このチュートリアルでは、Ubuntu 20.04 LTSにSuricataをインストールする方法を紹介します。知らなかった方のために、Suricataはネットワークトラフィックを処理および制御するネットワークセキュリティ監視ツールです。 。アラートやログの生成、サーバーに着信するサービスでの疑わしいパケットやリクエストの検出にも使用されます。デフォルトでは、Suricataはパッシブ侵入検出システム(IDS)として機能し、サーバーまたはネットワーク上の疑わしいトラフィックをスキャンします。 。さらに調査するためにアラートを生成してログに記録します。また、特定のルールに一致するネットワークトラフィックをログに記録し、アラートを送信し、完全にブロックするアクティブな侵入防止システム(IPS)として構成することもできます。
この記事は、少なくともLinuxの基本的な知識があり、シェルの使用方法を知っていること、そして最も重要なこととして、サイトを独自のVPSでホストしていることを前提としています。インストールは非常に簡単で、ルートアカウントで実行されていますが、そうでない場合は、'sudoを追加する必要があります。 ‘ルート権限を取得するコマンドに。 Ubuntu 20.04(Focal Fossa)にSuricataネットワークセキュリティ監視を段階的にインストールする方法を紹介します。 Ubuntu 18.04、16.04、およびLinuxMintなどの他のDebianベースのディストリビューションでも同じ手順に従うことができます。
前提条件
- 次のオペレーティングシステムのいずれかを実行しているサーバー:Ubuntu 20.04、18.04、16.04、およびLinuxMintなどの他のDebianベースのディストリビューション。
- 潜在的な問題を防ぐために、OSの新規インストールを使用することをお勧めします。
- サーバーへのSSHアクセス(またはデスクトップを使用している場合はターミナルを開く)。
non-root sudo userまたはroot userへのアクセス 。non-root sudo userとして行動することをお勧めします ただし、ルートとして機能するときに注意しないと、システムに害を及ぼす可能性があるためです。
Ubuntu 20.04 LTSFocalFossaにSuricataをインストールする
手順1.まず、次のaptを実行して、すべてのシステムパッケージが最新であることを確認します。 ターミナルのコマンド。
sudo apt update sudo apt upgrade sudo apt install apt-transport-https dirmngr
ステップ2.Ubuntu20.04にSuricataをインストールします。
デフォルトでは、SuricataはUbuntu 20.04ベースリポジトリでは使用できません。次に、以下のコマンドを実行して、UbuntuシステムにSuricataリポジトリを追加します。
sudo add-apt-repository ppa:oisf/suricata-stable
次に、システムのパッケージを更新し、以下のコマンドを使用してSuricataをインストールします。
sudo apt update sudo apt install suricata
インストールが完了したら、Suricataを有効にして(システムの起動時に自動的に起動します)、以下のコマンドを使用してステータスを確認します。
sudo systemctl enable suricata sudo systemctl start suricata sudo systemctl status suricata
ステップ3.Suricataを構成します。
デフォルトのSuricata構成ファイルは/etc/suricata/suricata.yamlにあります 。内部ネットワークを保護するように構成する必要があります:
sudo nano /etc/suricata/suricata.yaml
次のファイルを追加します:
....
# more specific is better for alert accuracy and performance
address-groups:
#HOME_NET: "[192.168.0.0/16,10.0.0.0/8,172.16.0.0/12]"HOME_NET: "[192.168.77.21]" #HOME_NET: "[10.0.0.0/8]"
#HOME_NET: "[172.16.0.0/12]"
#HOME_NET: "any"EXTERNAL_NET: "!$HOME_NET" #EXTERNAL_NET: "any"
.... ファイルを保存して閉じます。注:上記のコマンドで、192.168.77.21を内部ネットワークに置き換えます。
ステップ4.Suricataをテストします。
正常にインストールされると、Suricataには、構成ファイルと含まれているルールの有効性をチェックする組み込みのテストモードがあります。次に、以下のコマンドを実行して、構文エラーのSuricataルール:
sudo suricata -T -c /etc/suricata/suricata.yaml -v
出力:
17/2/2022 -- 16:00:40 - <Info> - Running suricata under test mode 17/2/2022 -- 16:00:40 - <Notice> - This is Suricata version 6.0.3 RELEASE running in SYSTEM mode 17/2/2022 -- 16:00:40 - <Info> - CPUs/cores online: 2 17/2/2022 -- 16:00:40 - <Info> - fast output device (regular) initialized: fast.log 17/2/2022 -- 16:00:40 - <Info> - eve-log output device (regular) initialized: eve.json 17/2/2022 -- 16:00:40 - <Info> - stats output device (regular) initialized: stats.log 17/2/2022 -- 16:00:46 - <Info> - 1 rule files processed. 23869 rules successfully loaded, 0 rules failed 17/2/2022 -- 16:01:46 - <Info> - Threshold config parsed: 0 rule(s) found 17/2/2022 -- 16:01:47 - <Info> - 23882 signatures processed. 1183 are IP-only rules, 4043 are inspecting packet payload, 18453 inspect application layer, 107 are decoder event only 17/2/2022 -- 16:02:36 - <Notice> - Configuration provided was successfully loaded. Exiting. 17/2/2022 -- 16:02:36 - <Info> - cleaning up signature grouping structure... complete
おめでとうございます!Suricataが正常にインストールされました。Ubuntu20.04LTS Focal FossaシステムにSuricataネットワークセキュリティ監視ツールをインストールするためにこのチュートリアルを使用していただきありがとうございます。追加のヘルプや役立つ情報については、以下を確認することをお勧めします。 Suricataの公式ウェブサイト。