Suricataは、侵入検知、侵入防止、ネットワークセキュリティ監視などの機能を備えたオープンソースのネットワーク脅威検出ツールです。ディープパケットインスペクションとパターンマッチングに優れており、脅威や攻撃を検出するための非常に貴重なツールになっています。
Suricataは、疑わしいパケットがネットワークにある場合に、ログを生成し、トラフィックをドロップし、アラートをトリガーすることができます。
ここLinuxAPTでは、サーバー管理サービスの一環として、お客様が関連するUbuntuLinuxシステムのソフトウェアインストールクエリを実行するのを定期的に支援しています。
これに関連して、ubuntu20.04でのSuricataIDSの完全なインストール手順を検討します。
Ubuntu 20.04 LTS(Focal Fossa)にSuricataIDSをインストールする手順
1.システムアップデートを実行します
まず、次のコマンドを実行して、システムパッケージが更新されていることを確認します。
$ sudo apt update
2.Suricataリポジトリを追加する
Suricataの最新の安定バージョンは、OISFによって管理されているPPAリポジトリで入手できます。したがって、UbuntuシステムにSuricataリポジトリを追加します。
$ sudo add-apt-repository ppa:oisf/suricata-stable
その後、システムのパッケージインデックスを更新します:
$ sudo apt update
PPAを配置したら、次のステップに進み、SuricatIDSをインストールします。
3.Suricataをインストールします
Suricataをインストールするには、次のコマンドを実行します:
$ sudo apt install suricata
Suricataをインストールしたら、さらに一歩進んで、起動時に起動できるようにします。
$ sudo systemctl enable suricata.service
次に、次のコマンドを実行して、インストールが成功したことを確認します。
$ sudo suricata –build-info
Suricataのsystemdサービスが実行されていることを確認します:
$ sudo systemctl status suricata
出力は、SuricataがUbuntu20.04で稼働していることを確認します
UbuntuでSuricataを設定する方法は?
Suricataの設定ファイルは/etc/suricata/suricata.yamlパスにあります。基本的なセットアップでは、内部ネットワークと外部ネットワーク用にSuricataを構成する必要があります。次のコマンドで構成ファイルを開きます。
$ sudo vim /etc/suricata/suricata.yaml
次に、HOME_NET変数のIPアドレスを指定します。この場合、IPアドレスは192.168.100.1です。 HOME_NET変数は、監視するローカルネットワークまたはインターフェイスのIPアドレスです。次に、EXTERNA_ NETの値を、ローカルIPアドレスではないネットワークとして定義します。
次に、構成ファイルのaf-packetセクションに移動し、選択したネットワークインターフェイスを反映するようにインターフェイス名を変更します。
Suricataルールを設定する方法は?
Suricataを使用すると、要件に応じてネットワークルールまたは署名を作成できます。最も一般的なルールには、EmergingThreatsとEmergingThreatsProが含まれます。
ルールファイルは/etc/ suricata /rules/ディレクトリにあります。コンテンツを表示するには、次のコマンドを実行します。
$ ls /etc/suricata/rules/
Emerging Threats Openルールセットをインストールするには、次のコマンドを実行します。
$ sudo suricata-update
これにより、ルールが/ var / lib / suricata /rules/ディレクトリにインストールされます。
Suricataを実行する方法は?
すべてのルールをインストールしたら、次のコマンドを使用してSuricataIDSサービスを再起動できます。
$ sudo systemctl restart suricata
次のコマンドを使用して、Suricataログを確認することもできます。
$ sudo tail /var/log/suricata/suricata.log