在Fedora 25上安装Bro IDS

• 介绍
• 先决条件
• 步骤1：更新系统
• 步骤2：安装依赖项
• 步骤3：安装Bro IDS
• 步骤4：配置Bro IDS
• 步骤5：启动BroCtl
• 步骤5：测试安装

介绍

Bro是一个开源网络流量分析器。它主要是一种安全监视器，可深入检查链接上的所有流量以查找可疑活动的迹象。但是，更一般而言，Bro即使在安全域之外也支持广泛的流量分析任务，包括性能测量和故障排除帮助。

先决条件

在安装Bro之前，您需要确保已安装一些依赖项：

必需的依赖关系

• 脂帽
• OpenSSL库
• BIND8库
• 利布兹
• 重击（对于BroControl）
• Python 2.6或更高版本（用于BroControl）

该Sendmail不是必需的，但强烈建议。

步骤1：更新系统

在安装任何软件包之前，建议先更新系统软件包。运行命令dnf --assumeyes update。这将下载并安装最新版本的系统软件包。包管理器将自动对提供的提示回答“是”。可能需要一些时间。

步骤2：安装依赖项

您需要在系统上安装必需的软件包。运行以下命令： dnf --assumeyes install libpcap openssl python zlib sendmail

步骤3：安装Bro IDS

运行命令dnf install --assumeyes bro 此命令将安装bro到/bin目录中。现在让我们对其进行配置。

步骤4：配置Bro IDS

创建文件夹：mkdir -p /var/log/bro和mkdir -p /var/spool

配置node.cfg文件

由于Fedora 2x接口命名已更改，因此让我们找出当前的iface名称：
ls /sys/class/net。输出应类似于以下一个：ens3 lo或该以下：eth0 lo。在第一种情况下，我们对ens3接口名称感兴趣，在第二种情况下，我们对接口名称感兴趣eth0。假设我们有ens3。

现在，检查文件/etc/bro/node.cfg。运行命令less /etc/bro/node.cfg。第11行有网络接口规范：
interface=eth0。如果您的iface名称是eth0-让文件保持不变，然后继续下一步。否则-用更改它ens3。为此，请运行以下命令：sed -i 's/eth0/ens3'。Option -i代表就地更改文件。s将第一个和第二个斜杠之间包含的值替换为第二个和第三个斜杠之间的值。

配置broctl.cfg文件

将变量添加到配置文件：
echo "LibDirInternal = /usr/lib/python2.7/site-packages/BroControl/" >> /etc/bro/broctl.cfg
echo "SpoolDir = /var/spool" >> /etc/bro/broctl.cfg
echo "LogDir = /var/log/bro" >> /etc/bro/broctl.cfg
echo "CfgDir = /etc/bro" >> /etc/bro/broctl.cfg

步骤5：启动BroCtl

现在，我们可以部署配置的节点并开始记录：

运行命令broctl deploy。您将看到如下输出：

cannot get list of local IP addresses
checking configurations ...
installing ...
removing old policies in /var/spool/installed-scripts-do-not-touch/site ...
removing old policies in /var/spool/installed-scripts-do-not-touch/auto ...
creating policy directories ...
installing site policies ...
generating standalone-layout.bro ...
generating local-networks.bro ...
generating broctl-config.bro ...
generating broctl-config.sh ...
updating nodes ...
stopping ...
stopping bro ...
starting ...
starting bro ...

如果您没有遇到任何错误-将会部署bro。

步骤5：测试安装

现在让我们看一下日志：ls -la /var/log/bro。输出应与此类似：

total 12
drwxr-xr-x 3 root root 4096 Jun 13 10:11 .
drwxr-xr-x 1 root root 4096 Jun 13 10:04 ..
drwxr-xr-x 2 root root 4096 Jun 13 10:11 2017-06-13
lrwxrwxrwx 1 root root   14 Jun 13 10:11 current -> /var/spool/bro

运行此命令以尾日志：tail -f /var/log/bro/current/conn.log并从浏览器查询您的IP。
如果一切配置正确，您将看到日志消息。

请享用！