使用Snort设置Bar 2

• 开始之前
• 更新，升级和重启
• 安装前配置
• 设置Barnyard2
• 测试中

Barnyard2是一种将Snort的二进制输出存储和处理到MySQL数据库中的方法。

开始之前

请注意，如果您的系统上未安装snort，则我们提供了在debian系统上安装snort的指南。您必须安装snort才能使该系统正常工作。

更新，升级和重启

在实际使用Snort（S）源之前，我们需要确保我们的系统是最新的。我们可以通过发出以下命令来做到这一点。

sudo apt-get update
sudo apt-get upgrade -y
sudo reboot

安装前配置

如果您尚未安装MySQL，则可以使用以下命令进行安装：

sudo apt-get install -y mysql-server libmysqlclient-dev mysql-client autoconf libtool

如果您尚未安装和配置网络入侵检测系统（IDS）Snort，请查阅文档安装文档

设置Barnyard2

为了安装Barnyard，我们需要从Barnyard2的github页面获取源代码。

cd /usr/src
sudo git clone https://github.com/firnsy/barnyard2 barnyard_src
cd barnyard_src

现在我们有了bar的来源，我们需要to autoreconf。

sudo autoreconf -fvi -I ./m4

更新系统库参考

一旦完成，就必须以dnet的形式链接到dumbnet库。

sudo ln -s /usr/include/dumbnet.h /usr/include/dnet.h

因为我们实质上是制作了一个新的系统库，所以我们必须更新系统的库缓存。可以通过发出以下命令来完成：

sudo ldconfig

为MySQL配置Barnyard2

这部分很重要，因为它取决于您的系统是64位系统还是32位系统。

如果不确定系统是64位还是32位，则可以使用uname -m或arch实现。

cd /usr/src/barnyard_src
./configure --with-mysql --with-mysql-libraries=/usr/lib/YOUR-ARCH-HERE-linux-gnu

这样配置应该看起来像 ./configure --with-mysql --with-mysql-libraries=/usr/lib/x86_64-linux-gnu

make
sudo make install

复制配置

为了正确设置仓库并使其与我们的系统一起使用，我们需要复制我们的配置文件。另外，请注意，在测试时，我必须为barnyard2创建日志目录，否则运行它将失败。

sudo cp etc/barnyard2.conf /etc/snort
sudo mkdir /var/log/barnyard2
sudo chown snort.snort /var/log/barnyard2
sudo touch /var/log/snort/barnyard2.bookmark
sudo chown snort.snort /var/log/snort/barnyard2.bookmark

创建数据库

现在我们的bar实例已基本设置完毕，我们需要创建数据库并将其与我们的设置相关联。

 mysql -u root -p
 create database snort;
 use snort;
 source /usr/src/barnyard_src/schemas/create_mysql
 CREATE USER 'snort'@'localhost' IDENTIFIED BY 'MYPASSWORD';
 grant create, insert, select, delete, update on snort.* to snort@localhost;
 exit;

配置bar与MySQL一起使用

如果您没有碰巧在上述命令中更改密码，则可以通过重新输入mysql命令并输入以下内容来重置密码

SET PASSWORD FOR 'snort'@'localhost' = PASSWORD( 'MYPASSWORD' );

在/etc/snort/barnyard2.conf文件的最底部添加以下内容，然后将密码编辑为上面的设置。

output database: log, mysql, user=snort password=MYPASSWORD dbname=snort host=localhost

为了安全起见，我们需要锁定barnyard.conf文件，因为它包含明文形式的数据库密码。

sudo chmod o-r /etc/snort/barnyard2.conf

测试中

您可以使用配置文件通过使它在警报模式下运行来测试snort。

sudo /usr/local/bin/snort -q -u snort -g snort -c /etc/snort/snort.conf -i eth0

snort运行后，打开另一个终端并ping该系统的地址，您应该能够在主终端上看到消息。

现在，您的snort日志中已有一些数据，您应该可以针对它测试仓库了。

sudo barnyard2 -c /etc/snort/barnyard2.conf -d /var/log/snort -f snort.u2 -w /var/log/snort/barnyard2.bookmark -g snort -u snort

这些标志基本上意味着以下含义。

-c   specifies the config file.
-d   is the snort output directory
-f    specifies the file to look for.
-w   specifies the bookmark file.
-u / -g   tells barnyard to run as a specific user and group.

启动仓库后，一旦Waiting for new data出现您就可以退出应用程序，方法是按ctrl + c现在以重新登录MySQL服务器并从数据库event表中选择所有内容来检查MySQL snort数据库。

mysql -u snort -p snort
select count(*) from event;

只要计数大于0，一切就可以正常工作！

但是，如果计数为0，则可能是从与列入白名单的ip匹配的系统ping系统。如果是这种情况，请尝试从网络外部ping您的系统，并确保将其公开给外界。

恭喜，您现在可以阅读并跟踪检测到的入侵。