In diesem Tutorial zeigen wir Ihnen, wie Sie Suricata auf Ubuntu 20.04 LTS installieren. Für diejenigen unter Ihnen, die es nicht wussten, Suricata ist ein Tool zur Überwachung der Netzwerksicherheit, das den Netzwerkverkehr verarbeitet und steuert . Es wird auch zum Generieren von Warnungen und Protokollen und zum Erkennen verdächtiger Pakete oder Anfragen für beliebige Dienste verwendet, die Ihren Server erreichen. Standardmäßig arbeitet Suricata als passives Intrusion Detection System (IDS), um einen Server oder ein Netzwerk auf verdächtigen Datenverkehr zu scannen . Es generiert und protokolliert Warnungen zur weiteren Untersuchung. Es kann auch als aktives Intrusion Prevention System (IPS) konfiguriert werden, um Netzwerkverkehr, der bestimmten Regeln entspricht, zu protokollieren, zu warnen und vollständig zu blockieren.
Dieser Artikel geht davon aus, dass Sie zumindest über Grundkenntnisse in Linux verfügen, wissen, wie man die Shell verwendet, und vor allem, dass Sie Ihre Website auf Ihrem eigenen VPS hosten. Die Installation ist recht einfach und setzt Sie voraus im Root-Konto ausgeführt werden, wenn nicht, müssen Sie möglicherweise 'sudo hinzufügen ‘ zu den Befehlen, um Root-Rechte zu erhalten. Ich zeige Ihnen Schritt für Schritt die Installation der Suricata-Netzwerksicherheitsüberwachung auf Ubuntu 20.04 (Focal Fossa). Sie können denselben Anweisungen für Ubuntu 18.04, 16.04 und jede andere Debian-basierte Distribution wie Linux Mint folgen.
Voraussetzungen
- Ein Server, auf dem eines der folgenden Betriebssysteme ausgeführt wird:Ubuntu 20.04, 18.04, 16.04 und jede andere Debian-basierte Distribution wie Linux Mint.
- Es wird empfohlen, dass Sie eine neue Betriebssysteminstallation verwenden, um potenziellen Problemen vorzubeugen.
- SSH-Zugriff auf den Server (oder öffnen Sie einfach das Terminal, wenn Sie sich auf einem Desktop befinden).
- Ein
non-root sudo useroder Zugriff auf denroot user. Wir empfehlen, alsnon-root sudo userzu agieren , da Sie Ihr System beschädigen können, wenn Sie als Root nicht aufpassen.
Installieren Sie Suricata auf Ubuntu 20.04 LTS Focal Fossa
Schritt 1. Stellen Sie zunächst sicher, dass alle Ihre Systempakete auf dem neuesten Stand sind, indem Sie den folgenden apt ausführen Befehle im Terminal.
sudo apt update sudo apt upgrade sudo apt install apt-transport-https dirmngr
Schritt 2. Suricata auf Ubuntu 20.04 installieren.
Standardmäßig ist Suricata im Basis-Repository von Ubuntu 20.04 nicht verfügbar. Führen Sie nun den folgenden Befehl aus, um das Suricata-Repository auf Ihrem Ubuntu-System hinzuzufügen:
sudo add-apt-repository ppa:oisf/suricata-stable
Aktualisieren Sie als Nächstes das Paket Ihres Systems und installieren Sie Suricata mit dem folgenden Befehl:
sudo apt update sudo apt install suricata
Sobald die Installation abgeschlossen ist, aktivieren Sie jetzt Suricata (um beim Systemstart automatisch zu starten) und überprüfen Sie den Status mit den folgenden Befehlen:
sudo systemctl enable suricata sudo systemctl start suricata sudo systemctl status suricata
Schritt 3. Suricata konfigurieren.
Die standardmäßige Suricata-Konfigurationsdatei befindet sich unter /etc/suricata/suricata.yaml . Sie müssen es konfigurieren, um Ihr internes Netzwerk zu schützen:
sudo nano /etc/suricata/suricata.yaml
Fügen Sie die folgende Datei hinzu:
....
# more specific is better for alert accuracy and performance
address-groups:
#HOME_NET: "[192.168.0.0/16,10.0.0.0/8,172.16.0.0/12]"HOME_NET: "[192.168.77.21]" #HOME_NET: "[10.0.0.0/8]"
#HOME_NET: "[172.16.0.0/12]"
#HOME_NET: "any"EXTERNAL_NET: "!$HOME_NET" #EXTERNAL_NET: "any"
.... Speichern und schließen Sie die Datei. Hinweis:Ersetzen Sie im obigen Befehl 192.168.77.21 durch Ihr internes Netzwerk.
Schritt 4. Suricata testen.
Nach erfolgreicher Installation verfügt Suricata über einen integrierten Testmodus, der die Konfigurationsdatei und alle enthaltenen Regeln auf Gültigkeit überprüft. Führen Sie nun den folgenden Befehl aus, um die Suricata-Regeln für Syntaxfehler:
sudo suricata -T -c /etc/suricata/suricata.yaml -v
Ausgabe:
17/2/2022 -- 16:00:40 - <Info> - Running suricata under test mode 17/2/2022 -- 16:00:40 - <Notice> - This is Suricata version 6.0.3 RELEASE running in SYSTEM mode 17/2/2022 -- 16:00:40 - <Info> - CPUs/cores online: 2 17/2/2022 -- 16:00:40 - <Info> - fast output device (regular) initialized: fast.log 17/2/2022 -- 16:00:40 - <Info> - eve-log output device (regular) initialized: eve.json 17/2/2022 -- 16:00:40 - <Info> - stats output device (regular) initialized: stats.log 17/2/2022 -- 16:00:46 - <Info> - 1 rule files processed. 23869 rules successfully loaded, 0 rules failed 17/2/2022 -- 16:01:46 - <Info> - Threshold config parsed: 0 rule(s) found 17/2/2022 -- 16:01:47 - <Info> - 23882 signatures processed. 1183 are IP-only rules, 4043 are inspecting packet payload, 18453 inspect application layer, 107 are decoder event only 17/2/2022 -- 16:02:36 - <Notice> - Configuration provided was successfully loaded. Exiting. 17/2/2022 -- 16:02:36 - <Info> - cleaning up signature grouping structure... complete
Herzlichen Glückwunsch! Sie haben Suricata erfolgreich installiert. Vielen Dank, dass Sie dieses Tutorial zur Installation des Suricata-Netzwerksicherheitsüberwachungstools auf einem Ubuntu 20.04 LTS Focal Fossa-System verwendet haben. Für zusätzliche Hilfe oder nützliche Informationen empfehlen wir Ihnen, dies zu überprüfen die offizielle Suricata-Website.