来源：http://hi.baidu.com/pia_ca/blog/item/2767d3f386376edd7931aa28.html 一、前言 算了，这部分就省了吧。下面直奔主题。 二、准备工作 centos 6.2 我是最小化安装，同时使用 163 的源进行 update ，所以还需要安装如下的依赖包： [piaca@piaca ~]$ sud
来源：http://hi.baidu.com/pia_ca/blog/item/2767d3f386376edd7931aa28.html一、      前言         算了，这部分就省了吧。下面直奔主题。
二、      准备工作         centos 6.2我是最小化安装，同时使用163的源进行update，所以还需要安装如下的依赖包：
         [piaca@piaca ~]$ sudo yum install gcc make pcre pcre-devel libpcap libpcap-devel
同时需要关闭iptables、ip6tables：
         [piaca@piaca ~]$ sudo service iptables stop
         [piaca@piaca ~]$ sudo service ip6tables stop
         [piaca@piaca ~]$ sudo chkconfig --level 2345 iptables off
         [piaca@piaca ~]$ sudo chkconfig --level 2345 ip6tables off
需要下载的软件：
          suricata
          http://www.openinfosecfoundation.org/index.php/downloads
          barnyard 2
          http://www.securixlive.com/barnyard2/
          base
          http://base.secureideas.net/
          yaml
          http://pyyaml.org/
          adodb
          http://sourceforge.net/projects/adodb/
          rules
          http://rules.emergingthreats.net/open/suricata/emerging.rules.tar.gz
          image_canvas
          http://download.pear.php.net/package/image_canvas-0.3.3.tgz
          image_graph
          http://download.pear.php.net/package/image_graph-0.8.0.tgz
三、      配置apm环境     base需要apm（apache、php、mysql）环境，通过yum来进行安装。
     [piaca@piaca ids]$ sudo yum install httpd php mysql mysql-server mysql-devel php-mysql php-gd php-pear
启动httpd、mysql服务
  [piaca@piaca ids]$ sudo /etc/init.d/httpd start
  [piaca@piaca ids]$ sudo /etc/init.d/mysqld start
默认的web根目录是/var/www/html，在此目录新建phpinfo测试文件，来确认配置是否正确。
        ps：mysql安装后root账号默认口令为空，通过下面命令可以修改root账号口令
        [piaca@piaca ~]$ mysqladmin -uroot -p password [新密码]
四、      安装barnyard 2  安装过程如下：
  [piaca@piaca ids]$ tar zxvf barnyard2-1.9.tar.gz
  [piaca@piaca ids]$ cd barnyard2-1.9
  [piaca@piaca barnyard2-1.9]$ ./configure --with-mysql
  [piaca@piaca barnyard2-1.9]$ make
  [piaca@piaca barnyard2-1.9]$ sudo make install
五、      安装suricata  安装过程如下：
  suricata需要依赖yaml，首先安装yaml
  [piaca@piaca ids]$ tar zxvf yaml-0.1.4.tar.gz
  [piaca@piaca ids]$ cd yaml-0.1.4
  [piaca@piaca yaml-0.1.4]$ ./configure
  [piaca@piaca yaml-0.1.4]$ make
  [piaca@piaca yaml-0.1.4]$ sudo make install
[piaca@piaca ids]$ tar zxvf suricata-1.1.1.tar.gz
  [piaca@piaca ids]$ cd suricata-1.1.1
  [piaca@piaca suricata-1.1.1]$ ./configure
  [piaca@piaca suricata-1.1.1]$ make
  [piaca@piaca suricata-1.1.1]$ sudo make install
六、      配置suricata、barnyard 2  配置barnyard 2
  把barnyard 2安装源文件中的etc/barnyard2.conf文件拷贝到suricata的配置目录下
   [piaca@piaca ids]$ cd barnyard2-1.9
   [piaca@piaca barnyard2-1.9]$ sudo cp etc/barnyard2.conf /etc/suricata/
  创建barnyard2日志目录/var/log/barnyard2
   [piaca@piaca ~]$ sudo mkdir /var/log/barnyard2
配置数据库
  需要创建数据库和相应的账号
   [piaca@piaca ~]$ mysql -uroot –p
   mysql> create database ids;
   mysql> grant create,select,update,insert,delete on ids.* to ids@localhost identified by 'ids123';
barnyard 2安装源文件中的schemas/create_mysql是创建表的sql文件，通过如下方式建表：
          [piaca@piaca ~]$ mysql -uids -p -dids
配置suricata
  创建suricata配置目录和日志目录
   [piaca@piaca ~]$ sudo mkdir /var/log/suricata
   [piaca@piaca ~]$ sudo mkdir /etc/suricata
把规则文件拷贝到suricata配置目录下
   [piaca@piaca ids]$ tar zxvf emerging.rules.tar.gz
   [piaca@piaca ids]$ sudo cp -r rules/ /etc/suricata/
把suricata安装源文件中的suricata.yaml/classification.config/reference.config文件拷贝到suricata的配置目录下
   [piaca@piaca ids]$ cd suricata-1.1.1
   [piaca@piaca suricata-1.1.1]$ sudo cp suricata.yaml classification.config reference.config /etc/suricata/
编辑barnyard2.conf文件
          [piaca@piaca ~]$ cd /etc/suricata/
          [piaca@piaca suricata]$ sudo vim barnyard2.conf
      找到下面的内容
           config reference_file:      /etc/snort/reference.config
           config classification_file: /etc/snort/classification.config
           config gen_file:            /etc/snort/gen-msg.map
           config sid_file:                /etc/snort/sid-msg.map
      更改红色的内容如下：
          config reference_file:      /etc/suricata/reference.config
          config classification_file: /etc/suricata/classification.config
          config gen_file:            /etc/suricata/rules/gen-msg.map
          config sid_file:            /etc/suricata/rules/sid-msg.map
同时在文件的末尾添加如下行，红色的mysql数据库、账号信息根据实际情况填写
          output database: log, mysql, user=ids password=ids123 dbname=ids host=localhost
编辑suricata.yaml文件
          [piaca@piaca suricata]$ sudo vim suricata.yaml
      找到home_net: [192.168.0.0/16,10.0.0.0/8,172.16.0.0/12]这一行，根据实际的网络情况来修改，在这里我修改为home_net: [192.168.0.0/16]
      找到下面的内容：
          host-os-policy:
          # make the default policy windows.
          windows: [0.0.0.0/0]
          bsd: []
          bsd_right: []
         old_linux: []
         linux: [10.0.0.0/8, 192.168.1.100, 8762:2352:6241:7245:e000:0000:0000:0000]
         old_solaris: []
         solaris: [::1]
         hpux10: []
         hpux11: []
         irix: []
         macos: []
         vista: []
         windows2k3: []
         根据实际网络情况修改。
启动suricata、barnyard 2
         [piaca@piaca ~]$ sudo /usr/local/bin/barnyard2 -c /etc/suricata/barnyard2.conf -d /var/log/suricata -f unified2.alert -w /var/log/suricata/suricata.waldo -d
         [piaca@piaca ~]$ sudo /usr/local/bin/suricata -c /etc/suricata/suricata.yaml -i eth1 -d
         启动suricata的-i参数是镜像流量的网卡。
测试suricata工作是否正常，可以通过如下命令：
         [piaca@piaca suricata]$ curl www.testmyids.com
         执行后，/var/log/suricata目录下的fast.log/suricata.waldo/unified2.alert*文件大小发生变化，同时查看fast.log文件有如下类似的内容则表示suricata工作正常：
01/12/2012-02:16:27.964981  [**] [1:2013028:3] et policy curl user-agent outbound [**] [classification: attempted informa
tion leak] [priority: 2] {tcp} 192.168.230.100:56260 -> 217.160.51.31:80
01/12/2012-02:16:28.309707  [**] [1:2100498:7] gpl attack_response id check returned root [**] [classification: potential
ly bad traffic] [priority: 2] {tcp} 217.160.51.31:80 -> 192.168.230.100:56260
七、      配置basebase需要用到adodb以及image_canvas、image_graph绘图组件，配置过程如下：
解压adodb514.zip
[piaca@piaca ids]$ unzip adodb514.zip
把adodb5拷贝到/usr/local/lib/目录下，这个目录随意指定，记下来后面要用到
[piaca@piaca ids]$ sudo cp -r adodb5 /usr/local/lib/
         安装image_canvas、image_graph
         [piaca@piaca ids]$ sudo pear install image_canvas-0.3.3.tgz
[piaca@piaca ids]$ sudo pear install image_graph-0.8.0.tgz
解压base-1.4.5.tar.gz
[piaca@piaca ids]$ tar zxvf base-1.4.5.tar.gz
拷贝base-1.4.5到/var/www/html目录下
[piaca@piaca ids]$ sudo cp -r base-1.4.5 /var/www/html/base
更改/var/www/html/base的属主为apache
[piaca@piaca ids]$ cd /var/www/html/
[piaca@piaca html]$ sudo chown -r apache:apache base
然后通过浏览器访问http://192.168.230.100/base
根据页面中红色的部分提示来进行操作。
修改php.ini
[piaca@piaca html]$ sudo vim /etc/php.ini
找到error_reporting = e_all & ~e_deprecated内容，修改为如下：error_reporting = e_all & ~e_deprecated & ~e_notice
重新载入apache配置
[piaca@piaca html]$ sudo /etc/init.d/httpd reload
然后点击“continue”到下一步
选择语言，和前面我们的adodb5的路径，然后点击“continue”
填写mysql相关信息，点击“continue”继续
填写认证的相关信息，如果需要验证身份，请勾上“use authentication system”,点击“continue”
点击“create base ag”
点击“step 5”，跳到首页。
八、      最后以上是整个安装过程，ids的价值在于规则设置的是否合适，根据实际情况设置合适的规则才能够体现ids的强大。