Suricata是一款开源的网络威胁检测工具,具有入侵检测、入侵防御、网络安全监控等功能。 它擅长深度数据包检查和模式匹配,使其成为检测威胁和攻击的宝贵工具。
如果您的网络中存在可疑数据包,Suricata 可以生成日志、丢弃流量并触发警报。 本指南将带您完成在 ubuntu 20.04 上安装 Suricata IDS
第 1 步:更新您的系统
首先,确保您的系统包已更新。 运行命令:
$ sudo apt update
包索引更新后,继续下一步。
第 2 步:添加 Suricata 存储库
OISF 维护的 PPA 存储库中提供了 Suricata 的最新稳定版本。 因此,我们将在您的上添加 Suricata 存储库 Ubuntu 系统如图所示;
$ sudo add-apt-repository ppa:oisf/suricata-stable
此后,更新系统的包索引。
$ sudo apt update
PPA 到位后,转到下一步并安装 Suricat IDS。
第 3 步:安装 Suricata
要安装 Suricata,请运行以下命令:
$ sudo apt install suricata
随着 Suricata 的安装,让我们更进一步,让它在开机时启动。
$ sudo systemctl enable suricata.service
接下来,通过运行以下命令确保安装成功:
$ sudo suricata –build-info
确认 Suricata 的 systemd 服务正在运行,如下所示:
$ sudo systemctl status suricata
输出确认 Suricata 已启动并正在运行 Ubuntu 20.04
第 4 步:基本设置
Suricata的配置文件位于 /etc/suricata/suricata.yaml 小路。 对于基本设置,我们需要为您的内部和外部网络配置 Suricata。 打开配置文件如图:
$ sudo vim /etc/suricata/suricata.yaml
然后,为 HOME_NET 变量指定 ip 地址。 在这种情况下,我的 IP 地址是 192.168.100.7。 HOME_ NET 变量是您要监控的本地网络或接口的 IP 地址。 接下来,定义值 外部网 作为任何不是您本地 IP 地址的网络。
接下来,转到配置文件中的 af-packet 部分并更改接口名称以反映上面选择的网络接口。
第 5 步:Suricata 规则
Suricata 允许您根据您的要求创建网络规则或签名。 最常见的规则包括 Emerging Threats 和 Emerging Threats Pro。
规则文件位于 /etc/suricata/规则/ 目录。 要查看内容运行:
$ ls /etc/suricata/rules/
要安装 Emerging Threats Open 规则集,请运行:
$ sudo suricata-update
这会将规则安装到 /var/lib/suricata/规则/ 目录。
第 6 步:运行 Suricata
安装所有规则后,您可以重新启动 Suricata IDS 服务,如下所示:
$ sudo systemctl restart suricata
您还可以检查 Suricata 日志,如下所示:
$ sudo tail /var/log/suricata/suricata.log
安装 Suricata IDS 就是这样 Ubuntu 20 月 04 日。 有关更多信息,请访问文档页面。
