基于CentOS 8 系统环境下的 Snort 3 安装指南


O、 阅读要求

本教程并不适合初学者,大家在阅读本文之前,需具备CentOS 8 Linux、Snort 2.9的成功安装经验。本次安装对网络依赖很大,所以大家一定要将网络状态调节好,本指南介绍的内容,仅在测试环境中使用。

一、环境

虚拟机:VMware Workstation V15

安装镜像:CentOS 8 (CentOS-8.2.2004-x86_64-minimal.iso )

安装方式:基于网络安全方面的考虑,本实验采用最小化安装CentOS 8、内存(4G+)、CPU(4 core)、磁盘空间(20G+)。

源码位置:将各类安装源码包存放在/root/sources/,试验之初,软件包可从github克隆。

二、CentOS8 mini系统初始化

当CentOS8初次安装完,系统还无法使用。首先我们要配置网络。这里我们为网卡配置静态IP地址。安装系统时仅选择Minimal Install最小化安装,其他任何选项无需勾选。

三、启用 EPEL 和 PowerTools软件源

Snort编译过程所需的某些开发包在CentOS 8默认存储库中不可用,所以我们需要在系统中添加EPEL和PowerTools仓库。

[root@localhost ~]#dnf config-manager --add-repo /etc/yum.repos.d/CentOS-PowerTools.repo

[root@localhost ~]# dnf config-manager --set-enabled PowerTools

[root@localhost ~]# dnf install epel-release

Tip:Centos7安装了dnf也可以执行这条命令。

安装PowerTools存储库

启用两个存储库后,请使用以下命令升级所有软件包:

#dnf upgrade

Transaction Summary

===============================Install 13 Packages

Upgrade 259 Packages

Total download size: 291 M

Is this ok [y/N]:

大概升级内容为291M,更新结束后,重启系统。

任务完成之后再次登录系统,在/etc/ld.so.conf.d/目录下创建local.conf配置文件

#vi /etc/ld.so.conf.d/local.conf

添加下面内容:

/usr/local/lib

/usr/local/lib64

保存退出

#ldconfig

四、安装依赖包

安装依赖包的环节非常重要。安装依赖包比较多,我们先分解安装

[root@localhost ~]# dnf install flex bison gcc gcc-c++ make cmake automake autoconf libtool

[root@localhost ~]# dnf install libpcap-devel pcre-devel libdnet-devel hwloc-devel openssl-devel zlib-devel luajit-devel pkgconfig libmnl-devel

[root@localhost ~]# dnf install libnfnetlink-devel libnetfilter_queue-devel

这行命令必须在安装DAQ之前执行。

安装完所有软件包后,下面需要从Git存储库下载LibDAQ,并从下载的源代码中进行编译。

五、安装libDAQ

#cd sources

#git clone snort3/libdaq

#cd libdaq/

#./bootstrap // 该命令执行完毕产生configure文件

#./configure

该命令执行结果如下图所示,如一致,方可继续操作。

#make //make 是单核,make j$(nproc)可以互换。

#make install

这里安装DAQ(数据采集库)。Snort 3和Snort 2.9.x.x系列使用的是不同的DAQ。

六、安装Hyperscan

Snort3将使用Hyperscan快速模式匹配。Hyperscan需要Ragel和Boost头文件,所以我们不能直接安装Hyperscan,为了一次性安装Hyperscan分为下面10个分步:

1.安装 LZMA and UUID

#dnf install xz-devel libuuid-devel

2.安装Python 和 Sqlite

#dnf install python3 sqlite-devel

3.安装colm

[root@localhost sources]# pwd

/root/sources

#tar zxvf colm-0.13.0.7.tar.gz && cd colm-0.13.0.7

#./configure

#make -j$(nproc)

#make -j$(nproc) install

#ldconfig

4.安装ragel

如果ragel包安装不正确,会直接导致hyperscan无法编译。

curl -LO http://www.colm.net/files/ragel/ragel-7.0.0.12.tar.gz

#tar zxvf ragel-7.0.0.12.tar.gz && cd ragel-7.0.0.12

./configure

如果遇到错误configure: error: check colm: expected version 0.13.0.7, but is installed

可能是colm没安装正确,可通过“dnf install colm”一条命令搞定。下面继续编译ragel

#make -j$(nproc) //多核编译速度比单核快很多

#make -j$(nproc) install

#ldconfig

5.安装boost

由于Hyperscan需要Boost C++ Libraries, 要安装Hyperscan,还需要boost库版本为1.58或者更高版本,下面我们下载v1.72(这个包并不需要安装)。

[root@localhost sources]# //当前目录在/root/sources/

下载解压缩bootst

#tar xf boost_1_72_0.tar.gz

将bootst解压到当前目录即可。

6.安装hyperscan

经过上面5个步骤的准备工作之后,下面有请hyperscan正式出场。

#tar xf hyperscan-5.2.1.tar.gz

#mkdir hs-build && cd hs-build

创建软链接文件

[root@localhost hs-build]# ln -s ~/sources/boost_1_72_0/boost ~/sources/hyperscan-5.2.1/include/boost

确保当前目录为/root/sources/hs-build/再输入下列命令。

[root@localhost hs-build]# cmake -DCMAKE_BUILD_TYPE=Release -DCMAKE_INSTALL_PREFIX=/usr/local/ ../hyperscan-5.2.1

我们在安装Hyperscan 5.1.1时,需要Boost头文件引用的源目录路径。

安装编译过程中,出现以下显示内容,表示成功安装:

Configuring done

-- Generating done

-- Build files have been written to: /root/sources/hs-build

下面继续编译Hyperscan (过程较慢)

[root@localhost hs-build]# make -j$(nproc) //nproc是读取CPU的核心数量

见到以下内容,表示成功。

Scanning dependencies of target simplegrep

[ 99%] Building C object examples/CMakeFiles/simplegrep.dir/simplegrep.c.o

[100%] Linking CXX executable ../bin/simplegrep

[100%] Built target simplegrep

如果到这一步,表示编译通过,安装就非常简单了。

#make -j$(nproc) install

见到以下内容表示安装完成

-- Install configuration: "RELEASE"

-- Installing: /usr/local/lib64/pkgconfig/libhs.pc

-- Installing: /usr/local/include/hs/hs.h

-- Installing: /usr/local/include/hs/hs_common.h

-- Installing: /usr/local/include/hs/hs_compile.h

-- Installing: /usr/local/include/hs/hs_runtime.h

-- Installing: /usr/local/lib64/libhs_runtime.a

-- Installing: /usr/local/lib64/libhs.a

-- Installing: /usr/local/share/doc/hyperscan/examples/simplegrep.c

-- Installing: /usr/local/share/doc/hyperscan/examples/http://pcapscan.cc

-- Installing: /usr/local/share/doc/hyperscan/examples/http://patbench.cc

-- Installing: /usr/local/share/doc/hyperscan/examples/README.md

执行完成上面的命令,会在bin目录下,将会产生7个文件

[root@localhost bin]# pwd

/root/sources/hs-build/bin

[root@localhost bin]# ls

hsbench hscheck hscollider patbench pcapscan simplegrep unit-hyperscan

7.测试Hyperscan

安装好不好,测试说了算。下面我们来测试一下安装Hyperscan的成果吧。

[root@localhost bin]# ./unit-hyperscan

[==========] Running 3746 tests from 33 test cases.

[----------] Global test environment set-up.

[----------] 9 tests from CustomAllocator

[ RUN ] CustomAllocator.DatabaseInfoBadAlloc

[ OK ] CustomAllocator.DatabaseInfoBadAlloc (0 ms)

8.安装flatbuffers

首先看一下当前目录

[root@localhost sources]# pwd

/root/sources

#curl -Lo flatbuffers-1.12.tar.gz https://github.com/google/flatbuffers/archive/v1.12.0.tar.gz

#tar xf flatbuffers-1.12.tar.gz

#mkdir fb-build && cd fb-build

[root@localhost fb-build]#cmake ../flatbuffers-1.12.0

见到以下内容表示成功

-- Configuring done

-- Generating done

-- Build files have been written to: /root/sources/fb-build

#make -j$(nproc) //编译时间比较长

[100%] Built target flatsamplebinary

#make -j$(nproc) install //在 /usr/local/lib64目录增加了四个文件。

#ldconfig

#cd ../

9.安装Safec

安装safec有两种方法,我们任选其一即可:

方法1:

#dnf install libsafec libsafec-devel

#ln -s /usr/lib64/pkgconfig/safec-3.3.pc /usr/local/lib64/pkgconfig/libsafec.pc

注意上面这条命令,必须在Hyperscan正确安装完成之后,才能执行。

方法2:

如果首选从源码安装那么下面步骤

#curl -LO https://github.com/rurban/safeclib/releases/download/v08112019/libsafec-08112019.0-gad76c7.tar.gz :

#tar xf libsafec-08112019.0-gad76c7.tar.gz

#cd libsafec-08112019.0-gad76c7

[root@localhost libsafec-08112019.0-gad76c7]# ./configure

#make

make install

cd ../

10.安装Tcmalloc

#wget https://github.com/gperftools/gperftools/releases/download/gperftools-2.8/gperftools-2.8.tar.gz

解包后执行下面命令

#./configure

#make

#make install

七、安装Snort3

第六步中的10个分步骤是最难的一个环节,只有他们都安装正确,才能进行这一步的安装。

[root@localhost sources]#tar xvf snort3.tar.gz cd snort3

[root@localhost sources]# export PKG_CONFIG_PATH=/usr/local/lib/pkgconfig:$PKG_CONFIG_PATH

[root@localhost sources]# export PKG_CONFIG_PATH=/usr/local/lib64/pkgconfig:$PKG_CONFIG_PATH

[root@localhost sources]# echo $PKG_CONFIG_PATH //查看环境变量

Snort 3需要配置几个环境变量才能正确运行。我们将这些变量暂时存储在当前会话并且永久保存到本地.bashrc文件中.直接添加到.bashrc文件中。例如:

#sh -c "echo 'export SNORT_LUA_PATH=/opt/snort/etc/snort' >> ~/.bashrc"

#./configure_cmake.sh --prefix=/usr/local/snort --enable-tcmalloc

其中/usr/local/snort就是snort3的安装路径。

--prefix=/usr/local/snort

上面这个参数,表示snort将文件安装在/usr/local/snort目录中。

#tree /usr/local/snort/ -Ld 3 //查看三层目录

开始编译snort3

[root@localhost snort3]# cd build/

[root@localhost snort3]#make -j$(nproc)

[root@localhost snort3]make -j$(nproc) install

[root@localhost snort3]cd ../../

典型编译报错:

Scanning dependencies of target rna

[ 80%] Building CXX object src/network_inspectors/rna/CMakeFiles/rna.dir/rna_event_handler.cc.o

[ 80%] Building CXX object src/network_inspectors/rna/CMakeFiles/rna.dir/rna_fingerprint_tcp.cc.o

In file included from /root/sources/snort3/src/network_inspectors/rna/rna_fingerprint_tcp.h:30,

from /root/sources/snort3/src/network_inspectors/rna/rna_fingerprint_tcp.cc:25:

/root/sources/snort3/src/network_inspectors/rna/rna_fingerprint.h:24:10: fatal error: uuid/uuid.h: No such file or directory

#include <uuid/uuid.h>

^~~~~

compilation terminated.

make[2]: *** [src/network_inspectors/rna/CMakeFiles/rna.dir/build.make:76: src/network_inspectors/rna/CMakeFiles/rna.dir/rna_fingerprint_tcp.cc.o] Error 1

make[1]: *** [CMakeFiles/Makefile2:5293: src/network_inspectors/rna/CMakeFiles/rna.dir/all] Error 2

make: *** [Makefile:152: all] Error 2

[root@localhost build]#

心得:如果编译到80%失败,经过调试后重新编译,前面0~80%的部分会非常快。

八、启动snort3

[root@localhost ~]# /usr/local/snort/bin/snort -V

,,_ -> Snort++ <-

o" )~ Version 3.0.2 (Build 5)

'''' By Martin Roesch & The Snort Team

Snort - Contact

Copyright (C) 2014-2020 Cisco and/or its affiliates. All rights reserved.

Copyright (C) 1998-2013 Sourcefire, Inc., et al.

Using DAQ version 3.0.0

Using LuaJIT version 2.0.4

Using OpenSSL 1.1.1c FIPS 28 May 2019

Using libpcap version 1.9.0-PRE-GIT (with TPACKET_V3)

Using PCRE version 8.42 2018-03-20

Using ZLIB version 1.2.11

Using FlatBuffers 1.12.0

Using Hyperscan version 5.2.1 2020-08-16

Using LZMA version 5.2.4

九、安装snort3 Extra

[root@localhost sources]# git clone https://github.com/snort3/snort_extra.git

Cloning into 'snort_extra'...

Username for 'GitHub: Where the world builds software': ossimuser

Password for 'GitHub: Where the world builds software':

[root@192 ~]# git clone snort3/snort3_extra

正克隆到 'snort3_extra'...

remote: Enumerating objects: 545, done.

remote: Counting objects: 100% (545/545), done.

remote: Compressing objects: 100% (316/316), done.

remote: Total 3724 (delta 322), reused 433 (delta 227), pack-reused 3179

接收对象中: 100% (3724/3724), 713.88 KiB | 650.00 KiB/s, 完成.

处理 delta 中: 100% (2490/2490), 完成.

进行本实验如果是在线下载源码,必须注册github账户。

在构建额外的插件之前,必须设置环境变量PKG_CONFIG_PATH。可以通过列出Snort安装目录来验证路径。

[root@192 tmp]# cd snort3_extra/

[root@192 snort3_extra]# export PKG_CONFIG_PATH=/usr/local/snort/lib64/pkgconfig:$PKG_CONFIG_PATH

[root@192 snort3_extra]#

[root@192 snort3_extra]# ./configure_cmake.sh --prefix=/usr/local/snort/extra

见到下面输出信息,表示成功

snort_extra version 1.0.0

Install options:

prefix: /usr/local/snort/extra

Compiler options:

CC: /usr/bin/cc

CXX: /usr/bin/c++

EXE_LDFLAGS:

MODULE_LDFLAGS:

-- Configuring done

-- Generating done

-- Build files have been written to: /root/snort3_extra/build

以上介绍的安装Snort3.0扩展为可选项,主要安装就基本到这,后期还有大量有关Snort3配置的话题,我们下期再聊吧。

最后编辑于
©著作权归作者所有,转载或内容合作请联系作者
  • 序言:七十年代末,一起剥皮案震惊了整个滨河市,随后出现的几起案子,更是在滨河造成了极大的恐慌,老刑警刘岩,带你破解...
    沈念sama阅读 213,047评论 6 492
  • 序言:滨河连续发生了三起死亡事件,死亡现场离奇诡异,居然都是意外死亡,警方通过查阅死者的电脑和手机,发现死者居然都...
    沈念sama阅读 90,807评论 3 386
  • 文/潘晓璐 我一进店门,熙熙楼的掌柜王于贵愁眉苦脸地迎上来,“玉大人,你说我怎么就摊上这事。” “怎么了?”我有些...
    开封第一讲书人阅读 158,501评论 0 348
  • 文/不坏的土叔 我叫张陵,是天一观的道长。 经常有香客问我,道长,这世上最难降的妖魔是什么? 我笑而不...
    开封第一讲书人阅读 56,839评论 1 285
  • 正文 为了忘掉前任,我火速办了婚礼,结果婚礼上,老公的妹妹穿的比我还像新娘。我一直安慰自己,他们只是感情好,可当我...
    茶点故事阅读 65,951评论 6 386
  • 文/花漫 我一把揭开白布。 她就那样静静地躺着,像睡着了一般。 火红的嫁衣衬着肌肤如雪。 梳的纹丝不乱的头发上,一...
    开封第一讲书人阅读 50,117评论 1 291
  • 那天,我揣着相机与录音,去河边找鬼。 笑死,一个胖子当着我的面吹牛,可吹牛的内容都是我干的。 我是一名探鬼主播,决...
    沈念sama阅读 39,188评论 3 412
  • 文/苍兰香墨 我猛地睁开眼,长吁一口气:“原来是场噩梦啊……” “哼!你这毒妇竟也来了?” 一声冷哼从身侧响起,我...
    开封第一讲书人阅读 37,929评论 0 268
  • 序言:老挝万荣一对情侣失踪,失踪者是张志新(化名)和其女友刘颖,没想到半个月后,有当地人在树林里发现了一具尸体,经...
    沈念sama阅读 44,372评论 1 303
  • 正文 独居荒郊野岭守林人离奇死亡,尸身上长有42处带血的脓包…… 初始之章·张勋 以下内容为张勋视角 年9月15日...
    茶点故事阅读 36,679评论 2 327
  • 正文 我和宋清朗相恋三年,在试婚纱的时候发现自己被绿了。 大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
    茶点故事阅读 38,837评论 1 341
  • 序言:一个原本活蹦乱跳的男人离奇死亡,死状恐怖,灵堂内的尸体忽然破棺而出,到底是诈尸还是另有隐情,我是刑警宁泽,带...
    沈念sama阅读 34,536评论 4 335
  • 正文 年R本政府宣布,位于F岛的核电站,受9级特大地震影响,放射性物质发生泄漏。R本人自食恶果不足惜,却给世界环境...
    茶点故事阅读 40,168评论 3 317
  • 文/蒙蒙 一、第九天 我趴在偏房一处隐蔽的房顶上张望。 院中可真热闹,春花似锦、人声如沸。这庄子的主人今日做“春日...
    开封第一讲书人阅读 30,886评论 0 21
  • 文/苍兰香墨 我抬头看了看天上的太阳。三九已至,却和暖如春,着一层夹袄步出监牢的瞬间,已是汗流浃背。 一阵脚步声响...
    开封第一讲书人阅读 32,129评论 1 267
  • 我被黑心中介骗来泰国打工, 没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留,地道东北人。 一个月前我还...
    沈念sama阅读 46,665评论 2 362
  • 正文 我出身青楼,却偏偏与公主长得像,于是被迫代替她去往敌国和亲。 传闻我的和亲对象是个残疾皇子,可洞房花烛夜当晚...
    茶点故事阅读 43,739评论 2 351

推荐阅读更多精彩内容

  • 泛黄的留言册 宁静花开 昨天收拾书橱,翻出了泛黄的留言册,读着读着不禁泪眼婆娑。留言册是我们那个时代的...
    宁静花开阅读 173评论 0 0
  • 疫情期间龙岗区图书馆龙岭学校分馆开放通知 亲爱的各位读者: 为满足广大读者借还书需求,根据校新冠肺炎疫情防控工作领...
    燕儿在云梢阅读 287评论 0 0
  • 这个假期从当当网买了两次书,第一次买了当年明月的《明朝那些事儿》,一共九本,花了156元。第二次买了苏霍姆林斯基的...
    鹏飞翔阅读 109评论 0 0
  • 勿以小节而不拘 近来欣闻研究生院为了进一步提高研究生教学质量,推出课程教学工作大检查的举措。效果显著,公共课的出勤...
    鱼渔语文刘十六阅读 123评论 0 2
  • 久违的晴天,家长会。 家长大会开好到教室时,离放学已经没多少时间了。班主任说已经安排了三个家长分享经验。 放学铃声...
    飘雪儿5阅读 7,515评论 16 22