In diesem Tutorial zeigen wir Ihnen, wie Sie Suricata auf AlmaLinux 8 installieren. Für diejenigen unter Ihnen, die es nicht wussten, Suricata ist kostenlos und Open Source, ausgereift, schnell und robuste Engine zur Erkennung von Netzwerkbedrohungen. Es kann als Intrusion Detection (IDS)-Engine, Inline Intrusion Prevention System (IPS), Netzwerksicherheitsüberwachung (NSM) sowie als Offline-PCAP-Verarbeitungstool fungieren. Suricata untersucht den Netzwerkverkehr anhand leistungsstarker und umfassender Regeln und Signatursprache und verfügt über eine leistungsstarke Lua-Skriptunterstützung zur Erkennung komplexer Bedrohungen.
Dieser Artikel geht davon aus, dass Sie zumindest über Grundkenntnisse in Linux verfügen, wissen, wie man die Shell verwendet, und vor allem, dass Sie Ihre Website auf Ihrem eigenen VPS hosten. Die Installation ist recht einfach und setzt Sie voraus im Root-Konto ausgeführt werden, wenn nicht, müssen Sie möglicherweise 'sudo hinzufügen ‘ zu den Befehlen, um Root-Rechte zu erhalten. Ich zeige Ihnen Schritt für Schritt die Installation von Suricata auf einem AlmaLinux 8. Sie können den gleichen Anweisungen für Rocky Linux folgen.
Voraussetzungen
- Ein Server, auf dem eines der folgenden Betriebssysteme ausgeführt wird:AlmaLinux 8, CentOS und Rocky Linux 8.
- Es wird empfohlen, dass Sie eine neue Betriebssysteminstallation verwenden, um potenziellen Problemen vorzubeugen.
- SSH-Zugriff auf den Server (oder öffnen Sie einfach das Terminal, wenn Sie sich auf einem Desktop befinden).
- Ein
non-root sudo useroder Zugriff auf denroot user. Wir empfehlen, alsnon-root sudo userzu agieren , da Sie Ihr System beschädigen können, wenn Sie als Root nicht aufpassen.
Installieren Sie Suricata auf AlmaLinux 8
Schritt 1. Beginnen wir zunächst damit, sicherzustellen, dass Ihr System auf dem neuesten Stand ist.
sudo dnf update sudo dnf install epel-release sudo dnf config-manager --set-enabled PowerTools sudo dnf install diffutils gcc jansson-devel make nss-devel pcre-devel python3 python3-pyyaml rust-toolset zlib-devel curl wget tar lua lz4-devel
Schritt 2. Suricata auf AlmaLinux 8 installieren.
Jetzt laden wir die neueste stabile Version des Suricata-Quellcodes von der offiziellen Seite herunter:
wget https://www.openinfosecfoundation.org/download/suricata-6.0.3.tar.gz tar xzf suricata-6.0.3.tar.gz
Kompilieren und installieren Sie dann Suricata mit dem folgenden Befehl:
cd suricata-6.0.3 ./configure --sysconfdir=/etc --localstatedir=/var --prefix=/usr/ --enable-lua --enable-geopip make make install-full
Suricata-Installation überprüfen:
suricata -V
Schritt 3. Suricata konfigurieren.
Nach der Installation befindet sich die Konfigurationsdatei unter /etc/suricata/suricata.yaml . Für unsere grundlegende Einrichtung konzentrieren wir uns jedoch nur auf die Netzwerkschnittstelle, auf der Suricata lauscht, und auf die dieser Schnittstelle zugeordnete IP-Adresse:
nano /etc/suricata/suricata.yaml
Fügen Sie die folgenden Zeilen hinzu:
vars:
# more specific is better for alert accuracy and performance
address-groups:
#HOME_NET: "[192.168.0.0/16,10.0.0.0/8,172.16.0.0/12]"
HOME_NET: "[192.168.77.21]"
#HOME_NET: "[192.168.0.0/16]"
#HOME_NET: "[10.0.0.0/8]"
#HOME_NET: "[172.16.0.0/12]"
#HOME_NET: "any"
EXTERNAL_NET: "!$HOME_NET"
#EXTERNAL_NET: "any"
... Als nächstes setzen Sie den Schnittstellennamen auf af-packet:
# Linux high speed capture support af-packet: - interface: enp0s3 ...........
Definieren Sie die zu verwendenden Suricata-Regeldateien. Wir verwenden in dieser Demo die standardmäßigen ET-Regeln:
... default-rule-path: /var/lib/suricata/rules rule-files: - suricata.rules ...
Deaktivieren Sie danach das Suricata-Paket-Offloading, indem Sie die Schnittstelle Large Receive Offload (LRO)/Generic Receive Offload (GRO) deaktivieren:
sudo ethtool -K <interface> gro off lro off
Ausgabe:
tx-checksum-ip-generic: ongeneric-segmentation-offload: ongeneric-receive-offload: offlarge-receive-offload: off [fixed]
Wenn aktiviert, deaktivieren Sie es, indem Sie den folgenden Befehl ausführen:
ethtool -K <interface> gro off lro off
Schritt 4. Suricata ausführen.
Suricata kann von einem systemd verwaltet werden Service. Aber bevor Sie es initialisieren, geben Sie zuerst die Schnittstelle an, auf der Suricata lauscht, wie unten:
nano /etc/sysconfig/suricata
Fügen Sie die folgenden Zeilen hinzu:
# Add options to be passed to the daemon #OPTIONS="-i eth0 --user suricata " OPTIONS="-i enp0s3 --user suricata "
Speichern und beenden Sie auch die Datei, starten Sie Suricata und aktivieren Sie es, um beim Booten ausgeführt zu werden:
sudo systemctl enable --now suricata
Um zu überprüfen, ob Suricata ausgeführt wird, überprüfen Sie das Suricata-Protokoll:
sudo tail /var/log/suricata/suricata.log
Schritt 5. Suricata-Regeln testen.
In dieser Demo verwenden wir die standardmäßigen ET-Suricata-Regeln. Wenn Sie Ihre eigenen benutzerdefinierten Regeln erstellt haben, testen Sie die Suricata-Regeln unbedingt auf Syntaxfehler:
sudo suricata -c /etc/suricata/suricata.yaml -T -v
Ausgabe:
26/7/2021 -- 16:46:11 - - Running suricata under test mode 26/7/2021 -- 16:46:11 - - This is Suricata version 5.0.3 RELEASE running in SYSTEM mode 26/7/2021 -- 16:46:11 - - CPUs/cores online: 1 26/7/2021 -- 16:46:11 - - fast output device (regular) initialized: fast.log 26/7/2021 -- 16:46:11 - - eve-log output device (regular) initialized: eve.json 26/7/2021 -- 16:46:11 - - stats output device (regular) initialized: stats.log 26/7/2021 -- 16:46:13 - - 1 rule files processed. 20676 rules successfully loaded, 0 rules failed 26/7/2021 -- 16:46:13 - - Threshold config parsed: 0 rule(s) found 26/7/2021 -- 16:46:13 - - 20679 signatures processed. 1138 are IP-only rules, 3987 are inspecting packet payload, 15324 inspect application layer, 103 are decoder event only26/7/2021 -- 16:46:28 - - Configuration provided was successfully loaded. Exiting.26/7/2021 -- 16:46:28 - - cleaning up signature grouping structure… complete
Herzlichen Glückwunsch! Sie haben Suricata erfolgreich installiert. Vielen Dank, dass Sie dieses Tutorial zur Installation von Suricata auf Ihrem AlmaLinux 8-System verwendet haben. Für zusätzliche Hilfe oder nützliche Informationen empfehlen wir Ihnen, die offizielle Suricata-Website zu besuchen.
Herzlichen Glückwunsch! P>