Как установить Suricata на AlmaLinux 8
В этом руководстве мы покажем вам, как установить Suricata на AlmaLinux 8. Для тех из вас, кто не знал, Suricata — это бесплатный, зрелый, быстрый и надежный механизм обнаружения сетевых угроз с открытым исходным кодом. Он может функционировать как механизм обнаружения вторжений (IDS), встроенная система предотвращения вторжений (IPS), мониторинг сетевой безопасности (NSM), а также как средство автономной обработки pcap. Suricata проверяет сетевой трафик с помощью мощных и обширных правил и языка сигнатур и имеет мощную поддержку сценариев Lua для обнаружения сложных угроз.
В этой статье предполагается, что у вас есть хотя бы базовые знания Linux, вы знаете, как использовать оболочку, и, что наиболее важно, вы размещаете свой сайт на собственном VPS. Установка довольно проста и предполагает, что вы работаете с учетной записью root, в противном случае вам может потребоваться добавить ‘ sudo
‘ к командам для получения привилегий root. Я покажу вам пошаговую установку Suricata на AlmaLinux 8. Вы можете следовать тем же инструкциям для Rocky Linux.
Установите Suricata на AlmaLinux 8
Шаг 1. Во-первых, давайте начнем с проверки актуальности вашей системы.
sudo dnf update sudo dnf install epel-release sudo dnf config-manager --set-enabled PowerTools sudo dnf install diffutils gcc jansson-devel make nss-devel pcre-devel python3 python3-pyyaml rust-toolset zlib-devel curl wget tar lua lz4-devel
Шаг 2. Установка Suricata на AlmaLinux 8.
Теперь скачиваем исходный код последней стабильной версии Suricata с официальной страницы:
wget https://www.openinfosecfoundation.org/download/suricata-6.0.3.tar.gz tar xzf suricata-6.0.3.tar.gz Затем скомпилируйте и установите Suricata, используя следующую команду:
cd suricata-6.0.3 ./configure --sysconfdir=/etc --localstatedir=/var --prefix=/usr/ --enable-lua --enable-geopip make make install-full
Проверьте установку Suricata:
suricata -V
Шаг 3. Настройте Suricata.
После установки файл конфигурации находится по адресу . Однако для нашей базовой настройки мы сосредоточимся только на сетевом интерфейсе, который прослушивает Suricata, и IP-адресе, прикрепленном к этому интерфейсу:/etc/suricata/suricata.yaml
nano /etc/suricata/suricata.yaml
Добавьте следующие строки:
vars: # more specific is better for alert accuracy and performance address-groups: #HOME_NET: "[192.168.0.0/16,10.0.0.0/8,172.16.0.0/12]" HOME_NET: "[192.168.77.21]" #HOME_NET: "[192.168.0.0/16]" #HOME_NET: "[10.0.0.0/8]" #HOME_NET: "[172.16.0.0/12]" #HOME_NET: "any" EXTERNAL_NET: "!$HOME_NET" #EXTERNAL_NET: "any" ...
Затем установите имя интерфейса на af-packet:
# Linux high speed capture support af-packet: - interface: enp0s3 ...........
Определите файлы правил Suricata для использования. В этой демонстрации мы используем правила ET по умолчанию:
... default-rule-path: /var/lib/suricata/rules rule-files: - suricata.rules ...
После этого отключите разгрузку пакетов Suricata, отключив интерфейс Large Receive Offload (LRO) / Generic Receive Offload (GRO):
sudo ethtool -K <interface> gro off lro off
Вывод:
tx-checksum-ip-generic: ongeneric-segmentation-offload: ongeneric-receive-offload: offlarge-receive-offload: off [fixed]
Если включено, отключите, выполнив команду ниже:
ethtool -K <interface> gro off lro off
Шаг 4. Запуск Suricata.
Suricata может управляться systemd
службой. Но перед его инициализацией сначала укажите интерфейс, который слушает Suricata, как показано ниже:
nano /etc/sysconfig/suricata
Добавьте следующие строки:
# Add options to be passed to the daemon #OPTIONS="-i eth0 --user suricata " OPTIONS="-i enp0s3 --user suricata "
Сохраните и выйдите из файла, запустите Suricata и включите его при загрузке:
sudo systemctl enable --now suricata
Чтобы проверить, запущена ли Suricata, проверьте журнал Suricata:
sudo tail /var/log/suricata/suricata.log
Шаг 5. Тестирование правил Suricata.
В этой демонстрации мы используем правила ET Suricata по умолчанию. Если вы создали свои собственные правила, обязательно проверьте правила Suricata на наличие синтаксических ошибок:
sudo suricata -c /etc/suricata/suricata.yaml -T -v
Вывод:
26/7/2021 -- 16:46:11 - - Running suricata under test mode 26/7/2021 -- 16:46:11 - - This is Suricata version 5.0.3 RELEASE running in SYSTEM mode 26/7/2021 -- 16:46:11 - - CPUs/cores online: 1 26/7/2021 -- 16:46:11 - - fast output device (regular) initialized: fast.log 26/7/2021 -- 16:46:11 - - eve-log output device (regular) initialized: eve.json 26/7/2021 -- 16:46:11 - - stats output device (regular) initialized: stats.log 26/7/2021 -- 16:46:13 - - 1 rule files processed. 20676 rules successfully loaded, 0 rules failed 26/7/2021 -- 16:46:13 - - Threshold config parsed: 0 rule(s) found 26/7/2021 -- 16:46:13 - - 20679 signatures processed. 1138 are IP-only rules, 3987 are inspecting packet payload, 15324 inspect application layer, 103 are decoder event only26/7/2021 -- 16:46:28 - - Configuration provided was successfully loaded. Exiting.26/7/2021 -- 16:46:28 - - cleaning up signature grouping structure… complete
Поздравляю! Вы успешно установили Suricata . Благодарим вас за использование этого руководства по установке Suricata в вашей системе AlmaLinux 8. Для получения дополнительной помощи или полезной информации мы рекомендуем вам посетить официальный сайт Suricata .