今天要來安裝已經十歲的Security Onion,因為是練習用的LAB環境,我們選擇VirtualBox平台,首先要下載Security Onion ISO檔案,建立VM安裝,VM的環境安排6GB的RAM ,2個CPU,60GB 的dynamic硬碟,在網路設定方面因為我們想要有兩個介面:一個用作管理,使用預設NAT設定;一個 作為監控介面,選擇Bridged Network,記得要在進階設定Promiscuous Mode選擇Allow All。
接上ISO檔案後開啟VM,進入LiveCD桌面,點選桌面上的Install Security Onion 16.04,輸入想要的帳號和密碼,使用預設選項一直選下一步即可,記得不要選擇encrypt home folder或encrypt partition,
等到安裝完畢,系統會自動重開機,輸入之前定的帳號和密碼登入,接著開啟Terminal更新軟體,Security Onion有內建的更新指令,我們在Terminal裡輸入
sudo soup
它會自動更新每個套件,如果遇到問題會在螢幕顯示。一切順利的話,更新完畢會重開機。重開機後,桌面上的圖示換為 Setup,這時候點擊Setup 繼續下一步安裝。
螢幕會提示接下來將安裝Elastic Stack、Bro、Snort/Suricata等等套件,接著提醒要設定網卡,我們選擇第一個虛擬網卡為管理介面,設定一個靜態IP填入相關資訊;接著選擇第二個虛擬網卡為監控介面,完成網路設定後需要在重開機一次。
重開機登入後,再一次點選 Setup,這時候Elastic Setup會顯示接下來將正式安裝各個套件,而且因為之前已經選好網路設定,顏慕顯示/etc/network/interfaces 已經設定好,這邊可以選擇略過。螢幕會說RAM不太夠需要至少8GB RAM,我們暫時先不理它繼續,選擇Evaluation Mode,接著創建一個使用帳號,最後來到以下螢幕圖示,選擇Yes繼續:
全部完成後,可以再次進入Terminal,更新特徵檔案Rule Set,輸入以下指令:
sudo rule-update
更新完畢後,可以輸入以下指令確認Security Onion狀態
sudo so-status
全部顯示OK,桌面也如下圖增加幾個圖示,測試的Security Onion 準備好了!