このチュートリアルでは、AlmaLinux 8にSuricataをインストールする方法を紹介します。知らなかった人のために、Suricataは無料でオープンソースであり、成熟していて、高速で、堅牢なネットワーク脅威検出エンジン。侵入検知(IDS)エンジン、インライン侵入防止システム(IPS)、ネットワークセキュリティ監視(NSM)、およびオフラインpcap処理ツールとして機能できます。Suricataは、強力で広範なルールを使用してネットワークトラフィックを検査します。署名言語であり、複雑な脅威を検出するための強力なLuaスクリプトサポートを備えています。
この記事は、少なくともLinuxの基本的な知識があり、シェルの使用方法を知っていること、そして最も重要なこととして、サイトを独自のVPSでホストしていることを前提としています。インストールは非常に簡単で、ルートアカウントで実行されていますが、そうでない場合は、'sudoを追加する必要があります。 ルート権限を取得するコマンドに‘。 AlmaLinux8にSuricataを段階的にインストールする方法を紹介します。RockyLinuxでも同じ手順に従うことができます。
前提条件
- 次のオペレーティングシステムのいずれかを実行しているサーバー:AlmaLinux 8、CentOS、およびRockyLinux8。
- 潜在的な問題を防ぐために、OSの新規インストールを使用することをお勧めします。
- サーバーへのSSHアクセス(またはデスクトップを使用している場合はターミナルを開く)
non-root sudo userまたはroot userへのアクセス 。non-root sudo userとして行動することをお勧めします ただし、ルートとして機能するときに注意しないと、システムに害を及ぼす可能性があるためです。
AlmaLinux8にSuricataをインストールする
ステップ1.まず、システムが最新であることを確認することから始めましょう。
sudo dnf update sudo dnf install epel-release sudo dnf config-manager --set-enabled PowerTools sudo dnf install diffutils gcc jansson-devel make nss-devel pcre-devel python3 python3-pyyaml rust-toolset zlib-devel curl wget tar lua lz4-devel
ステップ2.AlmaLinux8にSuricataをインストールします。
これで、公式ページからSuricataソースコードの最新の安定したリリースをダウンロードします:
wget https://www.openinfosecfoundation.org/download/suricata-6.0.3.tar.gz tar xzf suricata-6.0.3.tar.gz
次に、以下のコマンドを使用してSuricataをコンパイルおよびインストールします。
cd suricata-6.0.3 ./configure --sysconfdir=/etc --localstatedir=/var --prefix=/usr/ --enable-lua --enable-geopip make make install-full
Suricataのインストールを確認します:
suricata -V
ステップ3.Suricataを構成します。
インストールすると、構成ファイルは/etc/suricata/suricata.yamlにあります。 。ただし、基本的な設定では、Suricataがリッスンしているネットワークインターフェイスと、そのインターフェイスに接続されているIPアドレスのみに焦点を当てます。
nano /etc/suricata/suricata.yaml
次の行を追加します:
vars:
# more specific is better for alert accuracy and performance
address-groups:
#HOME_NET: "[192.168.0.0/16,10.0.0.0/8,172.16.0.0/12]"
HOME_NET: "[192.168.77.21]"
#HOME_NET: "[192.168.0.0/16]"
#HOME_NET: "[10.0.0.0/8]"
#HOME_NET: "[172.16.0.0/12]"
#HOME_NET: "any"
EXTERNAL_NET: "!$HOME_NET"
#EXTERNAL_NET: "any"
... 次に、インターフェース名をaf-packet:に設定します。
# Linux high speed capture support af-packet: - interface: enp0s3 ...........
使用するSuricataルールファイルを定義します。このデモではデフォルトのETルールを使用しています:
... default-rule-path: /var/lib/suricata/rules rule-files: - suricata.rules ...
その後、インターフェースラージレシーブオフロード(LRO)/ジェネリックレシーブオフロード(GRO)を無効にして、Suricataパケットオフロードを無効にします。
sudo ethtool -K <interface> gro off lro off
出力:
tx-checksum-ip-generic: ongeneric-segmentation-offload: ongeneric-receive-offload: offlarge-receive-offload: off [fixed]
有効になっている場合は、以下のコマンドを実行して無効にします:
ethtool -K <interface> gro off lro off
ステップ4.Suricataを実行します。
Suricataはsystemdで管理できます サービス。ただし、初期化する前に、まず、Suricataがリッスンしているインターフェースを次のように指定します。
nano /etc/sysconfig/suricata
次の行を追加します:
# Add options to be passed to the daemon #OPTIONS="-i eth0 --user suricata " OPTIONS="-i enp0s3 --user suricata "
ファイルも保存して終了し、起動時にSuricataを起動して実行できるようにします:
sudo systemctl enable --now suricata
Suricataが実行されているかどうかを確認するには、Suricataログを確認してください:
sudo tail /var/log/suricata/suricata.log
ステップ5.Suricataルールをテストします。
このデモでは、デフォルトのET Suricataルールを使用しています。独自のカスタムルールを作成した場合は、構文エラーについてSuricataルールをテストしてください。
sudo suricata -c /etc/suricata/suricata.yaml -T -v
出力:
26/7/2021 -- 16:46:11 - - Running suricata under test mode 26/7/2021 -- 16:46:11 - - This is Suricata version 5.0.3 RELEASE running in SYSTEM mode 26/7/2021 -- 16:46:11 - - CPUs/cores online: 1 26/7/2021 -- 16:46:11 - - fast output device (regular) initialized: fast.log 26/7/2021 -- 16:46:11 - - eve-log output device (regular) initialized: eve.json 26/7/2021 -- 16:46:11 - - stats output device (regular) initialized: stats.log 26/7/2021 -- 16:46:13 - - 1 rule files processed. 20676 rules successfully loaded, 0 rules failed 26/7/2021 -- 16:46:13 - - Threshold config parsed: 0 rule(s) found 26/7/2021 -- 16:46:13 - - 20679 signatures processed. 1138 are IP-only rules, 3987 are inspecting packet payload, 15324 inspect application layer, 103 are decoder event only26/7/2021 -- 16:46:28 - - Configuration provided was successfully loaded. Exiting.26/7/2021 -- 16:46:28 - - cleaning up signature grouping structure… complete
おめでとうございます!Suricataが正常にインストールされました。AlmaLinux8システムにSuricataをインストールするためにこのチュートリアルを使用していただき、ありがとうございます。追加のヘルプや役立つ情報については、Suricataの公式Webサイトを確認することをお勧めします。