一、在VMware中安装ubuntu10.04
从网上下载ubuntu-10.04-desktop-i386镜像,大概是699M,安装完之后的ubuntu系统可远远不止这么小,具体看你所选择安装的软件多少,最大的有10几个G那么大。
注意的事项: 1、 2、
网络安装服务器的选择问题(见虚拟机的网络设置) 软件包的选择问题,默认是选择了“桌面”和“标准体统”
两项,由于要在ubuntu中安装ossim-2.1,因此还得选择“数据库”这一项。
选择完以后,点击ok就开始进行安装了,大概需要2个小时的时间,视网络速度会有变化。
二、在ubuntu中安装ossim
ubuntu默认的情况下是不允许使用root身份登陆的,主要是出于保护系统的目的,但是以root进行登陆会使后面的安装过程便利许多,所以,先更改下ubuntu中的配置,使其可以以root身份登陆,方法如下:
。。。。。。。。
下面就开始进行ossim安装了! 1、配置apt
找到/etc/apt/sourses.list文件,加入如下的语句:
deb http://ftp.debian.org/debian/ etch main contrib non-free deb http://security.debian.org etch/updates main contrib non-free deb http://www.ossim.net/download/ lenny.old/ deb http://www.ossim.net/download/ debian/ deb-src http://http.us.debian.org/debian lenny main contrib non-free 注意第三行download下的文件夹是lenny.old,而不是官网上所说的lenny,本人一开始没有发现这一点,走了不少弯路。所以使用apt或yum进行在线安装的时候,不能太迷信官方,发现有错误,应该点击具体的网址去找找所需要的包是否在官网所说的地址下,如果不是,自己上网找到这些包,更改网址即可。 在/etc/apt下创建一个文件:preferences 编辑如下内容:
Package: *
Pin: release o=ossim Pin-Priority: 995
目的是为了在安装过程中可以给予ossim包一个较高的优先级。 最后运行apt-get update命令
一般在修改/etc/apt/sources.list或/etc/apt/preferences之後运行该命令。此外您需要定期运行这一命令以确保您的软件包列表是最新的。
执行apt-get update会出现错误,解决方法: 加入163的源:
deb http://mirrors.163.com/ubuntu/ precise main universe restricted multiverse deb-src http://mirrors.163.com/ubuntu/ precise main universe restricted multiverse
deb http://mirrors.163.com/ubuntu/ precise-security universe main multiverse restricted
deb-src http://mirrors.163.com/ubuntu/ precise-security universe main multiverse restricted
deb http://mirrors.163.com/ubuntu/ precise-updates universe main multiverse restricted
deb http://mirrors.163.com/ubuntu/ precise-proposed universe main multiverse restricted
deb-src http://mirrors.163.com/ubuntu/ precise-proposed universe main multiverse restricted
deb http://mirrors.163.com/ubuntu/ precise-backports universe main multiverse restricted
deb-src http://mirrors.163.com/ubuntu/ precise-backports universe main multiverse restricted
deb-src http://mirrors.163.com/ubuntu/ precise-updates universe main multiverse restricted
再次出错:包无法解析等,解决方法:
错误内容为:E: Dynamic MMap ran out of room. Please increase the size of APT::Cache-Limit. Current value: 25165824. (man 5 apt.conf)
在网络上找到的一些方法,要么不能用了,要么就换源。后来在国外一个网站找到了解决方法。该方法是在ubuntu下成功的。
终端下 输入命令 sudo gedit /etc/apt/apt.conf.d/70debconf
gedit 是文本编辑软件,也可以用emacs等软件。在ubuntu10.04下,70debconf 是缓存配置文件,在其他的一些linux系统中可能在./apt目录下就有配置文件了。 在打开的文件中添加一行 APT::Cache-Limit 33554432; 包括最后的引号
33554432是缓存大小,尽量大吧。保存就over了。
2、配置Debconf
为了自动地安装ossim包,应该对deconf设置低级别,操作如下:dpkg-reconfigure -plow debconf 。。。。。。。 3、安装编译所需的包
一条命令:apt-get install dpkg-dev fakeroot 即可!
4、从官方网站上下载最新的ossim源码包(现在的最新版本是
ossim-2.1)
将源码包解压缩到本地文件夹,如:/opt/ossim,当然你也可以放在你想放的任何地方。下面的文档中我们就以$OSSIM_PATH来指代。
5、下面开始安装ossim数据库,这是整个安装过程的一个关键步骤。 (1) 安装mysql-server,mysql-client
# apt-get install mysql-server mysql-client 如果你的apt设置没有错误的话,一路点击ok就可以了 然后设置mysql的登陆密码,命令如下:
# mysqladmin -u root password your_secret_password
(2) 更改/etc/mysql/my.cnf文件,目的是为了使数据库可以接
受任何来自远程服务器的连接。
找到文件中的 “bind-address = 127.0.0.1”这一行,
在前面加上“#”,将其注释掉就行。官方文档上说的是将127.0.0.1改成“*”号,也是错误的,会导致系统运行不了。
(3) 创建OSSIM数据库 # mkdir /etc/ossim/
# cp -r $OSSIM_PATH/contrib/debian/framework
/etc/ossim
(4) 更改/etc/ossim/framework/ossim.conf
ossim_base=ossim ossim_user=root ossim_pass=your_password ossim_host=localhost ossim_port=3306
(5) 为ossim创建新的数据库
# mysql -u root -p mysql> create database ossim; mysql> exit # cd $OSSIM_PATH/db # cat create_mysql.sql | mysql -u root ossim -p # cat ossim_data.sql snort_nessus.sql realsecure.sql | mysql -u root ossim –p 遇到ERROR 1064 (42000) at line 968: You have an error in your
SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '-
解决方法:去除错误处的代码注释,并且将fulltext出代码改为:
FULLTEXT KEY `text` (`text`)
)ENGINE=MyISAM;
即添加ENGINE=MyISAM (6) 安装snort/acid数据库 创建snort数据库 # mysql -u root -p mysql> create database snort; mysql> exit; 将表文件导入snort和acid数据库
# cat $SNORT_SOURCE/contrib/create_mysql | mysql -u root -p snort # cat $ACID_SOURCE/create_acid_tbls_mysql.sql | mysql -u root snort -p
注意:这里的$SNORT_SOURCE,$ACID_SOURCE就是ossim源码的路径,
ossim-2.1/contrib/acid/„,ossim-2.1/contrib/snort„,分别导入对应的建表语句即可
6、编译安装ossim server
(1) 首先下载安装如下包
apt-get install autoconf automake libglib2.0-dev
libgda2-dev gda2-mysql libgnet2.0-dev
如果你的apt设置没有错误的话,安装应该会很顺利的。
安装libgda2-dev需在/etc/apt/sources.list里添加源:
deb http://archive.debian.org/debian-archive/debian etch main
(2) 开始编译ossim,按照如下步骤 # cd $OSSIM_PATH/ # ./autogen.sh # cd src/ # make # cp ossim-server /usr/local/bin/ 1、注意,在上面的步骤中当输入“./autogen.sh”时,会出现“openssl not met”等等版本不一致的错误,
2、最难解的错误是
No package 'libgda' found, 解决方法:参见网页链接:
http://archive.debian.net/zh-cn/etch/i386/libgda2-dev/download 添加源:
deb http://archive.debian.org/debian-archive/debian etch main
3、此时可能会出现:Dynamic MMap ran out of room,The package cannot be parsed or opened 解决方法: 扩大内存
sudo gedit /etc/apt/apt.conf.d/70debconf,
gedit 是文本编辑软件,也可以用emacs等软件。在ubuntu10.04下,70debconf 是缓存配置文件,在其他的一些linux系统中可能在./apt目录下就有配置文件了。 在打开的文件中添加一行 APT::Cache-Limit 33554432; 包括最后的引号
33554432是缓存大小,尽量大吧。保存就over了。 最后再./autogen.sh就ok了,成功后会在src/下生成一个makefile文件,之后就可以make编译了。
(3) 将$OSSIM_PATH/etc/server文件夹拷贝到/etc/ossim下 # cp -r $OSSIM_PATH/etc/server to /etc/ossim (4) 下面要对/etc/ossim/server/config.xml文件编辑,这一步
骤很关键。
更改其名字,ip
和端口号。
(5) 创建一个log目录 # mkdir /var/log/ossim (6) 运行server
# ossim-server -d -c /etc/ossim/server/config.xml 此时会出现 Error: Could not find provider MySQL in the current setup
CONNECTION ERROR NAME: ossimDS PROVIDER: MySQL DSN: Check in config.xml
We can't open the database connection. Please check that your DB is up、
解决方法:再查看缺省的/var/log/ossim/server.log日志文件,其
错误信息显示如下:
2011-12-28 17:40:52 OSSIM-Message: Starting OSSIM Server engine.
Version: 2.4.13.001
2011-12-28 17:40:52 OSSIM-Debug: Starting OSSIM server debug with process id:
1416
2011-12-28 17:40:52 (null)-Critical: gda_client_notify_error_event: assertion
`GDA_IS_CONNECTION (cnc)' failed
2011-12-28 17:40:52 (null)-Critical: gda_connection_is_open: assertion
`GDA_IS_CONNECTION (cnc)' failed
造成该问题是因为编译libgda库时未安装mysql,导致编译libgda时未编译gda-mysql包。解决该问题只需要在安装mysql后重新编译libgda库并进行安装。
另外确保所有数据库都安装或导入成功。
7、安装OSSIM Agent (1) 安装ossim-agent
# apt-get install ossim-agent (2) 配置/etc/ossim/agent/config.cfg文件 # vi /etc/ossim/agent/config.cfg
找到相应的字段,更改成如下的内容:
sensor = 127.0.0.1 interface = eth0 # interface from where the event has come date_format = %Y-%m-%d %H:%M:%S ; format, not date itself ossim_dsn=mysql:localhost:ossim:root:yoursecretpassword 找到对应output-server部分,更改如下: enable = True ip = 127.0.0.1 port = 40001 8、安装OSSIM Framework (1) 安装apache包
# apt-get install apache2 php5 libapache2-mod-php5 php5-mysql
libapache-dbi-perl CPAN XML::Simple 配置snort用户权限
Grant all on *.* ‘snort’@’%’ identified ‘123456’ Grant all on *.* ‘snort’@’localhost’ identified ‘123456’ 安装geoip
Aptitude php5-geoip, libapache2-lib-geoip Download geoip.inc
Copy to /usr/share/ossim/include
修改geoip.inc两个函数的定义。加if(!)***** 安装acidbase
(2) 配置apache2.conf 从iso中copy apache2 文件夹
如果在/etc/apache2/apache2.conf下不存在“ServerName”这一行,则添加“ServerName localhost”。
注意官网上添加的是“NameServer”,应该将其改成“ServerName”。
在httpd.conf 中添加 ServerName localhost (3) 将OSSIM设置成服务器上默认的网页
编辑/etc/apache2/sites-avaliable/default文件,把RedirectMatch更改如下:
# apt-get install phpgacl
安装的过程中将会问你一系列的问题,回答如下:
1. Keep “administrative” database passwords in debconf? Yes 2. Will this server be used to access remote databases? No. Initially, the ossim_acl database will reside on the same host. 3. include path for php has changed!: The package will place the correct include path in the config file. 4. Version(s) of Apache to configure automatically: all 5. Database type to be used by phpgacl: mysql 6. Connection method for MySQL database of phpgacl: unix socket. If the phpgacl database is on another server use tcp. 7. Name of your database’s administrative user: root 8. Password of your database’s administrative user: Same password as configured earlier to access the ossim_acl database. 9. User that will access phpgacl database: root (we use the admin user for both) 10. MySQL application password for phpgacl: pasword previously configured. 11. database name for phpgacl: ossim_acl
(5) 安装OSSIM Framework
# apt-get install ossim-frameworkt
安装过程中你将会要求对数据库进行配置,全部选取默认的选
项即可。当然事后也可用dpkg-reconfigure ossim-utils或者dpkg-reconfigure ossim-framework对配置进行更改,注意不要随意手动地去更改ossim.conf文件。 (6) start the daemon
/etc/init.d/ossim-framework start
9、安装 OSSIM utils
Ossim-framework包依赖ossim-utils包,因此要安装此包: # apt-get install ossim-utils
三、特别注意的问题
使用apt-get install安装过程中,有可能出现无法下载某些 软件名.deb包,解决的方法是:
到提供这些包的网站上找到这些包,将其下载下来,使用命令: dpkg –i 软件名.deb (注:-e 是将软件卸载) 再使用命令:apt-get –f install安装即可!
因篇幅问题不能全部显示,请点此查看更多更全内容