GNU/Linux >> Tutoriels Linux >  >> Arch Linux

Comment installer Suricata sur AlmaLinux 8

Dans ce didacticiel, nous allons vous montrer comment installer Suricata sur AlmaLinux 8. Pour ceux d'entre vous qui ne le savaient pas, Suricata est un logiciel gratuit et open-source, mature, rapide et moteur robuste de détection des menaces réseau. Il peut fonctionner comme un moteur de détection d'intrusion (IDS), un système de prévention des intrusions (IPS) en ligne, une surveillance de la sécurité du réseau (NSM) ainsi qu'un outil de traitement pcap hors ligne. Suricata inspecte le trafic réseau à l'aide de règles puissantes et étendues et le langage de signature et dispose d'un puissant support de script Lua pour la détection des menaces complexes.

Cet article suppose que vous avez au moins des connaissances de base sur Linux, que vous savez utiliser le shell et, plus important encore, que vous hébergez votre site sur votre propre VPS. L'installation est assez simple et suppose que vous s'exécutent dans le compte root, sinon vous devrez peut-être ajouter 'sudo ‘ aux commandes pour obtenir les privilèges root. Je vais vous montrer l'installation pas à pas de Suricata sur un AlmaLinux 8. Vous pouvez suivre les mêmes instructions pour Rocky Linux.

Prérequis

  • Un serveur exécutant l'un des systèmes d'exploitation suivants :AlmaLinux 8, CentOS et Rocky Linux 8.
  • Il est recommandé d'utiliser une nouvelle installation du système d'exploitation pour éviter tout problème potentiel.
  • Accès SSH au serveur (ou ouvrez simplement Terminal si vous êtes sur un ordinateur de bureau).
  • Un non-root sudo user ou l'accès à l'root user . Nous vous recommandons d'agir en tant qu'non-root sudo user , cependant, car vous pouvez endommager votre système si vous ne faites pas attention lorsque vous agissez en tant que root.

Installer Suricata sur AlmaLinux 8

Étape 1. Tout d'abord, commençons par nous assurer que votre système est à jour.

sudo dnf update
sudo dnf install epel-release
sudo dnf config-manager --set-enabled PowerTools
sudo dnf install diffutils gcc jansson-devel make nss-devel pcre-devel python3 python3-pyyaml rust-toolset zlib-devel curl wget tar lua lz4-devel

Étape 2. Installer Suricata sur AlmaLinux 8.

Nous téléchargeons maintenant la dernière version stable du code source de Suricata depuis la page officielle :

wget https://www.openinfosecfoundation.org/download/suricata-6.0.3.tar.gz
tar xzf suricata-6.0.3.tar.gz

Ensuite, compilez et installez Suricata en utilisant la commande suivante ci-dessous :

cd suricata-6.0.3
./configure --sysconfdir=/etc --localstatedir=/var --prefix=/usr/ --enable-lua --enable-geopip 
make
make install-full

Vérifier l'installation de Suricata :

suricata -V

Étape 3. Configurez Suricata.

Une fois installé, le fichier de configuration se trouve dans /etc/suricata/suricata.yaml . Cependant, pour notre configuration de base, nous nous concentrerons uniquement sur l'interface réseau sur laquelle Suricata écoute et l'adresse IP attachée à cette interface :

nano /etc/suricata/suricata.yaml

Ajoutez les lignes suivantes :

vars:
  # more specific is better for alert accuracy and performance
  address-groups:
    #HOME_NET: "[192.168.0.0/16,10.0.0.0/8,172.16.0.0/12]"
    HOME_NET: "[192.168.77.21]"
    #HOME_NET: "[192.168.0.0/16]"
    #HOME_NET: "[10.0.0.0/8]"
    #HOME_NET: "[172.16.0.0/12]"
    #HOME_NET: "any"

    EXTERNAL_NET: "!$HOME_NET"
    #EXTERNAL_NET: "any"
...

Ensuite, définissez le nom de l'interface sur af-packet: 

# Linux high speed capture support
af-packet:
  - interface: enp0s3
...........

Définissez les fichiers de règles Suricata à utiliser. Nous utilisons les règles ET par défaut dans cette démo :

...
default-rule-path: /var/lib/suricata/rules

rule-files:
  - suricata.rules
...

Après cela, désactivez le déchargement des paquets Suricata en désactivant l'interface Large Receive Offload (LRO)/Generic Receive Offload (GRO) :

sudo ethtool -K <interface> gro off lro off

Sortie :

tx-checksum-ip-generic: ongeneric-segmentation-offload: ongeneric-receive-offload: offlarge-receive-offload: off [fixed]

Si activé, désactivez-le en exécutant la commande ci-dessous :

ethtool -K <interface> gro off lro off

Étape 4. Exécution de Suricata.

Suricata peut être géré par un systemd un service. Mais avant de l'initialiser, spécifiez d'abord l'interface sur laquelle Suricata écoute comme ci-dessous :

nano /etc/sysconfig/suricata

Ajoutez les lignes suivantes :

# Add options to be passed to the daemon
#OPTIONS="-i eth0 --user suricata "
OPTIONS="-i enp0s3 --user suricata "

Enregistrez et quittez également le fichier, démarrez et activez Suricata pour qu'il s'exécute au démarrage :

sudo systemctl enable --now suricata

Pour vérifier si Suricata est en cours d'exécution, consultez le journal Suricata :

sudo tail /var/log/suricata/suricata.log

Étape 5. Tester les règles Suricata.

Dans cette démo, nous utilisons les règles ET Suricata par défaut. Si vous avez créé vos propres règles personnalisées, assurez-vous de tester les règles Suricata pour les erreurs de syntaxe :

sudo suricata -c /etc/suricata/suricata.yaml -T -v

Sortie :

26/7/2021 -- 16:46:11 - - Running suricata under test mode
26/7/2021 -- 16:46:11 - - This is Suricata version 5.0.3 RELEASE running in SYSTEM mode
26/7/2021 -- 16:46:11 - - CPUs/cores online: 1
26/7/2021 -- 16:46:11 - - fast output device (regular) initialized: fast.log
26/7/2021 -- 16:46:11 - - eve-log output device (regular) initialized: eve.json
26/7/2021 -- 16:46:11 - - stats output device (regular) initialized: stats.log
26/7/2021 -- 16:46:13 - - 1 rule files processed. 20676 rules successfully loaded, 0 rules failed
26/7/2021 -- 16:46:13 - - Threshold config parsed: 0 rule(s) found
26/7/2021 -- 16:46:13 - - 20679 signatures processed. 1138 are IP-only rules, 3987 are inspecting packet payload, 15324 inspect application layer, 103 are decoder event only26/7/2021 -- 16:46:28 - - Configuration provided was successfully loaded. Exiting.26/7/2021 -- 16:46:28 - - cleaning up signature grouping structure… complete

Félicitations ! Vous avez installé Suricata avec succès. Merci d'avoir utilisé ce didacticiel pour installer Suricata sur votre système AlmaLinux 8. Pour obtenir de l'aide supplémentaire ou des informations utiles, nous vous recommandons de consulter le site Web officiel de Suricata.


Arch Linux

  1. Comment installer Anaconda sur AlmaLinux 8

  2. Comment installer Terraform sur AlmaLinux 8

  3. Comment installer PHP 8 sur AlmaLinux 8

  4. Comment installer PHP 7.4 sur AlmaLinux 8

  5. Comment installer Ansible sur AlmaLinux 8

Comment installer Magento sur AlmaLinux 8

Comment installer Odoo sur AlmaLinux 8

Comment installer Java sur AlmaLinux 8

Comment installer Flatpak sur AlmaLinux 8

Comment installer Powershell sur AlmaLinux 8

Comment installer Rust sur AlmaLinux 8