如何在Fedora 25上安裝Bro IDS程序

介紹

Bro 是一個開源網絡流量分析儀。它主要是一個安全監視器，它能夠在一個連接上檢查全部的通訊量，以顯示可疑活動的跡象。然而，更廣泛的是，Bro支持普遍的交通分析任務，甚至在安全領域以外，包括性能測量和幫助解決問題。

先決條件

在安裝Bro以前，你須要確保一些依賴關係:

所需的依賴項

Libpcap

OpenSSL libraries

BIND8 library

Libz

Bash (for BroControl)

Python 2.6+ or greater (for BroControl)

Sendmail不是必需的，可是強烈推薦。

 

步驟1:更新系統

在安裝任何包以前，建議對系統包進行更新。運行命令dnf --assumeyes update。這將下載並安裝系統包的最新版本。包管理器將自動地對所提供的提示進行應答。這可能須要一段時間。

步驟2:安裝依賴關係

您須要在系統上安裝必需的軟件包。運行如下命令:dnf --assumeyes install libpcap openssl python zlib sendmail

步驟3：安裝Bro IDS

運行命令dnf install --assumeyes bro——這個命令將把bro安裝到/bin目錄中。如今讓咱們來配置它。

步驟4：配置Bro IDS

建立文件夾:mkdir-p/var/log/bro和mkdir-p/var/spool

配置node.cfg文件

由於Fedora 2x接口的命名被更改了，因此讓咱們找出當前iface名稱:

ls /sys/class/net.輸出應該相似於這個:ens3 lo，或者這個:eth0 lo。在第一個案例中，咱們感興趣的是第二個接口名稱——eth0。讓咱們假設咱們有ens3。

如今,檢查文件/etc/bro/node.cfg.,運行命令 less /etc/bro/node.cfg.在第11行有網絡接口規範:

interface=eth0. 若是您的iface名稱是eth0—讓文件保持不更改，並繼續下一個步驟。不然——用ens3改變它。爲了運行這個命令:sed-i/eth0/ens3。選項-i 指的是改變文件的位置, s將用第一個和第二個斜槓之間的值替換爲第二個和第三個斜槓之間的值。

配置 broctl.cfg文件

在配置文件中添加變量:

echo "LibDirInternal = /usr/lib/python2.7/site-packages/BroControl/" >> /etc/bro/broctl.cfg
echo "SpoolDir = /var/spool" >> /etc/bro/broctl.cfg
echo "LogDir = /var/log/bro" >> /etc/bro/broctl.cfg
echo "CfgDir = /etc/bro" >> /etc/bro/broctl.cfg

步驟5：:啓動BroCtl

如今，咱們能夠部署已配置的節點並開始日誌記錄:

運行命令 broctl deploy。你會看到這樣的輸出:

cannot get list of local IP addresses： bwhkvm.com/

checking configurations ...

installing ...

removing old policies in /var/spool/installed-scripts-do-not-touch/site ...

removing old policies in /var/spool/installed-scripts-do-not-touch/auto ...

creating policy directories ...

installing site policies ...

generating standalone-layout.bro ...

generating local-networks.bro ...

generating broctl-config.bro ...

generating broctl-config.sh ...

updating nodes ...

stopping ...

stopping bro ...

starting ...

starting bro ...

若是你沒有出現任何錯誤， bro 就被部署了。

步驟6:測試您的安裝

如今讓咱們看一下日誌:ls -la /var/log/bro 輸出應該與這個類似:

total 12

drwxr-xr-x 3 root root 4096 Jun 13 10:11 .

drwxr-xr-x 1 root root 4096 Jun 13 10:04 ..

drwxr-xr-x 2 root root 4096 Jun 13 10:11 2017-06-13

lrwxrwxrwx 1 root root   14 Jun 13 10:11 current -> /var/spool/bro

將該命令運行到tail日誌: tail -f /var/log/bro/current/conn.log 並從瀏覽器查詢您的ip。

若是一切配置正確，您將看到日誌消息。