V tomto tutoriálu vám ukážeme, jak nainstalovat Suricata na AlmaLinux 8. Pro ty z vás, kteří nevěděli, Suricata je bezplatný a open source, vyspělý, rychlý a robustní engine pro detekci síťových hrozeb. Může fungovat jako modul detekce narušení (IDS), inline systém prevence narušení (IPS), monitorování zabezpečení sítě (NSM) a také offline nástroj pro zpracování pcap. Suricata kontroluje síťový provoz pomocí výkonných a rozsáhlých pravidel a podpisový jazyk a má výkonnou podporu skriptování Lua pro detekci komplexních hrozeb.
Tento článek předpokládá, že máte alespoň základní znalosti Linuxu, víte, jak používat shell, a co je nejdůležitější, hostujete svůj web na vlastním VPS. Instalace je poměrně jednoduchá a předpokládá, že běží v účtu root, pokud ne, možná budete muset přidat 'sudo ‘ k příkazům pro získání oprávnění root. Ukážu vám krok za krokem instalaci Suricaty na AlmaLinux 8. Můžete postupovat podle stejných pokynů pro Rocky Linux.
Předpoklady
- Server s jedním z následujících operačních systémů:AlmaLinux 8, CentOS a Rocky Linux 8.
- Abyste předešli případným problémům, doporučujeme použít novou instalaci operačního systému.
- Přístup SSH k serveru (nebo stačí otevřít Terminál, pokud jste na počítači).
non-root sudo usernebo přístup kroot user. Doporučujeme jednat jakonon-root sudo user, protože však můžete poškodit svůj systém, pokud nebudete při jednání jako root opatrní.
Nainstalujte Suricata na AlmaLinux 8
Krok 1. Nejprve začněme tím, že zajistíme, aby byl váš systém aktuální.
sudo dnf update sudo dnf install epel-release sudo dnf config-manager --set-enabled PowerTools sudo dnf install diffutils gcc jansson-devel make nss-devel pcre-devel python3 python3-pyyaml rust-toolset zlib-devel curl wget tar lua lz4-devel
Krok 2. Instalace Suricata na AlmaLinux 8.
Nyní stahujeme nejnovější stabilní verzi zdrojového kódu Suricata z oficiální stránky:
wget https://www.openinfosecfoundation.org/download/suricata-6.0.3.tar.gz tar xzf suricata-6.0.3.tar.gz
Potom zkompilujte a nainstalujte Suricata pomocí následujícího příkazu:
cd suricata-6.0.3 ./configure --sysconfdir=/etc --localstatedir=/var --prefix=/usr/ --enable-lua --enable-geopip make make install-full
Ověřte instalaci Suricata:
suricata -V
Krok 3. Nakonfigurujte Suricata.
Po instalaci je konfigurační soubor umístěn na /etc/suricata/suricata.yaml . Pro naše základní nastavení se však zaměříme pouze na síťové rozhraní, na kterém Suricata naslouchá, a IP adresu připojenou k tomuto rozhraní:
nano /etc/suricata/suricata.yaml
Přidejte následující řádky:
vars:
# more specific is better for alert accuracy and performance
address-groups:
#HOME_NET: "[192.168.0.0/16,10.0.0.0/8,172.16.0.0/12]"
HOME_NET: "[192.168.77.21]"
#HOME_NET: "[192.168.0.0/16]"
#HOME_NET: "[10.0.0.0/8]"
#HOME_NET: "[172.16.0.0/12]"
#HOME_NET: "any"
EXTERNAL_NET: "!$HOME_NET"
#EXTERNAL_NET: "any"
... Dále nastavte název rozhraní na af-packet:
# Linux high speed capture support af-packet: - interface: enp0s3 ...........
Definujte soubory pravidel Suricata, které se mají používat. V této ukázce používáme výchozí pravidla ET:
... default-rule-path: /var/lib/suricata/rules rule-files: - suricata.rules ...
Poté vypněte stahování paketů Suricata deaktivací rozhraní LRO (Large Receive Offload)/Generic Receive Offload (GRO):
sudo ethtool -K <interface> gro off lro off
Výstup:
tx-checksum-ip-generic: ongeneric-segmentation-offload: ongeneric-receive-offload: offlarge-receive-offload: off [fixed]
Pokud je povoleno, deaktivujte jej spuštěním příkazu níže:
ethtool -K <interface> gro off lro off
Krok 4. Spuštění Suricaty.
Suricata může být spravována pomocí systemd servis. Ale před inicializací nejprve určete rozhraní, na kterém Suricata naslouchá, jak je uvedeno níže:
nano /etc/sysconfig/suricata
Přidejte následující řádky:
# Add options to be passed to the daemon #OPTIONS="-i eth0 --user suricata " OPTIONS="-i enp0s3 --user suricata "
Uložte a ukončete také soubor, spusťte a povolte spuštění Suricaty při spouštění:
sudo systemctl enable --now suricata
Chcete-li zkontrolovat, zda Suricata běží, zkontrolujte protokol Suricata:
sudo tail /var/log/suricata/suricata.log
Krok 5. Testování pravidel Suricata.
V této ukázce používáme výchozí pravidla ET Suricata. Pokud jste vytvořili svá vlastní pravidla, nezapomeňte otestovat pravidla Suricata na chyby syntaxe:
sudo suricata -c /etc/suricata/suricata.yaml -T -v
Výstup:
26/7/2021 -- 16:46:11 - - Running suricata under test mode 26/7/2021 -- 16:46:11 - - This is Suricata version 5.0.3 RELEASE running in SYSTEM mode 26/7/2021 -- 16:46:11 - - CPUs/cores online: 1 26/7/2021 -- 16:46:11 - - fast output device (regular) initialized: fast.log 26/7/2021 -- 16:46:11 - - eve-log output device (regular) initialized: eve.json 26/7/2021 -- 16:46:11 - - stats output device (regular) initialized: stats.log 26/7/2021 -- 16:46:13 - - 1 rule files processed. 20676 rules successfully loaded, 0 rules failed 26/7/2021 -- 16:46:13 - - Threshold config parsed: 0 rule(s) found 26/7/2021 -- 16:46:13 - - 20679 signatures processed. 1138 are IP-only rules, 3987 are inspecting packet payload, 15324 inspect application layer, 103 are decoder event only26/7/2021 -- 16:46:28 - - Configuration provided was successfully loaded. Exiting.26/7/2021 -- 16:46:28 - - cleaning up signature grouping structure… complete
Blahopřejeme! Úspěšně jste nainstalovali Suricata. Děkujeme, že jste použili tento návod k instalaci Suricaty na váš systém AlmaLinux 8. Pro další pomoc nebo užitečné informace vám doporučujeme navštívit oficiální web Suricata.
P>