这篇文章面对的对象是没有太多基础的朋友们,所以内容尽量详细,希望能让不怎么会用OpenBSD的朋友入门。 阅读指南:所有需要手工录入的部分都用加阴影的字符表示,需要特别注意的地方以红色字符加阴影表示.
OpenBSD 4.2 AMD64 Mysql PHP 5 Snort 2.6. Spoink-v1.0(snort日志>pf的工具,插件) Oinkmaster(snort规则升级工具) Snort2c(snort日志>pf的工具,外部程序) BASE(类似于acid的snort记录管理工具) PFW(基于web的pf规则定制界面)
不会安装系统的搜以前的文章,回头有时间一定写一个白菜版的安装教程,注意:4.2版本的openbsd编译时需要的很多的库文件都在X*.tgz里面,安装的时候最好把所有的组件都装上,xfont42不需要,如果安装系统的时候没有安装,进入系统以后
tar xzv''[[p]]''f /你的包的位置/X*.tgz -C /
一定要加上p参数来保证权限
tar xzvf /你的包的位置/src.tar.gz -C /usr/src/ tar xzvf /你的包的位置/sysar.gz -C /usr/src/ tar xzvf /你的包的位置/ports.tar.gz -C /usr/
vi /etc/mk.conf
加入如下代码
MASTER_SITE_OVERRIDE=ftp://ftp.freebsdchina.org/pub/OpenBSD/distfiles/ \
ftp://ftp.openbsd.org.tw/pub/OpenBSD/distfiles/
#FETCH_CMD=/usr/local/bin/wget
其中FETCH_CMD前面的井号安装完wget后再去掉
cd /usr/ports make search key=wget cd net/wget make install
启用wget作为默认下载工具
vi /etc/mk.conf
将”#FETCH_CMD=/usr/local/bin/wget”前的井号删除 如果安装文件时提示文件校验失败的话,输入
make checksum REFETCH=true
来重新下载源码包
因为cvsup不支持amd64,不喜欢cvs的就用这个代替吧
cd /usr/ports make search key=cvsync cd net/cvsync &&make install
mkdir /usr/cvs vi /etc/cvsync_conf
加入如下代码:
config {
hostname cvsync.openbsd.org.tw
# If your network link is a T1 or faster, comment out the following line.
compress
collection {
name openbsd release rcs
prefix /usr/cvs
umask 002
}
}
cvsync使用
cvsync -c /etc/cvsync_conf
然后开始升级同步你的代码树
cvsync提示完成以后,输入
cd /usr cvs -d /usr/cvs checkout -rOPENBSD_4_2 src ports
来升级src和ports
= A升级新内核 =
cd /usr/src/sys/arch/amd64/conf /usr/sbin/config GENERIC cd /usr/src/sys/arch/amd64/compile/GENERIC make clean && make depend && make&&make install&&reboot
= B升级binaries =
重启以后
rm -rf /usr/obj/* cd /usr/src make obj cd /usr/src/etc && env DESTDIR=/ make distrib-dirs cd /usr/src make build&& make install === 3、安装mysql === <code bash> cd /usr/ports/databases/mysql make install
ports默认只安装mysql client,mysql server需要自己手工安装
cd /usr/ports/packages/amd64/all/ pkg_add mysql-server-5.0.45.tgz
如果没有安装p5-DBD-mysql,会提示
Can't find p5-DBD-mysql-3.0008 /usr/sbin/pkg_add: p5-DBD-mysql-3.0008:Fatal error
下面安装p5-DBD-mysql
cd /usr/ports make search key=p5-DBD-mysql cd databases/p5-DBD-mysql make install
安装完毕以后,再安装mysql server
cd /usr/ports/packages/amd64/all/ pkg_add pkg_add mysql-server-5.0.45.tgz
安装默认的mysql数据库
/usr/local/bin/mysql_install_db
修改mysql相关配置
vi /etc/sysctl.conf
加入
kern.maxfiles=4096
建议将这个值改大一点,不要超过65535就可以
vi /etc/login.conf
加入
mysql:\
:openfiles-cur=1024:\
:openfiles-max=2048:\
:tc=daemon:
保存退出后运行
<code bash>
cap_mkdb /etc/login.conf
修改rc.local vi /etc/rc.local 加入 # MySQL startup if [ -x /usr/local/bin/mysqld_safe ] ; then
su -c mysql root -c '/usr/local/bin/mysqld_safe >/dev/null 2>&1 &'
echo -n ' mysql'
fi 保存退出 测试mysql,输入 mysql 如果出现mysql>
就没有问题了 输入quit退出 现在要为mysql设置密码 /usr/local/bin/mysqld_safe & /usr/local/bin/mysqladmin -u root password '你的密码’
cd /usr/ports make search key=php5 cd www/php5 make install 完成以后只会安装php5-core-5.2.3和php5-extensions-5.2.3其他的需要手工安装 启用php5 /usr/local/sbin/phpxs –s 安装并激活php-mysql、gd、xmlrpc、gmp模块 cd /usr/ports/packages/amd64/all/ pkg_add php5-mysql-5.2.3.tgz /usr/local/sbin/phpxs -a mysql pkg_add php5-gd-5.2.3-no_x11.tgz /usr/local/sbin/phpxs -a gd pkg_add php5-xmlrpc-5.2.3.tgz /usr/local/sbin/phpxs -a xmlrpc pkg_add php5-gmp-5.2.3.tgz /usr/local/sbin/phpxs -a gmp 安装php5-sqlite-5.2.3.tgz,这是因为PFW需要sqlite,如果你不需要PF的web控制的话,这个可以不装 pkg_add php5-sqlite-5.2.3.tgz /usr/local/sbin/phpxs -a sqlite
Snort是整个安装过程的核心,其中Spoink-v1.0是以输出插件的形式和snort一起编译安装的,安装里面比较麻烦,而另一个和Spoink功能类似的snort2c要容易安装的多,怕难的朋友可以跳过Spoink安装。
Spoink-v1.0下载地址:http://spoink.sourceforge.net/#download 安装spoink之前,需要先解压缩snort,snort有很多可选的编译选项 cd /usr/ports/net/snort make show=FLAVORS 显示postgresql mysql flexresp prelude,如果要看这四个选择的具体说明 vi pkg/DESCR 其中要注意的是下面的几段
postgresql - enable postgresql database logging support
mysql - enable mysql database logging support
flexresp - enable dynamic connection killing support
prelude - enable prelude-ids support
简单翻译一下 postgresql是启用postgresql数据库来记录log
mysql是启用mysql数据库来记录log flexresp是启用动态杀死连接
prelude是启用prelude-ids(传感器模式)支持
我把后三项都启用了,这里启用带参数的编译有两种方法 ○1env法 env FLAVOR=“mysql flexresp prelude” make extract ○2编辑 Makefile法 vi Makefile 搜索FLAVOR? 原来是 FLAVOR?= 改成 FLAVOR?=mysql flexresp prelude 保存退出后,运行 make extract 接下来要修改snort的文件了,先要解压缩spoink-v1.0.tar.gz,我把下载的spoink-v1.0.tar.gz放在了home里面 cd ~ tar xzvf spoink-v1.0.tar.gz 解压缩以后出现spoink-1.0 cd spoink-1.0 cp sp* /usr/ports/net/snort/w-snort-2.6.0.2p1-mysql-flexresp-prelude/snort-2.6.0.2/src/output-plugins/ 接下来修改snort的代码来支持spoink,需要修改plugbase.c、Makefile.am和Makefile.in
cd /usr/ports/net/snort/w-snort-2.6.0.2p1-mysql-flexresp-prelude/snort-2.6.0.2/ vi src/plugbase.c 在找到void InitOutputPlugins()部分 原来是
AlertSyslogSetup(); LogTcpdumpSetup(); DatabaseSetup(); AlertFastSetup(); AlertFullSetup();
加入AlertPfSetup(); 变成
AlertSyslogSetup(); LogTcpdumpSetup(); DatabaseSetup(); AlertFastSetup(); AlertFullSetup(); ''[[AlertPfSetup();]]''
找到/* built-in output plugins */部分
原来是
#include “output-plugins/spo_alert_syslog.h”
#include “output-plugins/spo_log_tcpdump.h”
#include “output-plugins/spo_database.h”
#include “output-plugins/spo_alert_fast.h”
#include “output-plugins/spo_alert_full.h”
#include “output-plugins/spo_alert_unixsock.h”
#include “output-plugins/spo_csv.h”
#include “output-plugins/spo_unified.h”
#include “output-plugins/spo_log_null.h”
#include “output-plugins/spo_log_ascii.h”
加入#include “output-plugins/spo_pf.h”
变成
/* built-in output plugins */
#include “output-plugins/spo_alert_syslog.h”
#include “output-plugins/spo_log_tcpdump.h”
#include “output-plugins/spo_database.h”
#include “output-plugins/spo_alert_fast.h”
#include “output-plugins/spo_alert_full.h”
#include “output-plugins/spo_alert_unixsock.h”
#include “output-plugins/spo_csv.h”
#include “output-plugins/spo_unified.h”
#include “output-plugins/spo_log_null.h”
#include “output-plugins/spo_log_ascii.h”
include "output-plugins/spo_pf.h"
保存退出
vi src/output-plugins/Makefile.am
原来是
libspo_a_SOURCES = spo_alert_fast.c spo_alert_fast.h \
spo_alert_full.c spo_alert_full.h \
spo_alert_syslog.c spo_alert_syslog.h spo_alert_unixsock.c \
spo_alert_unixsock.h spo_csv.c spo_csv.h spo_database.c spo_database.h\
spo_log_null.c spo_log_null.h spo_log_tcpdump.c \
spo_log_tcpdump.h spo_unified.c spo_unified.h spo_log_ascii.c
spo_log_ascii.h \
spo_alert_sf_socket.h spo_alert_sf_socket.c spo_alert_prelude.c
spo_alert_prelude.h
加入红色部分
\(这个是在原来最后一句后边加的)
spo_pf.h spo_pf.c
变成
libspo_a_SOURCES = spo_alert_fast.c spo_alert_fast.h \
spo_alert_full.c spo_alert_full.h \
spo_alert_syslog.c spo_alert_syslog.h spo_alert_unixsock.c \
spo_alert_unixsock.h spo_csv.c spo_csv.h spo_database.c spo_database.h\
spo_log_null.c spo_log_null.h spo_log_tcpdump.c \
spo_log_tcpdump.h spo_unified.c spo_unified.h spo_log_ascii.c
spo_log_ascii.h \
spo_alert_sf_socket.h spo_alert_sf_socket.c spo_alert_prelude.c
spo_alert_prelude.h \
spo_pf.h spo_pf.c
存盘退出
vi src/output-plugins/Makefile.in 找到 libspo_a_LIBADD = am_libspo_a_OBJECTS = spo_alert_fast.$(OBJEXT) \
spo_alert_full.$(OBJEXT) spo_alert_syslog.$(OBJEXT) \
spo_alert_unixsock.$(OBJEXT) spo_csv.$(OBJEXT) \
spo_database.$(OBJEXT) spo_log_null.$(OBJEXT) \
spo_log_tcpdump.$(OBJEXT) spo_unified.$(OBJEXT) \
spo_log_ascii.$(OBJEXT) spo_alert_sf_socket.$(OBJEXT) \
spo_alert_prelude.$(OBJEXT)
加入
变成 am_libspo_a_OBJECTS = spo_alert_fast.$(OBJEXT) \
spo_alert_full.$(OBJEXT) spo_alert_syslog.$(OBJEXT) \
spo_alert_unixsock.$(OBJEXT) spo_csv.$(OBJEXT) \
spo_database.$(OBJEXT) spo_log_null.$(OBJEXT) \
spo_log_tcpdump.$(OBJEXT) spo_unified.$(OBJEXT) \
spo_log_ascii.$(OBJEXT) spo_alert_sf_socket.$(OBJEXT) \
spo_alert_prelude.$(OBJEXT) ''[[\]]''
''[[spo_pf.$(OBJEXT)]]''
找到
libspo_a_SOURCES = spo_alert_fast.c spo_alert_fast.h \
spo_alert_full.c spo_alert_full.h \
spo_alert_syslog.c spo_alert_syslog.h spo_alert_unixsock.c \
spo_alert_unixsock.h spo_csv.c spo_csv.h spo_database.c spo_database.h \
spo_log_null.c spo_log_null.h spo_log_tcpdump.c \
spo_log_tcpdump.h spo_unified.c spo_unified.h spo_log_ascii.c
spo_log_ascii.h \
spo_alert_sf_socket.h spo_alert_sf_socket.c spo_alert_prelude.c
spo_alert_prelude.h
加入红色部分
\
spo_pf.h spo_pf.c
变成
libspo_a_SOURCES = spo_alert_fast.c spo_alert_fast.h \
spo_alert_full.c spo_alert_full.h \
spo_alert_syslog.c spo_alert_syslog.h spo_alert_unixsock.c \
spo_alert_unixsock.h spo_csv.c spo_csv.h spo_database.c spo_database.h\
spo_log_null.c spo_log_null.h spo_log_tcpdump.c \
spo_log_tcpdump.h spo_unified.c spo_unified.h spo_log_ascii.c
spo_log_ascii.h \
spo_alert_sf_socket.h spo_alert_sf_socket.c spo_alert_prelude.c
spo_alert_prelude.h \
spo_pf.h spo_pf.c
存盘退出
只安装snort的话,就简单很多 env FLAVOR=“mysql flexresp prelude” make install 或者修改了Makefile以后直接make install 不过现在安装的话会提示缺少pcre-7.1、libdnet-1.10p2、prelude-libprelude-0.9.14
= A安装pcre-7.1 = cd /usr/ports make search key=pcre-7.1 cd devel/pcre make install = B安装libdnet-1.10p2 = cd /usr/ports make search key=libdnet-1.10p2 cd net/libdnet make install = C安装prelude-libprelude-0.9.14 = cd /usr/ports make search key= prelude-libprelude-0.9.14 cd security/prelude/libprelude make install
cd /usr/ports/net/snort/ make install 安装完以后,可以输入 snort –dev 测试,如果一切正常的话,能看到很多的数据包里面的能容,那就恭喜你,snort已经安装好了
安装完snort以后,虽然snort可以启动,但是很多功能都不能用,需要修改snort的配置文件,
snort的配置文件是/etc/snort/snort.conf,
在修改这个文件之前,我们要为snort增加一个mysql的数据库来保存log日志 = A操作mysql数据库 = 这里需要你注意的是不要忘记了刚刚安装mysql是设置的密码,安装完snort以后不要做make clean,因为还需要一个源码中的文件来创建snort的log数据库,如果你做了的话,或者是用pkg安装的话,也没有关系,重新下载一个snort的源码,解压缩就可以了,这个创建数据库用的文件就是源码下schemas/create_mysql 创建snort数据库和用户 mysql -u root –p 出现
Enter password:
后数据你设置的mysql密码,这里建议你的是设置两个snort数据库,一个用来存放日志,另一个用来存放重要信息的备份,出现 mysql> 后输入sql命令 create database snort_log; grant CREATE, INSERT, SELECT, DELETE, UPDATE on snort_log.* to snort_log@localhost identified by “你的密码”; create database snort_bak; grant CREATE, INSERT, SELECT, DELETE, UPDATE on snort_bak.* to snort_bak@localhost identified by “你的密码”; flush privileges; exit
= B导入mysql数据表 = cd /usr/ports/net/snort/w-snort-2.6.0.2p1-mysql-flexresp-prelude/snort-2.6.0.2/schemas(或者是到你的create_mysql所在的位置) mysql -u snort_log -p< create_mysql snort_log 输入你设置的snort_log用户密码 mysql -u snort_bak -p< create_mysql snort_bak 输入你设置的snort_bak用户密码 = C修改snort配置文件 = vi /etc/snort/snort.conf 需要修改的有六类:定义网络、配置动态加载的库、定义预处理器、配置输出插件、配置运行时的文件目录和定制规则。
如果是做测试研究的话,需要定义以下内容
○1内网ip段 搜索 var HOME_NET any 修改any为你的内网ip,要用CIDR地址格式,比如我定义的是10.1.1.0/24,我修改以后变成 var HOME_NET 10.1.1.0/24 如果你有两个或者以上的ip段,需要用[]扩起来,比如: var HOME_NET [10.1.1.0/24,192.168.1.0/24] ○2打开lowmem方式,否则的话snort要占很多内存,我开以前是480多M,打开以后是100M左右 搜索 config detection: search-method lowmem 将前面的井号删除
○3配置输出log到mysql数据库
搜索
database: log to a variety of databases
将下面的
#output database: log, mysql, user=snort password=test dbname=snort host=localhost
修改成
output database: log, mysql, user=snort_log password=你的密码 dbname=snort_log host=127.0.0.1
注意localhost一定要改成127.0.0.1,否则运行snort是会提示连不上mysql
○4如果你安装snort的时候,选择安装了Spoink-v1.0的话,就需要添加一个Spoink的输出插件 我是在刚刚修改的mysql的上面加了上去 output alert_pf: /etc/snort/wl.txt,sn_table 一切做完以后,保存退出
○5定制你需要的规则 搜索 include $RULE_PATH 把你需要的rule前面的井号删除,我运行的提示telnet.rules的第43行规则有问题,于是手动把那条规则注释调了,如果你只是学习的话,建议不开启其他规则,并把telnet注释掉,注释掉telnet.rules(43) vi /etc/snort/rules/telnet.rules 把第43行加上井号,保存退出 = D下载snort规则 = 下载snort的规则有两种方法,一是到snort.org上自己下载,然后手动解压到/etc/snort/里面,注意要下载Snort-2.6的规则;如果你想以后实现定时升级的话,可以用Oinkmaster来实现
○1 Oinkmaster 安装 cd /usr/ports make search key=Oinkmaster net/oinkmaster make install
○2 Oinkmaster使用
首先你要在snort.org注册一个账号,登陆后在登陆页面的最下面有Oinkmaster的配置例子,点oink code下面的Get code会出现一串字符,把这个字符保存下来 vi /etc/oinkmaster.conf 搜索Example for Snort 2.4,把这个例子前面的井号去掉,并把这个例子修改成 url =http://www.snort.org/pub-bin/oinkmaster.cgi/你的oink code/snortrules-snapshot-2.6.tar.gz 保存退出,输入 oinkmaster -C /etc/oinkmaster.conf -o /etc/snort/rules 提示完成以后你的snort规则就已经更新的最新了
系统默认的情况下PF是关闭的,为了以后测试Spoink和snort2c,现在需要把PF打开,输入 pfctl –e 来启用PF,如果要关闭的话,输入 pfctl –d 如果要在让PF在系统启动启用,需要修改/etc/rc.conf vi /etc/rc.conf 搜索pf,到第二个搜索到的地方 把前面的 pf=NO 改成 pf=YES 现在的环境是作防火墙的,所以还要启用路由转发功能 输入 sysctl net.inet.ip.forwarding=1 来启用ipv4的路由功能,如果要让系统启动是启用路由转发功能,需要修改/etc/sysctl.conf vi /etc/sysctl.conf 把第七行 #net.inet.ip.forwarding=1 前面的井号删除,保存后退出
Spoink的工作原理大概是:从snort的报警日志中过滤出非法访问的受保护主机的ip(攻击源),再把这些攻击源ip发送到PF中加以处理,snort2c的工作原理和Spoink类似。现在我们再看一下snort.conf中Spoink配置,
output alert_pf: /etc/snort/wl.txt,sn_table
其中定义了两部分:
/etc/snort/wl.txt 这是设置受保护ip的文档。可以使用CIDR地址格式,而snort2c不行
sn_table 这是定义的PF中的table,对攻击源的处理就是通过对这个table来实现的
○1建立/etc/snort/wl.txt vi /etc/snort/wl.txt 可以输入CIDR格式的地址
我直接写10.1.1.0/24
保存退出
○2在PF中加入sn_table,你可以现在用vi编辑,也可以等下试试web的PFW编辑 vi /etc/pf.conf 加入 table <sn_table> persist block in quick from <sn_table> to any 保存退出以后要检测、加载PF新规则,输入 pfctl -Nf /etc/pf.conf 检测规则,如果没有提示错误的话,输入 pfctl -f /etc/pf.conf 加载新规则
输入 snort -c /etc/snort/snort.conf -u _snort -g _snort –i 外网网卡名称 -l /var/snort/log 不知道你的网卡的话,输入 ifconfig –a 看一下输出,不提示错误的话就说明没有问题了,可以使用 snort -c /etc/snort/snort.conf -u _snort -g _snort -l /var/snort/log -D & 让snort后台运行,返回的是一个snort的进程号,如果想让snort在系统随启动的话,需要和mysql一样编辑rc.local vi /etc/rc.local 加入 if [ -x /usr/local/bin/snort ] ; then /usr/local/bin/snort -c /etc/snort/snort.conf -u _snort -g _snort -t /var/snort –i 外网网卡名称-l /var/snort/log -D & echo -n ' snort \n' fi
Snort2c是功能和Spoink一样的程序,安装简单,使用方便,不足之处就是受保护主机不能用CIDR格式表示 Snort2c-v0.2下载地址:http://snort2c.sourceforge.net/ ○1安装,我把我下载的snort2c-0.2.tar.gz放在了home里面 cd ~ tar xzvf snort2c-0.2.tar.gz cd snort2c-0.2/snort2c make make install cd ../mons2c make make install snort2c安装完以后会有两个程序Snort2c和mons2c。
○2Snort2c用来监控snort的报警文件中攻击受保护主机的,和Oinkmaster一样需要指定一个受保护主机列表,我是建立在/etc/snort下面,和Oinkmaste的wl.txt放在一起,名称是snort2c_ip
vi /etc/snort/snort2c_ip
输入几个收保护的主机ip每行一个,不能加子网掩码,我输入的是
10.24.1.2
10.25.1.3
输完以后保存退出,和Oinkmaste一样需要在PF中加入table
vi /etc/pf.conf
加入
table < snort2c> persist
block in quick from < snort2c> to any
保存退出后,需要更新一下PF规则,输入
pfctl -Nf /etc/pf.conf
检测规则,如果没有提示错误的话,输入
pfctl -f /etc/pf.conf
加载新规则
运行snort2c的命令是
snort2c -w 你的受保护主机ip表位置
○3mons2c是用来管理攻击源ip的
显示被屏蔽的ip
mons2c –l
清空被屏蔽的ip
mons2c –f
删除被屏蔽的ip
mons2c -d 要删除的ip
○4如果想让snort2c在系统随启动的话,需要编辑rc.local
vi /etc/rc.local
加入
if [ -x /usr/local/bin/snort ] ; then
/usr/local/sbin/snort2c –w 你的受保护主机ip表位置 -s
echo -n ' snort2c \n'
fi
安装WEB界面需要apache(系统已经默认安装)、BASE和PFW。 BASE 1.3.9 下载地址http://sourceforge.net/projects/secureideas PFW-0.7.8.tgz下载地址http://www.allard.nu/pfw/download/pfw-0.7.8.tgz
OpenBSD中apache是默认安装的,而默认情况下apache是没有运行,所以我们要让apache运行起来。WEB服务器有两个端口没有加密的80端口和加密的443端口。80端口传输的是明文,安全性比较低,所以不推荐作为管理的WEB界面上使用,而443端口是经过证书加密的,安全性能要好很多,OpenBSD已经默认安装了ssl,需要我们生成一个证书来加密WEB通信。
/usr/sbin/openssl genrsa -out /etc/ssl/private/server.key 1024 /usr/sbin/openssl req -new -key /etc/ssl/private/server.key -out /etc/ssl/private/server.csr 需要填写一些信息 Country Name (2 letter code) []:(国家代码中国是CN) State or Province Name (full name) []:(省的全称) Locality Name (eg, city) []:(所在城市名) Organization Name (eg, company) []:(组织名称) Organizational Unit Name (eg, section) []:(部门名称) Common Name (eg, fully qualified host name) []:(主机名) Email Address []:(邮箱地址) Please enter the following 'extra' attributes to be sent with your certificate request A challenge password []:(要求密码) An optional company name []:(任意公司名)
/usr/sbin/openssl x509 -req -days 365 -in /etc/ssl/private/server.csr - signkey /etc/ssl/private/server.key -out /etc/ssl/server.crt
apache的配置文件是/var/www/conf/httpd.conf
vi /var/www/conf/httpd.conf
搜索DirectoryIndex,加入index.php,变成
DirectoryIndex index.html index.php
保存退出
证书安装完毕以后,就可以启用带有ssl支持的apache了,首先要修改apache的运行参数
vi /etc/rc.conf
搜索http,并修改为
httpd_flags="-uDSSL"
保存后退出。其中DSSL是启用ssl加密支持-u是禁用apache的chroot功能,禁用是因为要让PFW能修改/etc/pf.conf文件,在chroot模式这是不能实现的
现在启用apache,输入 apachectl start 如果提示apache已经启动,现在你在IE里面输入主机ip就可以看到欢迎界面
apache默认的web目录是/var/www/htdocs,里面的文件都不需要,我们先把里面的文件删除 rm -rf /var/www/htdocs/* 建立一个phpinfo文件 vi /var/www/htdocs/phpinfo.php 输入 <? phpinfo(); ?> 保存退出后,在IE中输入 https://主机ip/phpinfo.php 来测试apache的加密传输,查看apache支持情况,如果显示正确的话,就可以进行下面的配置了
BASE需要运行除了需要php外,还需要pear、Image_Color、Image_Canvas-alpha、Image_Graph-alpha和adodb库支持。其中adodb是必须的,如果你不需要BASE输出图形表的话,前面四个不用安装
cd /usr/ports/ make search key=pear |grep Path cd www/pear make install 会提示partial-pear-1.5.0p1失败,需要删除partial-pear-1.5.0p1 pkg_delete partial-pear-1.5.0p1 然后再输入 make install 安装完成以后,就需要安装剩下的三个图形库 pear install Image_Color pear install Image_Canvas-alpha pear install Image_Graph-alpha
adodb502a.tgz 下载地址 http://adodb.sourceforge.net/#download 我把下载好的adodb502a.tgz放在home里面,现在要文件解压缩到apache目录下 cd ~ tar xzvf adodb502a.tgz -C /var/www/ cd /var/www/ mv adodb5 adodb
解压BASE并修改权限 我把下载的BASE放在了home里面,下面要把BASE解压缩到/var/www/htdocs里面并修改权限 cd ~ tar xzvf base-1.3.9.tar.gz -C /var/www/htdocs/ cd /var/www/htdocs/ mv base-1.3.9 base chown -R www * chmod -R 755 * 下面就可以WEB安装设置BASE了
IE中输入 https://你的主机ip/base/ 如果显示的页面中出现Config Writeable YES
就可以继续设置,不是的话就需要按上一步配置权限
点击Continue,选择语言为中文
输入adodb的位置为,注意最后不带”/” /var/www/adodb 然后点击提交查询内容
数据库默认mysql不用改 Database Name:snort_log Database Host:127.0.0.1 Database Port:留空 Database User Name: snort_log Database Password:你设置的密码 Use Archive Database:前面点上对号 Archive Database Name:snort_bak Archive Database Host:127.0.0.1 Archive Database Port: 留空 Archive Database User Name:snort_bak Archive Database Password:你设置的密码
选中Use Authentication System,并设置管理账号、密码和用户名全称
点击Creat BASE AG 来创建BASE的table,成功的话会出现一些成功的提示
出现登陆界面,输入你设置的用户名和密码就可以进入了,但是第一次登陆以后会提示snort_bak错误,这是因为BASE没有在snort_bak创建table,这里就需要手工输入 cd /var/www/htdocs/base/sql/ mysql -u snort_bak -p< create_base_tbls_mysql.sql snort_bak 输入你设置的snort_bak的密码,完成以后再次登陆BASE就不会提示错误了
PFW是PHP写的PF控制界面,要求系统中安装了SQLite,安装PFW以前,先要检测以下SQLite 是不是已经安装,输入 php -i | grep SQLite 如果显示不是什么都没有的话,就可以开始安装PFW了
我把下载的pfw-0.7.8.tgz放在了home里面,下面要把PFW解压缩到/var/www/下面并修改权限,并导入数据 cd ~ tar xzcf pfw-0.7.8.tgz -C /var/www/ cd /var/www/pfw chown -R www:www conf sqlite conf/config.db < docs/sql/sqlite.sq
vi /var/www/conf/httpd.conf 加入 Alias /pfw ”/var/www/pfw/web/” <Directory ”/var/www/pfw/web”>
AllowOverride None Order allow,deny
Allow from all </Directory> 保存退出以后,重启apache,输入 apachectl restart
PFW可以把WEB编辑的PF规则安装到系统中,所以要有root的权限,输入 visudo 添加 www ALL = NOPASSWD: /var/www/pfw/bin/* 保存退出,现在可以用在IE里面 http://主机ip/pfw 来进行PF规则配置
整个系统到这里就可以已经可以正常使用了,但是硬盘的性能会是整个系统的瓶颈,可以用softupdate来缓解 vi /etc/fstab 加入softdep,我的fstab是 /dev/wd0a / ffs rw,softdep 1 1 /dev/wd0i /home ffs rw,nodev,nosuid,softdep 1 2 /dev/wd0e /tmp ffs rw,nodev,nosuid,softdep 1 2 /dev/wd0g /usr ffs rw,nodev,softdep 1 2 /dev/wd0h /var ffs rw,nodev,nosuid,softdep 1 2 然后输入reboot重启主机,安装过程到此结束!
《安装篇完》
终于写完了《构建基于OPENBSD 4.2 AMD64 stable的主动防火墙》,现在的系统如果你是学习的话已经足够用了,但是决定不要应用的生产环境,系统还有很大的瓶颈,整个系统的瓶颈是mysql,因为mysql执行查询很快,但是执行插入很慢,而snort的执行方式是将抓到的文件都插入到mysql里面,整个系统都在等待mysql作慢慢的插入工作。如果要应用与生产环境的话,还要进行优化配置,甚至是分布式部署(还记得snort的prelude选择吗?),这些问题都要等到第二篇――部署篇 来解决
如果您发现本文有什么不对的地方,请和我联系
作者:尘羽星翔
E-mail:wosl2001@gmail.com