Stamus Networks的产品SELKS(Suricata IDPS、Elasticsearch 、Logstash 、Kibana 和 Scirius )的下载和安装(带桌面版和不带桌面版)(图文详解)
不多说,直接上干货!
SELKS是什么?
SELKS 是Stamus Networks的产品,它是基于Debian的自启动运行发行,面向网络安全管理。它基于自己的图形规则管理器提供一套完整的、易于使用的 Suricata入侵检测/入侵防范生态系统。该系统还包含Kibana ID/NSM控制面板以图形化日志及其他带有时戳的数据,以及Suricata的规则管理界面Scirius。SELKS遵循GNU通用公共许可证第3版 而发布。
snort、suircata、bro,这三个都是非常优秀的IDS(入侵检测系统)。suricata的多线程和模块化,全面兼容snort规则。
首先,我要介绍的是stamus-networks的官网
https://www.stamus-networks.com/
这是Stamus Networks的产品SELKS的github下载地址
https://github.com/StamusNetworks/SELKS
这是Stamus Networks的产品SELKS的镜像下载地址(带桌面版和不带桌面版)
https://www.stamus-networks.com/open-source/#selks
这里,大家自行去下载。我不多赘述。
然后,下载好之后。
或者
或者
一般最好用桥接
或者
或者
开启网络的混杂模式
直接回车
或者
或者
回车,如果是桥接模式,则是如下,大家自己的外网
或者,如果是NAT模式,则如下
回车
回车
大家若是新手,则选择第一个方便些。
选择,yes.
选择yes
然后,经过好一段时间
回车就是
或者
或者
当然,若是高手,一般都要自己分区。若是要请教的话,可以在本博文的下方进行留言交流。
安装好之后的结果
事先,最好
sudo vim /etc/network/interfaces
开机,这些所有的服务,都会自动启动了,非常方便和使用。
这里,若大家是用桥接模式,则是公网的ip。
若大家是NAT模式,则是虚拟机里的ip。都可以。
输入
https://192.168.80.133 或者
https://202.193.59.104.133
继续
如果大家,这里若出现比如 Elasticsearch没启动的话,
则,手动启动下就是
/etc/init.d/elasticsearch start
一开机,其实,这SELKS服务都已经启动了的。SELKS(Suricata IDPS、Elasticsearch 、Logstash 、Kibana 和 Scirius )
root@SELKS:/etc/suricata# ps aux | grep suricata root 623 0.0 0.2 55368 10508 ? S 19:31 0:00 /usr/bin/python /usr/sbin/suri_reloader -p /etc/suricata/rules -l /var/log/suri-reload.log -D logstash 625 8.0 7.3 705944 293508 ? Ssl 19:31 3:14 /usr/bin/suricata -c /etc/suricata/suricata.yaml --pidfile /var/run/suricata.pid --af-packet -D -v --user=logstash root 1371 0.0 0.0 12784 980 pts/1 S+ 20:11 0:00 grep suricata root@SELKS:/etc/suricata# ps aux | grep elasticsearch elastic+ 523 39.3 61.7 4462824 2469424 ? Ssl 19:31 16:52 /usr/bin/java -Xms2g -Xmx2g -XX:+UseConcMarkSweepGC -XX:CMSInitiatingOccupancyFraction=75 -XX:+UseCMSInitiatingOccupancyOnly -XX:+DisableExplicitGC -XX:+AlwaysPreTouch -server -Xss1m -Djava.awt.headless=true -Dfile.encoding=UTF-8 -Djna.nosys=true -Djdk.io.permissionsUseCanonicalPath=true -Dio.netty.noUnsafe=true -Dio.netty.noKeySetOptimization=true -Dio.netty.recycler.maxCapacityPerThread=0 -Dlog4j.shutdownHookEnabled=false -Dlog4j2.disable.jmx=true -Dlog4j.skipJansi=true -XX:+HeapDumpOnOutOfMemoryError -Des.path.home=/usr/share/elasticsearch -cp /usr/share/elasticsearch/lib/* org.elasticsearch.bootstrap.Elasticsearch -p /var/run/elasticsearch/elasticsearch.pid --quiet -Edefault.path.logs=/var/log/elasticsearch -Edefault.path.data=/var/lib/elasticsearch -Edefault.path.conf=/etc/elasticsearch root 1404 0.0 0.0 12784 980 pts/1 S+ 20:13 0:00 grep elasticsearch root@SELKS:/etc/suricata# ps aux | grep logstash logstash 319 15.8 9.9 3240756 398956 ? SNsl 19:30 6:51 /usr/bin/java -XX:+UseParNewGC -XX:+UseConcMarkSweepGC -XX:CMSInitiatingOccupancyFraction=75 -XX:+UseCMSInitiatingOccupancyOnly -XX:+DisableExplicitGC -Djava.awt.headless=true -Dfile.encoding=UTF-8 -XX:+HeapDumpOnOutOfMemoryError -Xmx1g -Xms256m -Xss2048k -Djffi.boot.library.path=/usr/share/logstash/vendor/jruby/lib/jni -Xbootclasspath/a:/usr/share/logstash/vendor/jruby/lib/jruby.jar -classpath : -Djruby.home=/usr/share/logstash/vendor/jruby -Djruby.lib=/usr/share/logstash/vendor/jruby/lib -Djruby.script=jruby -Djruby.shell=/bin/sh org.jruby.Main /usr/share/logstash/lib/bootstrap/environment.rb logstash/runner.rb --path.settings /etc/logstash logstash 625 8.2 7.5 705944 300636 ? Ssl 19:31 3:32 /usr/bin/suricata -c /etc/suricata/suricata.yaml --pidfile /var/run/suricata.pid --af-packet -D -v --user=logstash root 1408 0.0 0.0 12784 940 pts/1 S+ 20:14 0:00 grep logstash root@SELKS:/etc/suricata# ps aux | grep kibana kibana 320 1.7 2.1 1251944 86080 ? Ssl 19:30 0:46 /usr/share/kibana/bin/../node/bin/node --no-warnings /usr/share/kibana/bin/../src/cli -c /etc/kibana/kibana.yml root 1413 0.0 0.0 12784 956 pts/1 S+ 20:14 0:00 grep kibana root@SELKS:/etc/suricata# ps aux | grep scirius www-data 648 0.0 0.5 59680 21068 ? S 19:31 0:02 /usr/bin/python /usr/bin/gunicorn -w 5 scirius.wsgi -t 600 www-data 728 0.3 1.2 109432 49708 ? S 19:31 0:09 /usr/bin/python /usr/bin/gunicorn -w 5 scirius.wsgi -t 600 www-data 731 0.3 1.2 109000 49084 ? S 19:31 0:08 /usr/bin/python /usr/bin/gunicorn -w 5 scirius.wsgi -t 600 www-data 732 0.2 1.2 108728 48996 ? S 19:31 0:06 /usr/bin/python /usr/bin/gunicorn -w 5 scirius.wsgi -t 600 www-data 736 0.5 1.2 109000 49136 ? S 19:31 0:13 /usr/bin/python /usr/bin/gunicorn -w 5 scirius.wsgi -t 600 www-data 738 0.2 1.2 109088 49340 ? S 19:31 0:07 /usr/bin/python /usr/bin/gunicorn -w 5 scirius.wsgi -t 600 root 1419 0.0 0.0 12784 936 pts/1 S+ 20:14 0:00 grep scirius root@SELKS:/etc/suricata#
得到
/etc/init.d/kibana start
这个,大家自行去研究吧!
debian官网的网络配置
https://wiki.debian.org/NetworkConfiguration
参考
http://www.mamicode.com/info-detail-1908201.html
因为,大家都知道,这个SELKS是基于Debian 9的。
刚安装完毕的服务器是没有接口IP地址信息的,所以还需要对系统配置eth0接口IP地址。
新安装的debian9是没有ifconfig,命令的,因此你可以使用cat /etc/network/interface进行查看你的网卡配置。
很明显没有eth0接口信息,因此,我们使用nano /etc/network/interfaces手工配置一下。
强烈建议,大家去这个官网里!!!
http://www.itzgeek.com/how-tos/mini-howtos/change-default-network-name-ens33-to-old-eth0-on-ubuntu-16-04.html
https://lists.debian.org/debian-user/2017/06/msg00511.html
对此,我目前对VMare里不太会设置混杂模式的网卡,所以后面改成Virtuabox了。
作为扩展
怎么Snort + Tcpreplay搭配使用重放DARPA 1999数据集?(图文详解)
我这里采用,自带的tcpreplay来重放数据。
我这里重放的是,DARPA 1999数据集的第二周的星期一的内网数据集。
root@SELKS:~# pwd /root root@SELKS:~# ll total 391652 drwxr-xr-x 2 root root 4096 Aug 16 08:34 Desktop -rw-r--r-- 1 root root 401046958 Jun 14 1999 inside.tcpdump root@SELKS:~# tcpreplay -l 1000 -p 2000 -i enp0s3 inside.tcpdump sending out enp0s3 processing file: inside.tcpdump
其实,对于tcpdump格式的包,其实,需要转换格式为pcap格式的包,这样才可以重放。
然后,
root@SELKS:~# pwd /root root@SELKS:~# ll total 783300 drwxr-xr-x 2 root root 4096 Aug 16 08:34 Desktop -rw-r--r-- 1 root root 401046958 Aug 18 20:25 inside.pcap -rw-r--r-- 1 root root 401046958 Jun 14 1999 inside.tcpdump root@SELKS:~# tcpreplay -l 1000 -p 2000 -i enp0s3 inside.pcap sending out enp0s3 processing file: inside.pcap
selks-user@SELKS:~/pcap$ pwd /home/selks-user/pcap selks-user@SELKS:~/pcap$ ls arp_resolution.pcap aurora.pcap dns_axfr.pcap http_espn.pcap http_google.pcap http_post.pcap icmp_echo.pcap tcp_ports.pcap udp_dnsrequest.pcap selks-user@SELKS:~/pcap$ sudo tcpreplay -l 1000 -p 2000 -i enp0s3 icmp_echo.pcap
轻微多了几条而已。连续重放。连续重放10分钟看看。
关于SELKS的详细,请看
http://blog.csdn.net/upupday19/article/details/77982722
作者:大数据和人工智能躺过的坑
出处:http://www.cnblogs.com/zlslch/
本文版权归作者和博客园共有,欢迎转载,但未经作者同意必须保留此段声明,且在文章页面明显位置给出原文链接,否则保留追究法律责任的权利。
如果您认为这篇文章还不错或者有所收获,您可以通过右边的“打赏”功能 打赏我一杯咖啡【物质支持】,也可以点击右下角的【好文要顶】按钮【精神支持】,因为这两种支持都是我继续写作,分享的最大动力!