Поиск по сайту:

Как установить Suricata IDS на сервере Ubuntu 24.04


Это руководство существует для этих версий ОС.

  • Ubuntu 24.04 (Noble Numbat)
  • Ubuntu 22.04 (медуза-джемми)
  • Ubuntu 20.04 (фокусная ямка)
  • Ubuntu 18.04 (Бионический бобер)

На этой странице

  1. Предварительные условия
  2. Установка из исходного кода
  3. Установка через репозиторий PPA
  4. Настройка Суриката
  5. Обновление наборов правил suricata
  6. Запуск сурикаты
  7. Заключение

Suricata — это система IDS (система обнаружения вторжений) и IPS (система предотвращения вторжений) с открытым исходным кодом, разработанная OSIF (открытый фонд информационной безопасности). Он может отслеживать и проверять сетевой трафик, а также обрабатывать каждый пакет для обнаружения вредоносной сетевой активности. Вы можете настроить журнал событий, активировать оповещения и даже отключать трафик при подозрительной сетевой активности.

Из этого туториала вы узнаете, как установить Suricata IDS на сервер Ubuntu 24.04. Вы установите и настроите Suricata, загрузите подписи и правила ET, а затем запустите Suricata в фоновом режиме как службу systemd.

Предварительные условия

Прежде чем начать работу с этим руководством, убедитесь, что у вас есть следующее:

  • Сервер Ubuntu 24.04.
  • Пользователь без полномочий root с правами администратора.

Установка из исходного кода

В этом разделе вы узнаете, как установить Suricata из исходного кода, вручную скомпилировав его в вашей системе. А перед этим вы установите зависимости пакета для компиляции Suricata.

Сначала выполните команду ниже, чтобы обновить индекс пакета Ubuntu и установить зависимости сборки. Введите «Y», чтобы подтвердить установку.

sudo apt update
sudo apt install autoconf automake build-essential cargo \
cbindgen libjansson-dev libpcap-dev libcap-ng-dev libmagic-dev liblz4-dev libpcre2-dev libtool \
libyaml-dev make pkg-config rustc zlib1g-dev

Теперь перейдите в каталог «/usr/src» и выполните следующую команду, чтобы загрузить исходный код Suricata и извлечь его.

cd /usr/src
wget https://www.openinfosecfoundation.org/download/suricata-7.0.6.tar.gz
tar -xf suricata-7.0.6.tar.gz

Перейдите в каталог «suricata-7.0.6» и настройте компиляцию Suricata следующим образом. При этом вы настроите и установите двоичный файл suricata в каталог «/usr/bin», конфигурацию suricata в каталог «/etc/suricata» и каталог данных — «/var/lib/suricata».

cd suricata-7.0.6/
./configure --enable-nfqueue --prefix=/usr --sysconfdir=/etc --localstatedir=/var

После завершения процесса скопируйте и установите suricata с помощью команды ниже.

sudo make && sudo make install-full

После завершения установки вы увидите следующее:

Наконец, запустите команду ниже, чтобы найти двоичный файл «suricata» и проверить его версию.

which suricata
suricata --build-info

В следующем выводе вы можете видеть, что suricata «7.0.6» установлена в «/usr/bin/suricata».

Установка через репозиторий PPA

Если вы предпочитаете устанавливать Suricata через APT, вам необходимо добавить репозиторий PPA suricata в вашу систему Ubuntu. Также убедитесь, что установлен пакет software-properties.

Добавьте репозиторий PPA для suricata со следующим:

sudo add-apt-repository ppa:oisf/suricata-stable

Теперь обновите репозиторий индексов пакетов Ubuntu и установите suricata с помощью приведенной ниже команды «apt».

sudo apt update
sudo apt install suricata

Введите «Y», чтобы продолжить установку.

После завершения установки проверьте двоичный файл suricata и его версию с помощью команды ниже.

which suricata
suricata --build-info

Ниже вы можете видеть, что suricata 7.0.6 устанавливается через менеджер пакетов APT.

Наконец, выполните приведенную ниже команду, чтобы включить и остановить службу «suricata». Вам необходимо прекратить suricata перед его настройкой.

sudo systemctl enable suricata
sudo systemctl stop suricata

Настройка Сурикаты

В этом разделе вы настроите Suricata для мониторинга сетевого интерфейса. Suricata будет перехватывать вредоносный трафик на целевом интерфейсе.

Откройте конфигурацию suricata по умолчанию «/etc/suricata/suricata.yaml» с помощью редактора «nano».

sudo nano /etc/suricata/suricata.yaml

Если вы используете локальную сеть, добавьте подсеть домашней сети в переменные «HOME_NET» и «EXTERNAL_NET».

HOME_NET: "[192.168.5.0/24]"
...
EXTERNAL_NET: "!$HOME_NET"

В разделе «af-packet» измените «interface» по умолчанию на целевой интерфейс. В этом примере мы будем отслеживать интерфейс «enp0s3» с помощью suricata.

af-packet:
 - interface: enp0s3

Добавьте параметр «detect-engine» с параметром «rule-reload: true», чтобы включить оперативную перезагрузку правил.

detect-engine:
 - rule-reload: true

По завершении сохраните файл и выйдите из редактора.

Обновление наборов правил suricata

Перед запуском и запуском Suricata вам необходимо загрузить и обновить подписи и правила Suricata. Это можно сделать с помощью командной утилиты suricata-update.

Запустите команду «suricata-update» ниже, чтобы загрузить и обновить правила suricata ET. Suricata не запустится, если правила ET отсутствуют.

sudo suricata-update

Правила suricata записываются в файл «/var/lib/suricata/suricata.rules» следующим образом:

Проверить источники правил можно следующей командой:

sudo suricata-update list-sources

Запуск сурикаты

Теперь, когда вы настроили Suricata, загрузили и обновили правила ET, вы будете тестировать правила suricata, а затем запустить и проверить службу suricata.

Чтобы проверить правила suricata, выполните приведенную ниже команду «suricata». При этом будут обработаны доступные правила в файле «/var/wlib/suricata/suricata.rules».

sudo suricata -T -c /etc/suricata/suricata.yaml -v

Если ошибок нет, вы получите сообщение «suricata: предоставленная конфигурация была успешно загружена».'

Теперь запустите команду ниже, чтобы запустить службу suricata в фоновом режиме, и проверьте ее.

sudo systemctl start suricata
sudo systemctl status suricata

В следующем выводе вы можете видеть, что служба «suricata» запущена.

Заключение

Поздравляем! Вы завершили установку Suricata IDS на сервере Ubuntu 24.04. Вы узнали два метода установки Suricata: компиляцию вручную из исходного кода и через менеджер пакетов APT. Вы также узнали, как настраивать Suricata, обновлять подписи и правила Suricata и тестировать правила Suricata.

Статьи по данной тематике: