Як встановити Suricata IDS на сервер Ubuntu 24.04
Suricata — це IDS (Intrusion Detection System) та IPS (Intrusion Prevention System) з відкритим вихідним кодом, розроблені OSIF (open infosec foundation). Він може відстежувати та вивчати мережевий трафік і обробляти кожен пакет для виявлення шкідливої мережевої активності. Ви можете налаштувати події журналу, активувати сповіщення та навіть скинути трафік за підозрілу мережеву активність.
Цей урок покаже вам, як встановити Suricata IDS на сервер Ubuntu 24.04. Ви встановите та налаштуєте Suricata, завантажите підписи та правила ET, а потім запустите Suricata у фоновому режимі як службу systemd.
Передумови
Щоб почати з цього посібника, переконайтеся, що у вас є наступне:
- Сервер Ubuntu 24.04.
- Користувач без прав root і має права адміністратора.
Встановлення з вихідного коду
У цьому розділі ви дізнаєтеся, як встановити Suricata з вихідного коду, скомпілювавши його вручну у своїй системі. А перед цим ви встановите залежності пакетів для компіляції Suricata.
Спочатку виконайте наведену нижче команду, щоб оновити індекс пакетів Ubuntu та встановити залежності збірки. Введіть «Y», щоб підтвердити встановлення.
sudo apt update sudo apt install autoconf automake build-essential cargo \ cbindgen libjansson-dev libpcap-dev libcap-ng-dev libmagic-dev liblz4-dev libpcre2-dev libtool \ libyaml-dev make pkg-config rustc zlib1g-dev
Тепер перейдіть до каталогу «/usr/src» і виконайте наступну команду, щоб завантажити вихідний код Suricata та розпакувати його.
cd /usr/src
wget https://www.openinfosecfoundation.org/download/suricata-7.0.6.tar.gz tar -xf suricata-7.0.6.tar.gz
Перейдіть до каталогу ‘suricata-7.0.6‘ і налаштуйте компіляцію Suricata за допомогою наступного. Завдяки цьому ви налаштуєте та встановите двійковий файл suricata в каталог ‘/usr/bin‘, конфігурацію suricata – в ‘/etc/suricata‘, а каталог даних – в ‘/var/lib/suricata‘.
cd suricata-7.0.6/ ./configure --enable-nfqueue --prefix=/usr --sysconfdir=/etc --localstatedir=/var
Після завершення процесу скопіюйте та встановіть suricata за допомогою команди нижче.
sudo make && sudo make install-full
Після завершення інсталяції ви побачите наступне:
Нарешті, виконайте наведену нижче команду, щоб знайти двійковий файл ‘suricata‘ і перевірити його версію.
which suricata suricata --build-info
У наступному виводі ви можете побачити, що suricata ‘7.0.6‘ встановлено за адресою ‘/usr/bin/suricata‘.
Встановлення через репозиторій PPA
Якщо ви віддаєте перевагу встановленню Suricata через APT, вам потрібно додати репозиторій suricata PPA до вашої системи Ubuntu. Крім того, переконайтеся, що встановлено пакет ‘software-properties‘.
Додайте репозиторій PPA для suricata за допомогою наступного:
sudo add-apt-repository ppa:oisf/suricata-stable
Тепер оновіть свій репозиторій індексу пакетів Ubuntu та встановіть suricata за допомогою команди ‘apt‘ нижче.
sudo apt update sudo apt install suricata
Введіть «Y», щоб продовжити встановлення.
Після завершення інсталяції перевірте двійковий файл suricata та його версію за допомогою команди нижче.
which suricata suricata --build-info
Нижче ви можете побачити, що suricata 7.0.6 встановлюється через менеджер пакетів APT.
Нарешті, виконайте наведену нижче команду, щоб увімкнути та зупинити службу «suricata». Вам потрібно завершити suricata перед її налаштуванням.
sudo systemctl enable suricata sudo systemctl stop suricata
Налаштування Suricata
У цьому розділі ви налаштуєте Suricata для моніторингу мережевого інтерфейсу. Suricata захоплюватиме шкідливий трафік на цільовому інтерфейсі.
Відкрийте стандартну конфігурацію Suricata ‘/etc/suricata/suricata.yaml‘ за допомогою редактора ‘nano‘.
sudo nano /etc/suricata/suricata.yaml
Якщо ви використовуєте локальну мережу, додайте підмережу домашньої мережі до змінних “HOME_NET” і “EXTERNAL_NET“.
HOME_NET: "[192.168.5.0/24]" ... EXTERNAL_NET: "!$HOME_NET"
У розділі ‘af-packet‘ змініть стандартний ‘interface‘ на ваш цільовий інтерфейс. У цьому прикладі ми будемо моніторити інтерфейс ‘enp0s3‘ за допомогою suricata.
af-packet: - interface: enp0s3
Додайте опцію ‘detect-engine‘ з ‘rule-reload: true‘, щоб увімкнути перезавантаження правил у реальному часі.
detect-engine: - rule-reload: true
Коли закінчите, збережіть файл і вийдіть з редактора.
Оновлення наборів правил Suricata
Перш ніж запускати та запускати Suricata, вам потрібно завантажити та оновити підписи та правила Suricata. Це можна зробити за допомогою командної утиліти ‘suricata-update’.
Виконайте команду «suricata-update» нижче, щоб завантажити та оновити правила suricata ET. Suricata не почнеться, коли правила ET відсутні.
sudo suricata-update
Правила suricata записуються у файл ‘/var/lib/suricata/suricata.rules‘ наступним чином:
Перевірити джерела правил можна за допомогою наступної команди:
sudo suricata-update list-sources
Бігова suricata
Тепер, коли ви налаштували Suricata, завантажили та оновили правила ET, ви протестуєте правила suricata, а потім запустите та перевірите службу “suricata”.
Щоб перевірити правила Suricata, запустіть команду ‘suricata‘ нижче. Це обробить доступні правила у файлі ‘/var/wlib/suricata/suricata.rules‘.
sudo suricata -T -c /etc/suricata/suricata.yaml -v
Якщо помилки немає, ви отримаєте висновок ‘suricata: Configuration provided was successfully loaded.‘
Тепер виконайте наведену нижче команду, щоб запустити службу «suricata» у фоновому режимі та перевірити її.
sudo systemctl start suricata sudo systemctl status suricata
У наступному виводі ви можете побачити, що служба «suricata» працює.
Висновок
Вітаємо! Ви завершили встановлення Suricata IDS на сервер Ubuntu 24.04. Ви вивчили два методи встановлення Suricata: компіляцію вручну з вихідного коду та через менеджер пакетів APT. Ви також дізналися, як налаштовувати Suricata, оновлювати підписи та правила suricata, а також тестувати правила suricata.