开源安全平台---SELKS实战

（你们在进行SELKS实战以前必须具有Elastic Stack的基础知识）

1.什么是SELKS ？

SELKS是Stamus Networks公司所开发的一个开源ELK项目，社区版是在GPL v3许可下发布，目的是实现一个开箱即用的IDS系统。社区版SELKS包括如下组件：

• S Suricata
• E Elasticsearch
• L Logstash
• K Kibana
• S Scirus（社区版）
  注：Scirius 社区版 是一个专门用于suricata规则集管理的web应用程序, 它采用Django开发。

网络安全监控系统会产生大量的事件，SELKS为用户提供了一些基本的工具，用来对事件进行分类，过滤事件，或者发出报警。这样能够帮助减小分析员查看的事件数量，也节省了磁盘储存空间。

2.SELKS6关键内容

本文主要介绍SELKS6，它是基于Debian9的发行版，面向网络安全管理。它基于本身的图形规则管理器提供一套完整的、易于使用的 Suricata***检测系统。该系统还包含Kibana IDS/NSM控制面板以图形化日志，以及Suricata的规则管理界面Scirius。在使用该版本以前须要你们了解下面的重要内容。

• 操做系统： Debian Linux 9(stretch)
• 内核版本：4.9.0-8
• 默认登陆操做用户名selks-user，密码：selks-user，
• 登陆Web界面的用户名selks-user，密码：selks-user，
• 图形界面采用Python django框架开发
• 默认root用户密码：StamusNetworks
• 系统默认使用Xfce桌面环境
  更多帮助：StamusNetworks/SELKS

3.下载ISO

SELKS6有两个版本的镜像，一个是带桌面环境的，另外一个是为专家准备的，不带桌面的高性能版本。初次接触SELKS的用户推荐前者。

点击下载

4.服务器硬件要求（以虚拟机安装为例）

CPU 至少8核
内存：至少16GB （系统中的组件logstash很是消耗内存。
磁盘可用空间：至少500GB
虚拟机安装网卡工做模式推荐桥接模式,网卡设置为嗅探模式。 网卡配置文件位于/etc/network/interfaces,设置静态IP是必备的。

虚拟机设置参考：

安装过程和Debian Linux类似，能够彻底脱离外网环境安装，这里就不详细讲解，下面为你们介绍一些安装SELKS的经验和技巧。

登陆界面

安装完加强插件后的桌面
点击鼠标右键调出菜单，图形化操做这里就不作过多的阐述，下面重点讲讲配置。

5.数据存储注意事项

为了提升速度，操做系统和/data/nsm/中的数据能够驻留在SSD上。若是没有条件上SSD设备，也能够考虑将/data/moloch/raw/挂载到单独的磁盘分区上。这样一来，速度可能会慢一些。

6.系统配置

为规避一些由误操做引发的系统错误，建议你们作好系统备份，再进行如下操做。

a.分配静态IP及设置DNS

不少初学者不太注意设置IP的问题，喜欢动态分配，这种方式会给从此的实验增长不少障碍。系统安装完成以后，应首先设置Server或Sensor的网卡IP为静态IP修改网卡配置文件/etc/network/interfaces

设置DNS

DNS配置文件/etc/resolv.conf

当IP 和DNS都配置完成以后，重启网络服务。

使用下面的命令

#systemctl restart networking.service

设置网卡FPC（完整数据包捕获）模式

顾名思义，FPC捕获给定网段上的全部流量，并将其存储到磁盘中以供之后检索。它可以提取数据包捕获并对其执行任何操做（包括测试IDS警报、分析其Netflow统计信息）。设置FPC很是关键。

首次登入系统咱们须要在SHELL命令行下输入下面的命令

#selks-first-time-setup_stamus

经过这条命令咱们能够确认，系统里面的网卡名称为ens33。

按照说明并键入所需的嗅探接口名称（ens33，而后选择完成数据包捕获（FPC）选项。接着选择FPC，输入数字1并回车。

若是你在其余虚拟机中看到的网卡名称和本文介绍的不一样，能够换成其余的。设置过程当中容易出错，查询日志的位置在/opt/selks/log/目录。

b.容许root远程登陆

因为SELKS默认下不容许root远程登陆，会形成远程调试不方便，咱们须要在SELKS上修改SSH配置文件。

#vi /etc/ssh/sshd_config

在配置文件中加入一行

PermitRootLogin yes

//yes表示root能够ssh登陆，no表示不容许。

接着重启SSH服务。

#/etc/init.d/ssh restart

c.调整分辨率

系统刚安装完成时，分辨率只有800 x 600,须要安装虚拟机加强工具，在下面的位置调整。

d.更新系统

SELKS补丁更新比较快，每月都有新的内容发布，因此刚安装完成的系统须要第一时间进行系统升级。

e.检查服务状态

下面的命令能够显示全部关键服务的运行状态。

#systemctl status suricata

#systemctl status elasticsearch

#systemctl status logstash

#systemctl status kibana

#supervisorctl status scirius

#systemctl status evebox

此外系统还提供了一条健康度的检测脚本

#selks-health-check_stamus

该脚本执行后，正常启动的服务都是绿色的active(running)状态，而有问题的服务会显示红色的failed字样。

f.初始设置JAVA

SELKS附带Debian标准的预安装OpenJDK，对于Elasticsearch，Oracle或OpenJDK都是能够接受的。因为许可问题，Oracle JAVA在默认状况下不能与SELKS一块儿提供。

若是您决定从OpenJDK切换到Oracle JAVA，请按照下面的说明操做。确保系统是最新的-SELKS升级。

通常来讲，在安装SELKS以后，您能够很容易地切换到Oracle Java，执行如下脚本：

root@SELKS:~# /opt/selks/Scripts/Java/setup-oracle-java_stamus.sh

该脚本是selks scripts stamus脚本包package of scripts的一部分，已经安装在SELKS系统中。

注意：这将默认安装Java8 oracle-java8-installer and libc6-dev 包。

g.浏览器中访问(强制https）

不记得用户名称和密码，请问上看。

系统提供了不少Demo数据，咱们先加载尝试。

首页中，将SELKS分为了四个模块对应四个界面，

该界面包含以下：

Scirius 规则集管理与软件管理

Kibana 仪表板

EveBox alert
Moloch 用于pcap导出和数据包捕获
Scirius Hunt

查看事件

Canvas(可以实现定时刷新数据实现动态显示界面)

SELKS的WebUI和SOS 2.3.x的比较类似，详细对比等到下次再介绍。