Security Onion离线部署全攻略：无网络环境下的安全监控系统搭建-优快云博客

Security Onion离线部署全攻略：无网络环境下的安全监控系统搭建

【免费下载链接】securityonion Security Onion is a free and open platform for threat hunting, enterprise security monitoring, and log management. It includes our own interfaces for alerting, dashboards, hunting, PCAP, and case management. It also includes other tools such as Playbook, osquery, CyberChef, Elasticsearch, Logstash, Kibana, Suricata, and Zeek. 项目地址: https://gitcode.com/GitHub_Trending/se/securityonion

你是否曾在完全隔离的网络环境中尝试部署安全监控系统？没有互联网连接意味着无法实时下载依赖包、规则库和容器镜像，这让许多安全工具望而却步。Security Onion作为一款集成了威胁狩猎、日志管理和入侵检测的开源平台，提供了完整的离线部署方案。本文将带你一步步完成从ISO验证到系统配置的全流程，即使在无网络环境中也能构建企业级安全监控能力。读完本文后，你将掌握离线环境下的ISO校验、本地仓库配置、离线授权以及安全规则同步等关键技能。

离线部署准备工作

环境需求清单

Security Onion对硬件资源有一定要求，特别是在离线环境中无法动态扩展资源，因此需提前规划：

CPU：至少8核（推荐16核）
内存：至少32GB RAM（推荐64GB）
存储：500GB SSD（推荐1TB，用于日志和PCAP存储）
网卡：至少2块物理网卡（管理口+监控口）

ISO文件获取与验证

离线部署的第一步是获取官方ISO镜像及校验文件。从安全角度出发，必须验证ISO的完整性和真实性，防止恶意篡改。

获取ISO与校验文件
从拥有网络访问权限的设备下载最新ISO及签名文件：
- ISO镜像：securityonion-2.4.120-20250212.iso（本地存储路径示例）
- 签名文件：securityonion-2.4.120-20250212.iso.sig（位于项目的sigs目录）
- 公钥文件：KEYS
验证ISO完整性
使用GPG工具验证签名，确保ISO未被篡改：
```
# 导入公钥
gpg --import KEYS
# 验证签名
gpg --verify securityonion-2.4.120-20250212.iso.sig securityonion-2.4.120-20250212.iso
```
成功验证会显示"Good signature"，并匹配主钥指纹：C804 A93D 36BE 0C73 3EA1 9644 7C10 60B7 FE50 7013

离线部署架构选择

根据网络规模和监控需求，Security Onion支持多种离线部署架构：

独立模式：单节点部署，适用于小型网络或实验室环境
分布式模式：多节点架构（管理节点+传感器节点），适用于中大型企业网络

部署流程详解

1. ISO镜像安装

将验证后的ISO写入U盘或挂载至虚拟机，启动后选择"Install Security Onion"。安装过程中需注意：

选择"airgap"模式（离线模式）
配置静态IP地址（避免依赖DHCP）
分区建议：单独划分/nsm分区用于日志存储（至少200GB）

2. 本地仓库配置

离线环境无法访问外部软件源，需配置本地仓库：

准备本地仓库文件
在有网络的环境中，使用reposync同步所需RPM包，然后通过移动硬盘复制到离线服务器：
```
# 在联网设备上同步仓库
reposync -p /path/to/local/repo
createrepo /path/to/local/repo
```

配置本地YUM源
创建repo文件指向本地仓库路径：

[securityonion-local]
name=Security Onion Local Repo
baseurl=file:///path/to/local/repo
enabled=1
gpgcheck=0

3. 离线授权配置

Security Onion部分组件（如Elasticsearch）需要接受许可协议，离线环境下需手动配置：

修改SaltStack配置
编辑Salt配置文件，设置自动接受许可：
```
elasticsearch:
  accept_license: true
```
应用配置
通过SaltStack应用授权设置：
```
salt-call state.apply elasticsearch.auth
```

核心组件离线配置

Docker镜像离线加载

Security Onion大量使用Docker容器，离线环境需提前加载容器镜像：

导出容器镜像
在联网环境中拉取并保存所需镜像：

# 拉取镜像
docker pull securityonion/so-elasticsearch:latest
# 保存镜像
docker save securityonion/so-elasticsearch:latest > so-elasticsearch.tar

导入镜像至离线环境
在离线服务器上加载镜像：
```
docker load < so-elasticsearch.tar
```

配置本地镜像仓库
启动本地Docker registry并加载镜像：

# 启动本地仓库
docker run -d -p 5000:5000 --name so-registry registry:2
# 标记并推送镜像
docker tag securityonion/so-elasticsearch:latest localhost:5000/so-elasticsearch:latest
docker push localhost:5000/so-elasticsearch:latest

安全规则离线同步

入侵检测规则（如Suricata、Zeek）是安全监控的核心，离线环境需手动更新：

规则文件准备
在联网环境下载最新规则集：
- Suricata规则：Emerging Threats
- Zeek脚本：Zeek Package Manager

本地规则部署
将规则文件复制到指定目录并应用：

# 复制Suricata规则
cp local.rules /opt/so/saltstack/local/salt/suricata/rules/
# 应用规则配置
salt-call state.apply suricata.config

系统验证与故障排除

服务状态检查

使用so-status工具检查所有组件运行状态：

so-status

正常输出应显示所有服务为"running"状态，重点关注：

elasticsearch
kibana
suricata
zeek

日志验证

检查关键服务日志确认系统正常运行：

# 查看Elasticsearch日志
tail -f /opt/so/log/elasticsearch/elasticsearch.log
# 查看Suricata告警日志
tail -f /opt/so/log/suricata/eve.json

常见问题解决

容器启动失败
检查镜像是否完整导入，可通过docker images确认
规则不生效
验证规则文件权限是否正确（需设置为so:socore）：
```
chown -R so:socore /opt/so/saltstack/local/salt/suricata/rules/
```

部署后优化建议

资源调优

根据实际硬件配置调整系统资源分配：

Elasticsearch堆内存：编辑JVM配置文件，设置为物理内存的50%（最大31GB）
Suricata线程数：根据CPU核心数调整Suricata配置

数据备份策略

离线环境需建立定期备份机制：

使用so-backup工具创建系统备份：
```
so-backup -o /path/to/backup
```
通过移动硬盘定期导出备份文件

总结与展望

Security Onion的离线部署虽然比在线部署复杂，但通过合理的前期准备和配置，完全可以在隔离网络中构建强大的安全监控能力。关键在于严格遵循ISO验证、本地仓库配置和容器镜像管理这三个核心步骤。随着安全需求的增长，未来可以考虑构建离线环境下的分布式架构，通过内部网络同步多个传感器节点数据。

如果觉得本文对你有帮助，请点赞收藏并关注我们，下期将带来《Security Onion离线规则更新全攻略》。遇到任何问题，欢迎在社区论坛交流讨论。

创作声明：本文部分内容由AI辅助生成（AIGC），仅供参考