است 2.9.8.0.
wget https://www.snort.org/downloads/snort/snort-2.9.8.0.tar.gz
دستورات برای نصب snort بسیار شبیه به دستورالعمل های مورد استفاده برای DAQ است ، اما گزینه های مختلفی دارند.
فایلهای منبع Snort را استخراج کنید.
tar xvfz snort-2.9.8.0.tar.gz
به فهرست منبع تغییر دهید.
cd snort-2.9.8.0
منابع را پیکربندی و نصب کنید.
./configure --enable-sourcefire; make; sudo make install
پس از نصب Snort ، باید اطمینان حاصل کنیم که کتابخانه های مشترک ما به روز هستند. ما می توانیم این کار را با استفاده از دستور انجام دهیم:
sudo ldconfig
پس از انجام این کار ، نصب Snort خود را تست کنید:
snort --version
اگر این دستور کار نکند ، شما نیاز به ایجاد سیمینک دارید. می توانید این کار را با تایپ کردن انجام دهید:
sudo ln -s /usr/local/bin/snort /usr/sbin/snort
snort --version
خروجی حاصل شبیه به موارد زیر خواهد بود:
,,_ -*> Snort! <*-
o" )~ Version 2.9.7.5 GRE (Build 262)
'''' By Martin Roesch & The Snort Team: http://www.snort.org/contact#team
Copyright (C) 2014-2015 Cisco and/or its affiliates. All rights reserved.
Copyright (C) 1998-2013 Sourcefire, Inc., et al.
Using libpcap version 1.6.2
Using PCRE version: 8.35 2014-04-04
Using ZLIB version: 1.2.8
اکنون که خروپف را نصب کردیم ، نمی خواهیم اینطور اجرا شود root، بنابراین باید یک snortکاربر و گروه ایجاد کنیم . برای ایجاد یک کاربر و گروه جدید ، می توانیم از این دو دستور استفاده کنیم:
sudo groupadd snort
sudo useradd snort -r -s /sbin/nologin -c SNORT_IDS -g snort
از آنجا که برنامه را با استفاده از منبع نصب کرده ایم ، باید فایل های پیکربندی و قوانین مربوط به خروپف را ایجاد کنیم.
sudo mkdir /etc/snort
sudo mkdir /etc/snort/rules
sudo mkdir /etc/snort/preproc_rules
sudo touch /etc/snort/rules/white_list.rules /etc/snort/rules/black_list.rules /etc/snort/rules/local.rules
پس از ایجاد دایرکتوری ها و قوانین ، اکنون باید دایرکتوری log را ایجاد کنیم.
sudo mkdir /var/log/snort
و در آخر اینکه ، قبل از اینکه بتوانیم هیچ قانونی اضافه کنیم ، به مکانی برای ذخیره قوانین پویا احتیاج داریم.
sudo mkdir /usr/local/lib/snort_dynamicrules
پس از ایجاد پرونده های قبلی ، مجوزهای مناسب را روی آنها تنظیم کنید.
sudo chmod -R 5775 /etc/snort
sudo chmod -R 5775 /var/log/snort
sudo chmod -R 5775 /usr/local/lib/snort_dynamicrules
sudo chown -R snort:snort /etc/snort
sudo chown -R snort:snort /var/log/snort
sudo chown -R snort:snort /usr/local/lib/snort_dynamicrules
برای صرفه جویی در وقت و جلوگیری از نیاز به کپی و چسباندن همه چیز ، به شما اجازه می دهد تا تمام پرونده ها را در فهرست تنظیمات کپی کنید.
sudo cp /usr/src/snort_src/snort*/etc/*.conf* /etc/snort
sudo cp /usr/src/snort_src/snort*/etc/*.map /etc/snort
اکنون که پرونده های پیکربندی وجود دارد ، می توانید یکی از دو کار را انجام دهید:
در هر صورت ، شما هنوز هم می خواهید چند چیز را تغییر دهید. خواندن را ادامه دهید.
در /etc/snort/snort.confپرونده باید متغیر را تغییر دهید HOME_NET. باید روی بلوک IP شبکه داخلی شما تنظیم شود ، بنابراین تلاشهای شبکه شما برای ورود به سرور وارد نمی شود. این ممکن است 10.0.0.0/24یا 192.168.0.0/16باشد. در خط 45 /etc/snort/snort.confمتغیر را HOME_NETبه آن مقدار از بلوک IP شبکه خود تغییر دهید .
در شبکه من ، اینگونه به نظر می رسد:
ipvar HOME_NET 192.168.0.0/16
سپس ، شما باید EXTERNAL_NETمتغیر را بر روی:
any
که فقط EXERNAL_NETبه هر آنچه HOME_NETکه نیست تبدیل می شود .
اکنون که اکثریت زیادی از سیستم راه اندازی شده است ، ما باید قوانین خود را برای این پیگگی کوچک پیکربندی کنیم. در جایی در حدود خط 104 در /etc/snort/snort.confپرونده خود ، باید یک عبارت "var" و متغیرها RULE_PATH، SO_RULE_PATH، PREPROC_RULE_PATH، WHITE_LIST_PATH، و BLACK_LIST_PATH. مقادیر آنها باید به مسیری که در آن استفاده کردیم تنظیم شود Un-rooting Snort.
var RULE_PATH /etc/snort/rules
var SO_RULE_PATH /etc/snort/so_rules
var PREPROC_RULE_PATH /etc/snort/preproc_rules
var WHITE_LIST_PATH /etc/snort/rules
var BLACK_LIST_PATH /etc/snort/rules
پس از تنظیم این مقادیر ، قوانین فعلی را که از خط 548 شروع می شود حذف یا اظهار نظر کنید.
اکنون ، بررسی می کنیم تا مطمئن شوید که پیکربندی شما صحیح است. می توانید با آن تأیید کنید snort.
# snort -T -c /etc/snort/snort.conf
خروجی شبیه به موارد زیر را مشاهده می کنید (کوتاه شده برای کوتاه بودن).
Running in Test mode
--== Initializing Snort ==--
Initializing Output Plugins!
Initializing Preprocessors!
Initializing Plug-ins!
.....
Rule application order: activation->dynamic->pass->drop->sdrop->reject->alert->log
Verifying Preprocessor Configurations!
--== Initialization Complete ==--
,,_ -*> Snort! <*-
o" )~ Version 2.9.8.0 GRE (Build 229)
'''' By Martin Roesch & The Snort Team: http://www.snort.org/contact#team
Copyright (C) 2014-2015 Cisco and/or its affiliates. All rights reserved.
Copyright (C) 1998-2013 Sourcefire, Inc., et al.
Using libpcap version 1.7.4
Using PCRE version: 8.35 2014-04-04
Using ZLIB version: 1.2.8
Rules Engine: SF_SNORT_DETECTION_ENGINE Version 2.4 <Build 1>
Preprocessor Object: SF_IMAP Version 1.0 <Build 1>
Preprocessor Object: SF_FTPTELNET Version 1.2 <Build 13>
Preprocessor Object: SF_SIP Version 1.1 <Build 1>
Preprocessor Object: SF_REPUTATION Version 1.1 <Build 1>
Preprocessor Object: SF_POP Version 1.0 <Build 1>
Preprocessor Object: SF_DCERPC2 Version 1.0 <Build 3>
Preprocessor Object: SF_SDF Version 1.1 <Build 1>
Preprocessor Object: SF_GTP Version 1.1 <Build 1>
Preprocessor Object: SF_DNS Version 1.1 <Build 4>
Preprocessor Object: SF_SSH Version 1.1 <Build 3>
Preprocessor Object: SF_DNP3 Version 1.1 <Build 1>
Preprocessor Object: SF_SSLPP Version 1.1 <Build 4>
Preprocessor Object: SF_SMTP Version 1.1 <Build 9>
Preprocessor Object: SF_MODBUS Version 1.1 <Build 1>
Snort successfully validated the configuration!
Snort exiting
اکنون که همه چیز بدون خطا پیکربندی شده است ، ما آماده هستیم تا تست Snort را شروع کنیم.
ساده ترین روش برای آزمایش Snort با فعال کردن آن است local.rules. این پرونده ای است که شامل قوانین سفارشی شما است.
اگر در snort.confپرونده متوجه شده اید ، جایی در حدود خط 546 ، این خط وجود دارد:
include $RULE_PATH/local.rules
اگر آن را ندارید ، لطفاً آن را در حدود 546 اضافه کنید. سپس می توانید از این local.rulesفایل برای آزمایش استفاده کنید. به عنوان یک آزمایش اصلی ، من فقط Snort را پیگیری یک درخواست پینگ (درخواست ICMP) کرده ام. می توانید با افزودن خط زیر به local.rulesپرونده خود این کار را انجام دهید.
alert icmp any any -> $HOME_NET any (msg:"ICMP test"; sid:10000001; rev:001;)
هنگامی که آن را در پرونده خود دارید ، آن را ذخیره کنید و خواندن را ادامه دهید.
دستور زیر Snort را شروع می کند و هشدارهای "fast mode" را چاپ می کند ، زیرا snort کاربر ، در زیر خروپف گروه ، با استفاده از پیکربندی /etc/snort/snort.conf، و آن را به رابط شبکه گوش می دهد eno1. شما باید به eno1هر رابط شبکه ای که سیستم شما در حال گوش دادن است تغییر دهید .
$ sudo /usr/local/bin/snort -A console -q -u snort -g snort -c /etc/snort/snort.conf -i eno1
هنگامی که آن را اجرا کردید ، آن کامپیوتر را پینگ کنید. شما شروع به مشاهده خروجی خواهید کرد که به شکل زیر است:
01/07−16:03:30.611173 [**] [1:10000001:0] ICMP test [**] [Priority: 0] 192.168.1.105 -> 192.168.1.104
01/07−16:03:31.612174 [**] [1:10000001:0] ICMP test [**] [Priority: 0] 192.168.1.104 -> 192.168.1.105
01/07−16:03:31.612202 [**] [1:10000001:0] ICMP test [**] [Priority: 0] 192.168.1.105 -> 192.168.1.104
^C*** Caught Int−Signal
برای خروج از برنامه می توانید Ctrl + C را فشار دهید ، و این همین است. خروپف همه تنظیم شده است. اکنون ممکن است از هر قانونی که می خواهید استفاده کنید.
در آخر ، می خواهم توجه داشته باشم که برخی از قوانین عمومی ساخته شده توسط انجمن وجود دارد که می توانید از طریق سایت رسمی در زیر برگه "Community" بارگیری کنید. به دنبال "خروپف" بگردید ، و فقط در زیر آن پیوند جامعه وجود دارد. آن را بارگیری کنید ، آن را استخراج کنید و به دنبال community.rulesپرونده باشید.
NFS یک سیستم فایل مبتنی بر شبکه است که به رایانه ها اجازه می دهد تا از طریق شبکه رایانه ای به فایلها دسترسی پیدا کنند. این راهنما توضیح می دهد که چگونه می توانید پوشه ها را روی NF قرار دهید
هنگام راه اندازی سرور جدید لینوکس ، به روزرسانی سیستم های هسته و سایر بسته ها تا آخرین نسخه پایدار یک روش توصیه شده است. در این مقاله
مقدمه MySQL دارای یک ویژگی عالی است که به عنوان بازدید شناخته می شود. نمایش نمایش داده شد. برای یک سؤال طولانی مدت از آنها فکر کنید. در این راهنما ،
در این مقاله به شما می آموزد که چگونه زندان دزدگیر را در دبیان تنظیم کنید. تصور می کنم از Debian 7.x استفاده می کنید. اگر دبیان 6 یا 8 را اجرا کردید ، ممکن است این کار کند
مقدمه یک راه آسان برای راه اندازی سرور VPN در دبیان با PiVPN است. PiVPN نصب و بسته بندی OpenVPN است. این دستورات ساده را برای شما ایجاد می کند
EasyEngine (ee) ابزاری پایتون است که به شما امکان می دهد سایت های وردپرس خود را به راحتی و به صورت خودکار مدیریت کنید. با استفاده از EasyEngine ، شما مجبور به dea نیستید
با استفاده از یک سیستم متفاوت؟ Brotli یک روش فشرده سازی جدید با نسبت فشرده سازی بهتر از Gzip است. کد منبع آن در Github به صورت عمومی میزبانی می شود. تی
با استفاده از یک سیستم متفاوت؟ BlogoText CMS یک سیستم مدیریت محتوا (CMS) ساده و سبک ، آزاد و متن باز است و موتور وبلاگ مینیمالیستی
با استفاده از یک سیستم متفاوت؟ InvoicePlane یک برنامه صورتحساب رایگان و متن باز است. کد منبع آن را می توانید در این مخزن Github پیدا کنید. این راهنما
با استفاده از یک سیستم متفاوت؟ Backdrop CMS 1.8.0 یک سیستم مدیریت محتوا منبع باز و آزاد و متناسب با تلفن همراه ، رایگان و آزاد است که به ما اجازه می دهد
با استفاده از یک سیستم متفاوت؟ Plesk یک صفحه کنترل میزبان وب اختصاصی است که به کاربران امکان می دهد وب سایت ها ، بانک اطلاعاتی شخصی و / یا مشتری خود را مدیریت کنند.
با استفاده از یک سیستم متفاوت؟ BookStack یک سکوی ساده ، خود میزبان و با کاربرد آسان برای سازماندهی و ذخیره اطلاعات است. BookStack کاملاً رایگان و باز است
با استفاده از یک سیستم متفاوت؟ Pagekit 1.0 CMS یک سیستم زیبا و مدولار زیبا ، مدولار ، قابل تمدید و سبک ، آزاد و منبع باز منبع آزاد (CMS) با
با استفاده از یک سیستم متفاوت؟ اسفنج یک پروژه منبع باز است که قابلیت های سرورهای Minecraft را از طریق افزونه ها گسترش می دهد. همراه با برنامه تعدیل شده
معرفی سیستم های لینوکس به طور پیش فرض مانند top ، df و du با ابزارهای نظارتی ارسال می شوند که به نظارت بر فرایندها و فضای دیسک کمک می کنند. با این حال ، اغلب اوقات ، آنها به صورت طاقت فرسا هستند
با استفاده از یک سیستم متفاوت؟ اکتبر 1.0 CMS یک سیستم مدیریت محتوا (CMS) ساده و قابل اعتماد ، رایگان و منبع باز است که در چارچوب Laravel ساخته شده است
Munin ابزاری برای نظارت بر فرآیندها و منابع موجود در دستگاه شما است و اطلاعات را در نمودارها از طریق رابط وب ارائه می دهد. از پیگیری استفاده کنید
با استفاده از یک سیستم متفاوت؟ TLS 1.3 نسخه ای از پروتکل Transport Layer Security (TLS) است که در سال 2018 به عنوان یک استاندارد پیشنهادی در RFC 8446 منتشر شد
در این مقاله خواهیم دید که چگونه خط اصلی Nginx را از منابع رسمی Nginx با ماژول PageSpeed کامپایل و نصب کنید ، که به شما امکان می دهد
با استفاده از یک سیستم متفاوت؟ Flarum یک نرم افزار انجمن نسل بعدی آزاد و منبع باز است که بحث آنلاین را سرگرم کننده می کند. ساده ، سریع و رایگان است
LiteCart یک بستر سبد خرید آزاد و منبع باز است که به زبان های PHP ، jQuery و HTML 5 نوشته شده است. این نرم افزار ساده ، سبک و با کاربرد آسان است.
با استفاده از یک سیستم متفاوت؟ Anchor CMS یک سیستم مدیریت محتوا (CMS) بسیار ساده و بسیار سبک ، بسیار آزاد و آزاد است.
NFS یک سیستم فایل مبتنی بر شبکه است که به رایانه ها اجازه می دهد تا از طریق شبکه رایانه ای به فایلها دسترسی پیدا کنند. این راهنما توضیح می دهد که چگونه می توانید پوشه ها را روی NF قرار دهید
هنگام راه اندازی سرور جدید لینوکس ، به روزرسانی سیستم های هسته و سایر بسته ها تا آخرین نسخه پایدار یک روش توصیه شده است. در این مقاله
با استفاده از یک سیستم متفاوت؟ Matomo (سابقا پیویک) یک بستر تحلیلی منبع باز است ، یک جایگزین باز برای Google Analytics. منبع Matomo میزبان o
TeamTalk یک سیستم کنفرانس است که به کاربران امکان می دهد مکالمات صوتی / تصویری با کیفیت بالا ، چت متنی ، انتقال فایل ها و صفحه های به اشتراک بگذارند. من
Vultr یک ویژگی را فراهم می کند که به شما امکان می دهد با ایجاد یک نمونه جدید ، کلیدهای SSH را از قبل نصب کنید. این اجازه می دهد تا به کاربر root دسترسی داشته باشید ، با این حال ، th
با استفاده از یک سیستم متفاوت؟ NodeBB یک نرم افزار انجمن مبتنی بر Node.js است. از سوکت های وب برای تعامل فوری و اعلامیه های زمان واقعی استفاده می کند. NodeB
ZNC یک پیشرانه پیشرفته شبکه IRC است که تمام وقت بهم متصل می شود تا مشتری IRC بتواند بدون از دست دادن جلسه گپ قطع یا وصل شود.
رنجر یک مدیر فایل مبتنی بر خط فرمان است که دارای کلیدهای اتصال VI است. این برنامه یک رابط لعنتی مینیمالیستی و زیبا با نمای سلسله مراتب فهرست ارائه می دهد
