Security-Onion-Solutions安全洋葱安装方法

最新推荐文章于 2025-10-14 01:25:21 发布
原创 最新推荐文章于 2025-10-14 01:25:21 发布 · 3.8k 阅读 · 18 ·
CC 4.0 BY-SA版权
R0ot
文章标签:

#安全 #网络 #服务器

本文详细介绍如何在虚拟机上安装Security Onion安全洋葱系统,并配置其成为有效的入侵检测平台。内容包括系统需求、步骤说明以及最终的配置验证。

Security-Onion-Solutions安全洋葱安装方法

securityonion安全洋葱介绍:

安全洋葱是一款开源的入侵检测系统、集成了日志分析、流量分析安全告警如:Grafana、TheHive、Playbook、         Fleet / Osquery、Winlogbeat,集众多安全软件工具为一身的开源流量分析平台

Securityonion的部署方式

配置文档

https://docs.securityonion.net/en/2.0/getting-started.html

securityonion-2.1.0-rc2基于DOCKER环境搭建、如果DOCKER命令不熟悉可以跳转到我的第一篇文章中查看DOCKER的扩展命令、后续我们会经常用到

下载地址

https://download.securityonion.net/file/securityonion/securityonion-2.1.0-rc2.iso

虚拟机配置要求:

系统Centos7 64位 、磁盘200G、内存最少12G、CPU4核

开始安装

新建虚拟机

稍后安装操作系统

选择centos7 64位

虚拟机名称和存放的位置

硬盘建议200G

点击完成 即可创建虚拟机

点击编辑虚拟机

内存设置8G

CPU设置4核

添加一快网卡

两快网卡都使用桥接模式

最后选择下载好的镜像点击确定即可

开启虚拟机、直接选择安装安全洋葱

输入yes、之后创建安全洋葱系统账号,我这里创建的账号密码为:onion/admin123

回车后静静等待安装、安装的快慢取决于你电脑的配置,反正我安装了半小时....

安装系统镜像结束、按回车重启系统

重启后会让你输入账号密码、此账号密码就是刚刚安装时创建的onion/admin123

选择安装类型、按上下来切换、空格选中、tab切换到OK或者Cancel下

设置主机名

选择管理网卡、这里我们选择ens33为管理网卡、ens34为镜像口

设置静态IP

因为是桥接模式需要查看本地IP地址、本地IP为192.168.0.4,我们在安全洋葱下配置地址为192.168.0.10

配置静态地址为192.168.0.10

掩码默认24位

设置网关

设置DNS

备用DNS

创建安全洋葱web登录账号密码、账号必须以邮件格式

创建密码

重复密码

界面登录的方法我们选择web登录

选择yes允许so-allow访问web工具、因为安装完成后我们要使用sudo so-allow 来启动web界面

这里IP直接为空、选择OK

点击yes 开始安装

开始安装进度

使用onion/admin123 登录到系统中、之后使用sudo so-allow 启动服务、密码为admin123,之后选择a回车后输入允许登录安全洋葱的主机地址

到此安全洋葱才算真正安装完成。

我们修改下root密码

运行sudo passwd,首次运行需要输入onion密码、输入成功后直接可以设置root密码

设置了root密码后我们可以使用CRT/XSHELL对安全洋葱ssh远程登录、检查下80、443端口是否启动、如果80 443端口并未启动、我们可以在root权限下使用docker start $(docker ps -qa) 来启动所有已挂起的镜像

我们打开浏览器输入https://192.168.0.10,输入我们安装时候创建的web登录账号密码

admin@qq.com/admin123

Kibana 数据展示界面

Grafana 监控服务器应用运行状态

Cyberchef 界面、可以加密解密数据

Fleet 登录账号密码同安全洋葱账号一样 admin@qq.com/admin123

Thehive 登录账号密码同安全洋葱账号一样admin@qq.com/admin123

至此安全洋葱基本已经安装介绍完成、功能也基本完善,要抓取所有流量数据必须做端口镜像、否则抓不到攻击告警的数据流。下篇文章我将介绍如何在不同的设备上做端口镜像、以及Kibana、Fleet 、Thehive的使用方法及流量分析。

温馨提示:在虚拟机中安装完成一定要打快照哦.....

快速安装可视化IDS系统Security Onion
weixin_33935505的博客
05-28 1576
快速安装可视化IDS系统Security Onion背景:网上有不少关于snort+barnyard2+base搭建IDS的文章,可是当你花费数天时间,还是无法完全安装完成时,及时当你安装完成发现不是你想要的平台式,时间成本如何计算?       为了节约时间,本节为大家介绍的软件叫安全洋葱Security Onion(本文中简称:SO),它和OSSIM一样,是基于Debian Linux的系统,...
Security Onion(安全洋葱)开源入侵检测系统(ids)安装
xhscxj的博客
06-05 5826
Security Onion是一款专为入侵检测和NSM(网络安全监控)设计的Linux发行版。其安装过程很简单,在短时间内就可以部署一套完整的NSM收集、检测和分析的套件。Security Onion可能是主动的,用于识别漏洞或过期的SSL证书。或者也可能是被动的,如事件响应和网络取证。其镜像可以作为传感器分布在网络中,以监控多个VLAN和子网。
Security Onion多语言支持配置:界面本地化与日志编码处理
gitblog_00995的博客
10-14 436
你是否在使用Security Onion时遇到过界面语言不匹配或日志乱码问题?本文将详细介绍如何配置Security Onion的多语言支持,包括界面本地化设置和日志编码处理方案,帮助全球用户更流畅地使用这个开源安全监控平台。读完本文后,你将能够:配置系统支持中文等多语言界面、解决日志文件中的编码混乱问题、验证本地化配置是否生效。 ## Security Onion多语言架构概述 Securi...
securityonion:一些可以在安全洋葱终端上使用的脚本
06-26
安全洋葱 一些可以在安全洋葱终端上使用的脚本。
渗透测试——漏洞扫描工具
wuli1024的博客
11-20 4136
然后还要将all这个压缩包里的plugin_feed_info.inc提取出来,命令行是 tar -zxvf all-2.0.tar.gz plugin_feed_info.inc,然鹅,我提取不出来。将下载好的插件移动到Nessus目录下,然后输入sudo /opt/nessus/sbin/nessuscli update all-2.0.tar.gz。用户名和密码随便写写就好,随后将会更新补丁,OK,这样Nessus可以使用了。将会获得一串数字,然后去激活码的这个网站,输入自己的邮箱获取激活码。
Security onion安装和配置
热门推荐
zzyandzzzy的博客
11-06 1万+
一、简介 Security onion(以下简称SO)是一个用于网络安全监控的工具。 网络安全监控(NSM)简单来说就是监控网络中的安全相关事件。SO主要有这些功能:完整的数据包捕获功能、基于网络和主机的入侵检测系统(分别为NIDS和HIDS)、和强大的分析工具。因此,我们拥有完整的数据包捕获,Snort或Suricata规则驱动的入侵检测,Bro事件驱动的入侵检测以及OSSEC基于主机的入侵
splunk-security-onion:安全洋葱 Splunk 应用程序
06-05
**安全洋葱(Security Onion)与Splunk应用程序** 安全洋葱(Security Onion)是一个开源的安全监测解决方案,专门设计用于网络监控、威胁检测和事件响应。它整合了各种开源工具,如Elasticsearch、Logstash、Kibana...
security-onion-sandbox:基于安全洋葱操作的沙箱
05-14
介绍 该项目管理用于的沙箱, 使用了定义的定义打包程序沙箱。 用法 # install require gems, puppet modules and fire up vagrant $ ./boot.sh 版权和许可 版权所有[2014] [Narkis Ronen] 根据Apache许可版本...
security-onion, 用于 IDS NSM和日志管理的Linux发行版.zip
09-18
security-onion, 用于 IDS NSM和日志管理的Linux发行版 安全洋葱项目这个 repo 包含了 ISO映像 和路标,用于安全 Onion 。希望下载并验证安全洋葱ISO映像?请进入 Verify_ISO 页面。正在查找文档?请进入 。我想看看...
packer-security-onion:一个用于创建安全性洋葱盒的打包程序设置
05-14
$ make virtualbox/security-onion-12.04.4 版权和许可 版权所有[2014] [Narkis Ronen] 根据Apache许可版本2.0(“许可”)许可; 除非遵守许可,否则您不得使用此文件。 您可以在以下位置获得许可的副本: 除非...
securityonion-docker:用于安全洋葱的Docker文件
05-25
securityonion-docker 此存储库包含用于Security Onion的Docker文件。
Security Onion安全洋葱2.3--安装(PVE环境)
zjp0591的专栏
05-04 1204
随着数据和事件消耗的增加,将需要更大的CPU容量。因此,如果有一个完全饱和的1Gbps链路,并且运行Suricata用于NIDS警报,运行Zeek用于元数据,那么需要至少5个Suricata工作线程和5个Zeek工作线程。例如,假设您正在监控平均速率为50 Mbps的链路,下面是一些快速计算:50 Mb/秒= 6.25 MB/秒= 375 MB/分钟= 22,500 MB/小时= 540,000 MB/天。带有本地日志存储和搜索的管理器节点:在企业分布式部署中,管理器节点将存储来自自身和转发节点的日志。
家庭网络防御系统搭建-siem之security onion 安装配置过程详解
村中少年的专栏
04-08 2619
介绍一下security onion安装流程,将使用该工具集中管理终端EDR和网络NDR sensor产生的日志
linux security onion ssh,Security onion安装和配置
weixin_39751195的博客
05-12 597
一、简介Security onion(以下简称SO)是一个用于网络安全监控的工具。网络安全监控(NSM)简单来说就是监控网络中的安全相关事件。SO主要有这些功能:完整的数据包捕获功能、基于网络和主机的入侵检测系统(分别为NIDS和HIDS)、和强大的分析工具。因此,我们拥有完整的数据包捕获,Snort或Suricata规则驱动的入侵检测,Bro事件驱动的入侵检测以及OSSEC基于主机的入侵检测,一...
Security Onion】系統初次部署教學。
sinat_25703325的博客
12-24 1360
本文章將會描述如何安裝Security Onion系統。提示:以下是本篇文章正文内容,下面案例可供参考以上就是今天要讲的内容,本文仅仅简单介绍了Security Onion的簡單安裝方法,而它為我们快速便捷地提供網路可見性、主機可見性、入侵檢測蜜罐、日誌管理和案例管理。更多詳細的功能可以查看官方文檔,或許下篇文章…
Security onion 开源IDS入侵检测系统 2.3.220超详细保姆级部署教程
DevonL的博客
04-12 7064
Security Onion是一个免费和开放的Linux发行版,用于威胁搜索、企业安全监控和日志管理。 易于使用的设置向导允许你在几分钟内为你的企业建立一支分布式传感器部队 Security Onion包括一个原生的网络界面,其内置的工具可供分析师用于响应警报、威胁狩猎、将证据编入案例、监控网格性能等
Security Onion安全洋葱-wazuh客户端安装
zjp0591的专栏
05-05 703
则修改/etc/hosts,删除::1 securityonion-cqt。安装key:/var/ossec/bin/manage_agents -i key。下载的agent包:wazuh-agent-3.13.1-1.x86_64.rpm。(4)输入e,再输入agent id,生成agent key。(2)输入A,配置agent的ip和名称。4、被监控服务器上修改配置文件:vi。2、在被监控服务器安装agent。]:587改为自己的邮件服务配置。5、重启postfix。
Security Onion Solutions 2.3.10部署指南
李晨光原创IT博客
11-23 3196
(完成本文实验,需要读者具备日志采集分析、ELK和Docker环境的操作经验) 1.部署准备 1.1 什么是Security Onion Solution Security Onion是免费的开源Linux发行版,它主要用于威胁搜寻,企业安全监视和日志管理。它包括TheHive,Playbook和Sigma,Fleet和osquery,Cyber​​Chef,Elasticsearch,Logstash,Kibana,Suricata,Zeek(以前的bro-ids),Wazuh等安全工具。 Sec
推荐开源项目:安全洋葱(Security Onion) 2.3
gitblog_00098的博客
06-07 655
推荐开源项目:安全洋葱(Security Onion) 2.3 去发现同类优质开源项目:https://gitcode.com/ 在网络安全领域,有一款独特的开源项目值得我们关注——Security Onion 2.3。这是一款强大的网络监控和威胁检测系统,专为那些希望提升其网络防御能力的IT专业人士打造。 项目介绍 Security Onion 2.3是一个免费且开放源代码的安全操作环境,集成了...
sudo mkdir -p /srv/salt sudo curl -o /srv/salt/top.sls https://raw.githubusercontent.com/Security-Onion-Solutions/securityonion/master/salt/top.sls
最新发布
10-30
<think>我们正在讨论两个命令: 1. `sudo mkdir -p /srv/salt` 2. `sudo curl -o /srv/salt/top.sls https://raw.githubusercontent.com/Security-Onion-Solutions/securityonion/master/salt/top.sls` 这两个命令通常与SaltStack配置管理工具相关,特别是在Security Onion这样的安全监控解决方案中。 ### 命令详解 1. **`sudo mkdir -p /srv/salt`**: - `mkdir`: 创建目录。 - `-p` 选项:确保创建路径中所有不存在的目录,并且如果目录已存在不会报错。 - `/srv/salt`: 在SaltStack中,`/srv/salt`是默认的根目录,用于存放Salt的状态文件(state files),这些文件定义了系统的配置状态。 - 作用:该命令确保Salt的主目录存在。 2. **`sudo curl -o /srv/salt/top.sls https://...`**: - `curl`: 用于从网络下载文件的工具。 - `-o /srv/salt/top.sls`: 指定输出文件路径(即下载的文件将保存为`/srv/salt/top.sls`)。 - 下载的URL是Security Onion项目在GitHub上托管的`top.sls`文件。 - 作用:下载Salt的顶层状态文件(top file)。在SaltStack中,`top.sls`文件用于将状态文件(SLS文件)映射到目标机器(minions)。它定义了哪些状态应该应用到哪些机器上。 ### 使用场景 这两个命令通常出现在配置Security Onion或使用SaltStack进行配置管理的场景中。Security Onion是一个开源的入侵检测系统(IDS)和安全监控工具,它使用SaltStack来自动化配置和管理其节点。 具体来说: -安装或配置Security Onion时,可能需要手动下载并放置一些Salt状态文件。 - `top.sls`是SaltStack的核心文件之一,它决定了状态文件如何被组织并应用到不同的节点上。 ### 可能的报错及解决 1. **`mkdir` 命令报错**: - 权限不足:即使使用了`sudo`,也可能由于sudoers配置或用户权限问题导致失败。确保执行命令的用户拥有sudo权限。 - 路径问题:如果路径中包含非法字符或路径过长,可能会失败。检查路径的正确性。 2. **`curl` 命令报错**: - **网络问题**:无法连接到GitHub(例如,DNS解析失败、网络不通)。检查网络连接,尝试ping `raw.githubusercontent.com`。 - **证书问题**:如果系统时间不正确或缺少CA证书,可能导致SSL验证失败。可以临时使用`-k`选项跳过SSL验证(不推荐),或者更新系统的CA证书包。 - **文件不存在**:如果GitHub上的文件URL发生变化或文件被删除,会返回404错误。检查URL是否有效,可以通过浏览器访问该URL确认。 - **权限问题**:虽然使用了`sudo`,但可能由于目录权限问题导致无法写入。确保`/srv/salt`目录存在且可写(由`mkdir -p`创建的目录通常具有足够的权限,但如果是已有目录,可能需要检查权限)。 示例错误处理: - 如果遇到`curl: (60) SSL certificate problem: unable to get local issuer certificate`,可以尝试更新CA证书(如`sudo apt-get install ca-certificates`)或使用`-k`选项(临时绕过,不安全)。 - 如果遇到`curl: (7) Failed to connect to raw.githubusercontent.com port 443: Connection refused`,检查防火墙设置或代理配置。 3. **组合使用**: - 确保第一个命令(创建目录)成功执行后,再执行第二个命令(下载文件)。因为如果目录不存在,`curl`的`-o`选项可能会失败(无法创建文件)。 ### 实际应用 在Security Onion安装文档中,可能会要求用户执行这些命令来获取必要的配置模板。例如,在自定义安装或升级过程中,可能需要覆盖或添加新的状态文件。 ### 引用说明 在Security Onion的官方文档中,这些命令通常用于准备SaltStack的状态树(state tree)。由于用户引用了多个无关的命令片段(如Docker安装和CentOS配置),但当前问题聚焦于SaltStack相关命令,因此我们专注于这两个命令的解释。[^1][^2][^3] §§相关问题§§ 1. 如何在SaltStack中定义和使用状态文件(state files)? 2. Security Onion如何使用SaltStack进行系统配置管理? 3. 如果`top.sls`文件下载失败,有哪些替代方法? </think>### 命令详解 #### 1. `sudo mkdir -p /srv/salt` - **作用**: - 创建目录 `/srv/salt`(SaltStack的核心目录) - `-p` 参数:自动创建路径中所有不存在的父目录(例如若 `/srv` 不存在会自动创建) - `sudo` 权限:需要管理员权限操作系统目录 - 该目录是 SaltStack 的状态文件(state files)默认存储位置,用于存储系统配置模板和策略 #### 2. `sudo curl -o /srv/salt/top.sls [URL]` - **作用**: - 从 GitHub 下载 SecurityOnion 的顶层配置文件 `top.sls` - `-o` 参数:指定保存路径(`/srv/salt/top.sls`) - `top.sls` 是 SaltStack 的入口文件,定义: - 哪些服务器节点(minions)需要配置 - 应用哪些状态配置(如安全策略、服务部署等) - URL 指向 SecurityOnion 官方维护的配置模板 --- ### 使用场景 主要用于自动化运维场景: 1. **Security Onion 部署** 开源安全监控平台,依赖 SaltStack 实现分布式配置管理。 2. **集中化运维** - `/srv/salt` 存储所有配置模板(如 Nginx、防火墙规则) - `top.sls` 控制配置的分发逻辑(例如:将 IDS 配置仅推送到检测节点) 3. **配置版本控制** 从 GitHub 下载确保使用最新官方配置模板,避免手动编写错误。 --- ### 常见报错及解决 #### 目录创建失败 ```bash mkdir: cannot create directory '/srv/salt': Permission denied ``` - **原因**:`sudo` 权限不足或 SELinux 限制 - **解决**: 1. 检查用户 sudo 权限:`sudo -l` 2. 临时禁用 SELinux:`sudo setenforce 0` 3. 检查目录所有者:`sudo chown $USER /srv/salt` #### 下载文件失败 ```bash curl: (7) Failed to connect to raw.githubusercontent.com port 443: Connection refused ``` - **原因**:DNS 解析失败/GitHub 访问限制 - **解决**: 1. 检查网络连接:`ping raw.githubusercontent.com` 2. 使用代理(如有防火墙): ```bash sudo curl -x http://proxy_ip:port -o /srv/salt/top.sls [URL] ``` 3. 替换为镜像 URL(若 GitHub 不可访问) #### 文件验证失败 - **风险**:下载文件被篡改或不完整 - **验证方法**: ```bash # 检查文件哈希(需官方提供) sha256sum /srv/salt/top.sls # 查看文件内容是否有效 head /srv/salt/top.sls ``` - 预期内容开头应为 SaltStack 状态声明: ```yaml base: '*': - securityonion ``` --- ### 典型工作流程(以 SecurityOnion 为例) 1. 创建配置目录:`sudo mkdir -p /srv/salt` 2. 下载顶层配置:`sudo curl -o /srv/salt/top.sls [URL]` 3. 添加子配置文件(如防火墙): ```bash sudo curl -o /srv/salt/firewall.sls https://.../firewall.sls ``` 4. 在 `top.sls` 中引用子配置: ```yaml base: 'monitor-node*': - firewall # 应用到所有 monitor-node 开头的服务器 ``` 5. 执行配置部署:`sudo salt '*' state.apply` 此过程实现自动化安全策略分发[^1][^3]。
评论 15
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

R0ot

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值