Как установить Suricata IDS на сервере Ubuntu 24.04
Это руководство существует для этих версий ОС.
- Ubuntu 24.04 (Noble Numbat)
- Ubuntu 22.04 (медуза-джемми)
- Ubuntu 20.04 (фокусная ямка)
- Ubuntu 18.04 (Бионический бобер)
На этой странице
- Предварительные условия
- Установка из исходного кода
- Установка через репозиторий PPA
- Настройка Суриката
- Обновление наборов правил suricata
- Запуск сурикаты
- Заключение
Suricata — это система IDS (система обнаружения вторжений) и IPS (система предотвращения вторжений) с открытым исходным кодом, разработанная OSIF (открытый фонд информационной безопасности). Он может отслеживать и проверять сетевой трафик, а также обрабатывать каждый пакет для обнаружения вредоносной сетевой активности. Вы можете настроить журнал событий, активировать оповещения и даже отключать трафик при подозрительной сетевой активности.
Из этого туториала вы узнаете, как установить Suricata IDS на сервер Ubuntu 24.04. Вы установите и настроите Suricata, загрузите подписи и правила ET, а затем запустите Suricata в фоновом режиме как службу systemd.
Предварительные условия
Прежде чем начать работу с этим руководством, убедитесь, что у вас есть следующее:
- Сервер Ubuntu 24.04.
- Пользователь без полномочий root с правами администратора.
Установка из исходного кода
В этом разделе вы узнаете, как установить Suricata из исходного кода, вручную скомпилировав его в вашей системе. А перед этим вы установите зависимости пакета для компиляции Suricata.
Сначала выполните команду ниже, чтобы обновить индекс пакета Ubuntu и установить зависимости сборки. Введите «Y», чтобы подтвердить установку.
sudo apt update
sudo apt install autoconf automake build-essential cargo \
cbindgen libjansson-dev libpcap-dev libcap-ng-dev libmagic-dev liblz4-dev libpcre2-dev libtool \
libyaml-dev make pkg-config rustc zlib1g-dev
Теперь перейдите в каталог «/usr/src» и выполните следующую команду, чтобы загрузить исходный код Suricata и извлечь его.
cd /usr/src
wget https://www.openinfosecfoundation.org/download/suricata-7.0.6.tar.gz
tar -xf suricata-7.0.6.tar.gz
Перейдите в каталог «suricata-7.0.6» и настройте компиляцию Suricata следующим образом. При этом вы настроите и установите двоичный файл suricata в каталог «/usr/bin», конфигурацию suricata в каталог «/etc/suricata» и каталог данных — «/var/lib/suricata».
cd suricata-7.0.6/
./configure --enable-nfqueue --prefix=/usr --sysconfdir=/etc --localstatedir=/var
После завершения процесса скопируйте и установите suricata с помощью команды ниже.
sudo make && sudo make install-full
После завершения установки вы увидите следующее:
Наконец, запустите команду ниже, чтобы найти двоичный файл «suricata» и проверить его версию.
which suricata
suricata --build-info
В следующем выводе вы можете видеть, что suricata «7.0.6» установлена в «/usr/bin/suricata».
Установка через репозиторий PPA
Если вы предпочитаете устанавливать Suricata через APT, вам необходимо добавить репозиторий PPA suricata в вашу систему Ubuntu. Также убедитесь, что установлен пакет software-properties.
Добавьте репозиторий PPA для suricata со следующим:
sudo add-apt-repository ppa:oisf/suricata-stable
Теперь обновите репозиторий индексов пакетов Ubuntu и установите suricata с помощью приведенной ниже команды «apt».
sudo apt update
sudo apt install suricata
Введите «Y», чтобы продолжить установку.
После завершения установки проверьте двоичный файл suricata и его версию с помощью команды ниже.
which suricata
suricata --build-info
Ниже вы можете видеть, что suricata 7.0.6 устанавливается через менеджер пакетов APT.
Наконец, выполните приведенную ниже команду, чтобы включить и остановить службу «suricata». Вам необходимо прекратить suricata перед его настройкой.
sudo systemctl enable suricata
sudo systemctl stop suricata
Настройка Сурикаты
В этом разделе вы настроите Suricata для мониторинга сетевого интерфейса. Suricata будет перехватывать вредоносный трафик на целевом интерфейсе.
Откройте конфигурацию suricata по умолчанию «/etc/suricata/suricata.yaml» с помощью редактора «nano».
sudo nano /etc/suricata/suricata.yaml
Если вы используете локальную сеть, добавьте подсеть домашней сети в переменные «HOME_NET» и «EXTERNAL_NET».
HOME_NET: "[192.168.5.0/24]"
...
EXTERNAL_NET: "!$HOME_NET"
В разделе «af-packet» измените «interface» по умолчанию на целевой интерфейс. В этом примере мы будем отслеживать интерфейс «enp0s3» с помощью suricata.
af-packet:
- interface: enp0s3
Добавьте параметр «detect-engine» с параметром «rule-reload: true», чтобы включить оперативную перезагрузку правил.
detect-engine:
- rule-reload: true
По завершении сохраните файл и выйдите из редактора.
Обновление наборов правил suricata
Перед запуском и запуском Suricata вам необходимо загрузить и обновить подписи и правила Suricata. Это можно сделать с помощью командной утилиты suricata-update.
Запустите команду «suricata-update» ниже, чтобы загрузить и обновить правила suricata ET. Suricata не запустится, если правила ET отсутствуют.
sudo suricata-update
Правила suricata записываются в файл «/var/lib/suricata/suricata.rules» следующим образом:
Проверить источники правил можно следующей командой:
sudo suricata-update list-sources
Запуск сурикаты
Теперь, когда вы настроили Suricata, загрузили и обновили правила ET, вы будете тестировать правила suricata, а затем запустить и проверить службу suricata.
Чтобы проверить правила suricata, выполните приведенную ниже команду «suricata». При этом будут обработаны доступные правила в файле «/var/wlib/suricata/suricata.rules».
sudo suricata -T -c /etc/suricata/suricata.yaml -v
Если ошибок нет, вы получите сообщение «suricata: предоставленная конфигурация была успешно загружена».'
Теперь запустите команду ниже, чтобы запустить службу suricata в фоновом режиме, и проверьте ее.
sudo systemctl start suricata
sudo systemctl status suricata
В следующем выводе вы можете видеть, что служба «suricata» запущена.
Заключение
Поздравляем! Вы завершили установку Suricata IDS на сервере Ubuntu 24.04. Вы узнали два метода установки Suricata: компиляцию вручную из исходного кода и через менеджер пакетов APT. Вы также узнали, как настраивать Suricata, обновлять подписи и правила Suricata и тестировать правила Suricata.