Stamus Networks的產品SELKS（Suricata IDPS、Elasticsearch 、Logstash 、Kibana 和 Scirius ）的下載和安裝（帶桌面版和不帶桌面版）（圖文詳解）

 

 

 

 

　　不多說，直接上干貨！

 

 SELKS是什么？

　　SELKS 是Stamus Networks的產品，它是基於Debian的自啟動運行發行，面向網絡安全管理。它基於自己的圖形規則管理器提供一套完整的、易於使用的 Suricata入侵檢測/入侵防范生態系統。該系統還包含Kibana ID/NSM控制面板以圖形化日志及其他帶有時戳的數據，以及Suricata的規則管理界面Scirius。SELKS遵循GNU通用公共許可證第3版 而發布。    

 

 

 

　　snort、suircata、bro，這三個都是非常優秀的IDS（入侵檢測系統）。suricata的多線程和模塊化，全面兼容snort規則。

 

 

 

 

 

 

 

 

　　首先，我要介紹的是stamus-networks的官網

https://www.stamus-networks.com/

 

 

 

 

 

 

 　　

　　這是Stamus Networks的產品SELKS的github下載地址

https://github.com/StamusNetworks/SELKS

 

 

 

 

 

 

 

 

 

 　　這是Stamus Networks的產品SELKS的鏡像下載地址（帶桌面版和不帶桌面版）

https://www.stamus-networks.com/open-source/#selks

 

 

 　  這里，大家自行去下載。我不多贅述。

　　然后，下載好之后。

 

 

 

或者

 

 

 

 

 

 

 

 

 

　　

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 　　或者

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 　　一般最好用橋接

 

 

 　　或者

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

　　或者

 

 

 　　開啟網絡的混雜模式

 

 

 

 

 

 

 

 

 

 

 

 

 

　　直接回車

 

　　

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

　　或者

 

 

　　或者

 

 

 

 

 

 　　回車，如果是橋接模式，則是如下，大家自己的外網

 

　　

 

　　　或者，如果是NAT模式，則如下

 

 

 

 

 

　　回車

 

 

 

 

 　　

 

 

 

 

 

 　　

 

 　　回車

 

 

 

 　　大家若是新手，則選擇第一個方便些。

 

 

 

 

 　　選擇，yes.

 

 

 

 

 

 

 

 

 

 　選擇yes

 

 

 

　　然后，經過好一段時間

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 　　回車就是

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 　　或者

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 　　或者

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 　

 

 

 

 

　　

　　當然，若是高手，一般都要自己分區。若是要請教的話，可以在本博文的下方進行留言交流。

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

　　安裝好之后的結果

 

 　　事先，最好

 

sudo vim  /etc/network/interfaces

 

 

 

 

 

 

　　開機，這些所有的服務，都會自動啟動了，非常方便和使用。

 

 

　　這里，若大家是用橋接模式，則是公網的ip。

 

 

 

 

　　　若大家是NAT模式，則是虛擬機里的ip。都可以。

 

 

 　　輸入

https://192.168.80.133


或者


https://202.193.59.104.133

 

 

 

 

 

 

 

 

 

 

 

 

 

 　　繼續

 

　　如果大家，這里若出現比如 Elasticsearch沒啟動的話，

　　則，手動啟動下就是

/etc/init.d/elasticsearch start

 

 

 

 

　　一開機，其實，這SELKS服務都已經啟動了的。SELKS（Suricata IDPS、Elasticsearch 、Logstash 、Kibana 和 Scirius ）

root@SELKS:/etc/suricata# ps aux | grep suricata
root       623  0.0  0.2  55368 10508 ?        S    19:31   0:00 /usr/bin/python /usr/sbin/suri_reloader -p /etc/suricata/rules -l /var/log/suri-reload.log -D
logstash   625  8.0  7.3 705944 293508 ?       Ssl  19:31   3:14 /usr/bin/suricata -c /etc/suricata/suricata.yaml --pidfile /var/run/suricata.pid --af-packet -D -v --user=logstash
root      1371  0.0  0.0  12784   980 pts/1    S+   20:11   0:00 grep suricata
root@SELKS:/etc/suricata# ps aux | grep elasticsearch 
elastic+   523 39.3 61.7 4462824 2469424 ?     Ssl  19:31  16:52 /usr/bin/java -Xms2g -Xmx2g -XX:+UseConcMarkSweepGC -XX:CMSInitiatingOccupancyFraction=75 -XX:+UseCMSInitiatingOccupancyOnly -XX:+DisableExplicitGC -XX:+AlwaysPreTouch -server -Xss1m -Djava.awt.headless=true -Dfile.encoding=UTF-8 -Djna.nosys=true -Djdk.io.permissionsUseCanonicalPath=true -Dio.netty.noUnsafe=true -Dio.netty.noKeySetOptimization=true -Dio.netty.recycler.maxCapacityPerThread=0 -Dlog4j.shutdownHookEnabled=false -Dlog4j2.disable.jmx=true -Dlog4j.skipJansi=true -XX:+HeapDumpOnOutOfMemoryError -Des.path.home=/usr/share/elasticsearch -cp /usr/share/elasticsearch/lib/* org.elasticsearch.bootstrap.Elasticsearch -p /var/run/elasticsearch/elasticsearch.pid --quiet -Edefault.path.logs=/var/log/elasticsearch -Edefault.path.data=/var/lib/elasticsearch -Edefault.path.conf=/etc/elasticsearch
root      1404  0.0  0.0  12784   980 pts/1    S+   20:13   0:00 grep elasticsearch
root@SELKS:/etc/suricata# ps aux | grep logstash
logstash   319 15.8  9.9 3240756 398956 ?      SNsl 19:30   6:51 /usr/bin/java -XX:+UseParNewGC -XX:+UseConcMarkSweepGC -XX:CMSInitiatingOccupancyFraction=75 -XX:+UseCMSInitiatingOccupancyOnly -XX:+DisableExplicitGC -Djava.awt.headless=true -Dfile.encoding=UTF-8 -XX:+HeapDumpOnOutOfMemoryError -Xmx1g -Xms256m -Xss2048k -Djffi.boot.library.path=/usr/share/logstash/vendor/jruby/lib/jni -Xbootclasspath/a:/usr/share/logstash/vendor/jruby/lib/jruby.jar -classpath : -Djruby.home=/usr/share/logstash/vendor/jruby -Djruby.lib=/usr/share/logstash/vendor/jruby/lib -Djruby.script=jruby -Djruby.shell=/bin/sh org.jruby.Main /usr/share/logstash/lib/bootstrap/environment.rb logstash/runner.rb --path.settings /etc/logstash
logstash   625  8.2  7.5 705944 300636 ?       Ssl  19:31   3:32 /usr/bin/suricata -c /etc/suricata/suricata.yaml --pidfile /var/run/suricata.pid --af-packet -D -v --user=logstash
root      1408  0.0  0.0  12784   940 pts/1    S+   20:14   0:00 grep logstash
root@SELKS:/etc/suricata# ps aux | grep kibana
kibana     320  1.7  2.1 1251944 86080 ?       Ssl  19:30   0:46 /usr/share/kibana/bin/../node/bin/node --no-warnings /usr/share/kibana/bin/../src/cli -c /etc/kibana/kibana.yml
root      1413  0.0  0.0  12784   956 pts/1    S+   20:14   0:00 grep kibana
root@SELKS:/etc/suricata# ps aux | grep scirius
www-data   648  0.0  0.5  59680 21068 ?        S    19:31   0:02 /usr/bin/python /usr/bin/gunicorn -w 5 scirius.wsgi -t 600
www-data   728  0.3  1.2 109432 49708 ?        S    19:31   0:09 /usr/bin/python /usr/bin/gunicorn -w 5 scirius.wsgi -t 600
www-data   731  0.3  1.2 109000 49084 ?        S    19:31   0:08 /usr/bin/python /usr/bin/gunicorn -w 5 scirius.wsgi -t 600
www-data   732  0.2  1.2 108728 48996 ?        S    19:31   0:06 /usr/bin/python /usr/bin/gunicorn -w 5 scirius.wsgi -t 600
www-data   736  0.5  1.2 109000 49136 ?        S    19:31   0:13 /usr/bin/python /usr/bin/gunicorn -w 5 scirius.wsgi -t 600
www-data   738  0.2  1.2 109088 49340 ?        S    19:31   0:07 /usr/bin/python /usr/bin/gunicorn -w 5 scirius.wsgi -t 600
root      1419  0.0  0.0  12784   936 pts/1    S+   20:14   0:00 grep scirius
root@SELKS:/etc/suricata# 

 

 

 

 

 

 

 

 

　　得到

 

 　　

/etc/init.d/kibana  start

 

 

 　　這個，大家自行去研究吧！

 

 

 

 

 

　　debian官網的網絡配置

https://wiki.debian.org/NetworkConfiguration

 

 

參考

http://www.mamicode.com/info-detail-1908201.html

　　因為，大家都知道，這個SELKS是基於Debian 9的。

　　　　

剛安裝完畢的服務器是沒有接口IP地址信息的，所以還需要對系統配置eth0接口IP地址。

  新安裝的debian9是沒有ifconfig，命令的，因此你可以使用cat /etc/network/interface進行查看你的網卡配置。

 

 

很明顯沒有eth0接口信息，因此，我們使用nano /etc/network/interfaces手工配置一下。

 

 　　強烈建議，大家去這個官網里！！！

http://www.itzgeek.com/how-tos/mini-howtos/change-default-network-name-ens33-to-old-eth0-on-ubuntu-16-04.html
https://lists.debian.org/debian-user/2017/06/msg00511.html

 

 

 

 

 

 

 　　對此，我目前對VMare里不太會設置混雜模式的網卡，所以后面改成Virtuabox了。

 

 

 

　　

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

　　作為擴展

怎么Snort + Tcpreplay搭配使用重放DARPA 1999數據集？（圖文詳解）

　　我這里采用，自帶的tcpreplay來重放數據。

　　我這里重放的是，DARPA 1999數據集的第二周的星期一的內網數據集。

 

 

 

 

root@SELKS:~# pwd
/root
root@SELKS:~# ll
total 391652
drwxr-xr-x 2 root root      4096 Aug 16 08:34 Desktop
-rw-r--r-- 1 root root 401046958 Jun 14  1999 inside.tcpdump
root@SELKS:~# tcpreplay -l 1000 -p 2000 -i enp0s3 inside.tcpdump
sending out enp0s3 
processing file: inside.tcpdump

 

　　其實，對於tcpdump格式的包，其實，需要轉換格式為pcap格式的包，這樣才可以重放。

 

 

 

 

 

 

 

 

 

 

 

　　然后，

root@SELKS:~# pwd
/root
root@SELKS:~# ll
total 783300
drwxr-xr-x 2 root root      4096 Aug 16 08:34 Desktop
-rw-r--r-- 1 root root 401046958 Aug 18 20:25 inside.pcap
-rw-r--r-- 1 root root 401046958 Jun 14  1999 inside.tcpdump
root@SELKS:~# tcpreplay -l 1000 -p 2000 -i enp0s3 inside.pcap 
sending out enp0s3 
processing file: inside.pcap

 

 

 

 

 

 

 

 

 

 

 

 

 

 

selks-user@SELKS:~/pcap$ pwd
/home/selks-user/pcap
selks-user@SELKS:~/pcap$ ls
arp_resolution.pcap  aurora.pcap  dns_axfr.pcap  http_espn.pcap  http_google.pcap  http_post.pcap  icmp_echo.pcap  tcp_ports.pcap  udp_dnsrequest.pcap
selks-user@SELKS:~/pcap$ sudo tcpreplay -l 1000 -p 2000 -i enp0s3 icmp_echo.pcap

 

 

 　　

 

　　　　輕微多了幾條而已。連續重放。連續重放10分鍾看看。

 

 

 

 

 

 

 

 

 

　　　關於SELKS的詳細，請看

http://blog.csdn.net/upupday19/article/details/77982722