开源安全平台SELKS实战
字数 1598 2025-08-10 23:41:58

SELKS开源安全平台实战指南

1. SELKS概述

SELKS是Stamus Networks公司开发的开源ELK项目,在GPL v3许可下发布,是一个开箱即用的IDS系统。社区版SELKS包含以下核心组件:

  • Suricata:入侵检测系统(IDS)
  • Elasticsearch:搜索和分析引擎
  • Logstash:服务器端数据处理管道
  • Kibana:数据可视化平台
  • Scirius(社区版):Suricata规则集管理的web应用程序(基于Django开发)

SELKS提供基本工具用于事件分类、过滤和报警,帮助减少分析员需要查看的事件数量,同时节省磁盘存储空间。

2. SELKS6关键信息

系统规格

  • 操作系统:Debian Linux 9(stretch)
  • 内核版本:4.9.0-8
  • 默认凭据:
    • 系统登录:用户名selks-user,密码selks-user
    • Web界面:用户名selks-user,密码selks-user
    • root用户密码:StamusNetworks
  • 桌面环境:Xfce
  • 图形界面:基于Python Django框架开发

下载选项

SELKS6提供两个版本镜像:

  1. 带桌面环境的版本(推荐初学者使用)
  2. 不带桌面的高性能版本(适合专家)

3. 硬件要求(虚拟机安装)

  • CPU:至少8核
  • 内存:至少16GB(Logstash组件非常消耗内存)
  • 磁盘空间:至少500GB
  • 网络配置:
    • 推荐桥接模式
    • 网卡设置为嗅探模式
    • 必须设置静态IP(配置文件位于/etc/network/interfaces

4. 数据存储建议

  • 操作系统和/data/nsm/中的数据建议驻留在SSD上以提高速度
  • 若无SSD,可将/data/moloch/raw/挂载到单独磁盘分区

5. 系统配置步骤

a. 设置静态IP和DNS

  1. 修改网卡配置文件:/etc/network/interfaces
  2. 设置DNS配置文件:/etc/resolv.conf
  3. 重启网络服务: 
    systemctl restart networking.service

b. 设置网卡FPC(完整数据包捕获)模式

  1. 首次登录后执行: 
    selks-first-time-setup_stamus
  2. 确认网卡名称(如ens33)
  3. 选择FPC选项(输入数字1并回车)
  4. 错误日志位置:/opt/selks/log/

c. 允许root远程登录

  1. 修改SSH配置文件: 
    vi /etc/ssh/sshd_config
  2. 添加行:PermitRootLogin yes
  3. 重启SSH服务: 
    /etc/init.d/ssh restart

d. 调整分辨率

安装虚拟机增强工具后调整分辨率(默认800x600)

e. 更新系统

SELKS补丁更新频繁(每月发布),安装后应立即升级

f. 检查服务状态

检查关键服务状态命令:

systemctl status suricata
systemctl status elasticsearch
systemctl status logstash
systemctl status kibana
supervisorctl status scirius
systemctl status evebox

健康度检测脚本:

selks-health-check_stamus
  • 正常服务:绿色active(running)
  • 问题服务:红色failed

g. 初始设置JAVA

SELKS默认预装OpenJDK,可切换至Oracle Java:

  1. 确保系统最新
  2. 执行脚本: 
    /opt/selks/Scripts/Java/setup-oracle-java_stamus.sh

注:默认安装Java8(oracle-java8-installerlibc6-dev包)

6. 浏览器访问

  • 强制HTTPS访问
  • 使用默认凭据登录:用户名selks-user,密码selks-user
  • 初次使用可加载系统提供的Demo数据

7. Web界面功能

SELKS WebUI分为四个主要模块:

  1. Scirius:规则集管理与软件管理
  2. Canvas:实现定时刷新数据的动态显示界面
  3. 其他可视化功能(类似Security Onion Solutions)

8. 运维要求

虽然SELKS安装简单,但日常运维需要:

  • ELK基础知识
  • Suricata基础知识

9. 注意事项

  • 操作前建议做好系统备份
  • 网卡名称可能因环境不同而异
  • 系统日志位于/opt/selks/log/目录
  • 分辨率调整需安装虚拟机增强工具

10. 进阶信息

SELKS7安装课程已可用,建议关注最新版本更新。

SELKS开源安全平台实战指南 1. SELKS概述 SELKS是Stamus Networks公司开发的开源ELK项目,在GPL v3许可下发布,是一个开箱即用的IDS系统。社区版SELKS包含以下核心组件: S uricata:入侵检测系统(IDS) E lasticsearch:搜索和分析引擎 L ogstash:服务器端数据处理管道 K ibana:数据可视化平台 S cirius(社区版):Suricata规则集管理的web应用程序(基于Django开发) SELKS提供基本工具用于事件分类、过滤和报警,帮助减少分析员需要查看的事件数量,同时节省磁盘存储空间。 2. SELKS6关键信息 系统规格 操作系统:Debian Linux 9(stretch) 内核版本:4.9.0-8 默认凭据: 系统登录:用户名 selks-user ,密码 selks-user Web界面:用户名 selks-user ,密码 selks-user root用户密码: StamusNetworks 桌面环境:Xfce 图形界面:基于Python Django框架开发 下载选项 SELKS6提供两个版本镜像: 带桌面环境的版本(推荐初学者使用) 不带桌面的高性能版本(适合专家) 3. 硬件要求(虚拟机安装) CPU:至少8核 内存:至少16GB(Logstash组件非常消耗内存) 磁盘空间:至少500GB 网络配置: 推荐桥接模式 网卡设置为嗅探模式 必须设置静态IP(配置文件位于 /etc/network/interfaces ) 4. 数据存储建议 操作系统和 /data/nsm/ 中的数据建议驻留在SSD上以提高速度 若无SSD,可将 /data/moloch/raw/ 挂载到单独磁盘分区 5. 系统配置步骤 a. 设置静态IP和DNS 修改网卡配置文件: /etc/network/interfaces 设置DNS配置文件: /etc/resolv.conf 重启网络服务: b. 设置网卡FPC(完整数据包捕获)模式 首次登录后执行: 确认网卡名称(如ens33) 选择FPC选项(输入数字1并回车) 错误日志位置: /opt/selks/log/ c. 允许root远程登录 修改SSH配置文件: 添加行: PermitRootLogin yes 重启SSH服务: d. 调整分辨率 安装虚拟机增强工具后调整分辨率(默认800x600) e. 更新系统 SELKS补丁更新频繁(每月发布),安装后应立即升级 f. 检查服务状态 检查关键服务状态命令: 健康度检测脚本: 正常服务:绿色 active(running) 问题服务:红色 failed g. 初始设置JAVA SELKS默认预装OpenJDK,可切换至Oracle Java: 确保系统最新 执行脚本: 注:默认安装Java8( oracle-java8-installer 和 libc6-dev 包) 6. 浏览器访问 强制HTTPS访问 使用默认凭据登录:用户名 selks-user ,密码 selks-user 初次使用可加载系统提供的Demo数据 7. Web界面功能 SELKS WebUI分为四个主要模块: Scirius :规则集管理与软件管理 Canvas :实现定时刷新数据的动态显示界面 其他可视化功能(类似Security Onion Solutions) 8. 运维要求 虽然SELKS安装简单,但日常运维需要: ELK基础知识 Suricata基础知识 9. 注意事项 操作前建议做好系统备份 网卡名称可能因环境不同而异 系统日志位于 /opt/selks/log/ 目录 分辨率调整需安装虚拟机增强工具 10. 进阶信息 SELKS7安装课程已可用,建议关注最新版本更新。