Как установить Suricata на AlmaLinux 8

Как установить Suricata на AlmaLinux 8

 

В этом руководстве мы покажем вам, как установить Suricata на AlmaLinux 8. Для тех из вас, кто не знал, Suricata — это бесплатный, зрелый, быстрый и надежный механизм обнаружения сетевых угроз с открытым исходным кодом. Он может функционировать как механизм обнаружения вторжений (IDS), встроенная система предотвращения вторжений (IPS), мониторинг сетевой безопасности (NSM), а также как средство автономной обработки pcap. Suricata проверяет сетевой трафик с помощью мощных и обширных правил и языка сигнатур и имеет мощную поддержку сценариев Lua для обнаружения сложных угроз.

В этой статье предполагается, что у вас есть хотя бы базовые знания Linux, вы знаете, как использовать оболочку, и, что наиболее важно, вы размещаете свой сайт на собственном VPS. Установка довольно проста и предполагает, что вы работаете с учетной записью root, в противном случае вам может потребоваться добавить ‘ sudo‘ к командам для получения привилегий root. Я покажу вам пошаговую установку Suricata на AlmaLinux 8. Вы можете следовать тем же инструкциям для Rocky Linux.

Установите Suricata на AlmaLinux 8

Шаг 1. Во-первых, давайте начнем с проверки актуальности вашей системы.

sudo dnf update
sudo dnf install epel-release
sudo dnf config-manager --set-enabled PowerTools
sudo dnf install diffutils gcc jansson-devel make nss-devel pcre-devel python3 python3-pyyaml rust-toolset zlib-devel curl wget tar lua lz4-devel

Шаг 2. Установка Suricata на AlmaLinux 8.

Теперь скачиваем исходный код последней стабильной версии Suricata с официальной страницы:

wget https://www.openinfosecfoundation.org/download/suricata-6.0.3.tar.gz
tar xzf suricata-6.0.3.tar.gz

Затем скомпилируйте и установите Suricata, используя следующую команду:
cd suricata-6.0.3
./configure --sysconfdir=/etc --localstatedir=/var --prefix=/usr/ --enable-lua --enable-geopip 
make
make install-full

Проверьте установку Suricata:

suricata -V

Шаг 3. Настройте Suricata.

После установки файл конфигурации находится по адресу . Однако для нашей базовой настройки мы сосредоточимся только на сетевом интерфейсе, который прослушивает Suricata, и IP-адресе, прикрепленном к этому интерфейсу:/etc/suricata/suricata.yaml

nano /etc/suricata/suricata.yaml

Добавьте следующие строки:

vars:
  # more specific is better for alert accuracy and performance
  address-groups:
    #HOME_NET: "[192.168.0.0/16,10.0.0.0/8,172.16.0.0/12]"
    HOME_NET: "[192.168.77.21]"
    #HOME_NET: "[192.168.0.0/16]"
    #HOME_NET: "[10.0.0.0/8]"
    #HOME_NET: "[172.16.0.0/12]"
    #HOME_NET: "any"

    EXTERNAL_NET: "!$HOME_NET"
    #EXTERNAL_NET: "any"
...

Затем установите имя интерфейса на af-packet:

# Linux high speed capture support
af-packet:
  - interface: enp0s3
...........

Определите файлы правил Suricata для использования. В этой демонстрации мы используем правила ET по умолчанию:

...
default-rule-path: /var/lib/suricata/rules

rule-files:
  - suricata.rules
...

После этого отключите разгрузку пакетов Suricata, отключив интерфейс Large Receive Offload (LRO) / Generic Receive Offload (GRO):

sudo ethtool -K <interface> gro off lro off

Вывод:

tx-checksum-ip-generic: ongeneric-segmentation-offload: ongeneric-receive-offload: offlarge-receive-offload: off [fixed]

Если включено, отключите, выполнив команду ниже:

ethtool -K <interface> gro off lro off

Шаг 4. Запуск Suricata.

Suricata может управляться systemdслужбой. Но перед его инициализацией сначала укажите интерфейс, который слушает Suricata, как показано ниже:

nano /etc/sysconfig/suricata

Добавьте следующие строки:

# Add options to be passed to the daemon
#OPTIONS="-i eth0 --user suricata "
OPTIONS="-i enp0s3 --user suricata "

Сохраните и выйдите из файла, запустите Suricata и включите его при загрузке:

sudo systemctl enable --now suricata

Чтобы проверить, запущена ли Suricata, проверьте журнал Suricata:

sudo tail /var/log/suricata/suricata.log

Шаг 5. Тестирование правил Suricata.

В этой демонстрации мы используем правила ET Suricata по умолчанию. Если вы создали свои собственные правила, обязательно проверьте правила Suricata на наличие синтаксических ошибок:

sudo suricata -c /etc/suricata/suricata.yaml -T -v

Вывод:

26/7/2021 -- 16:46:11 - - Running suricata under test mode
26/7/2021 -- 16:46:11 - - This is Suricata version 5.0.3 RELEASE running in SYSTEM mode
26/7/2021 -- 16:46:11 - - CPUs/cores online: 1
26/7/2021 -- 16:46:11 - - fast output device (regular) initialized: fast.log
26/7/2021 -- 16:46:11 - - eve-log output device (regular) initialized: eve.json
26/7/2021 -- 16:46:11 - - stats output device (regular) initialized: stats.log
26/7/2021 -- 16:46:13 - - 1 rule files processed. 20676 rules successfully loaded, 0 rules failed
26/7/2021 -- 16:46:13 - - Threshold config parsed: 0 rule(s) found
26/7/2021 -- 16:46:13 - - 20679 signatures processed. 1138 are IP-only rules, 3987 are inspecting packet payload, 15324 inspect application layer, 103 are decoder event only26/7/2021 -- 16:46:28 - - Configuration provided was successfully loaded. Exiting.26/7/2021 -- 16:46:28 - - cleaning up signature grouping structure… complete

Поздравляю! Вы успешно установили Suricata . Благодарим вас за использование этого руководства по установке Suricata в вашей системе AlmaLinux 8. Для получения дополнительной помощи или полезной информации мы рекомендуем вам посетить официальный сайт Suricata .

Оставьте комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

4 × два =

Прокрутить вверх