Suricata 是一种网络安全监控工具,可以处理和控制网络流量。它还用于生成警报、日志和检测任何进入您服务器的服务的可疑数据包或请求。默认情况下,Suricata 作为被动入侵检测系统 (IDS) 来扫描服务器或网络上的可疑流量。它将生成并记录警报以供进一步调查。它还可以配置为主动入侵防御系统 (IPS),以记录、警告和完全阻止符合特定规则的网络流量。
在 Ubuntu 20.04 LTS Focal Fossa 上安装 Suricata
apt
步骤 1. 首先,通过在终端中运行以下命令,确保所有系统包都是最新的。
sudo apt update sudo apt upgrade sudo apt install apt-transport-https dirmngr
步骤 2. 在 Ubuntu 20.04 上安装 Suricata。
默认情况下,Suricata 在 Ubuntu 20.04 基础存储库中不可用。现在运行以下命令在您的 Ubuntu 系统上添加 Suricata 存储库:
sudo add-apt-repository ppa:oisf/suricata-stable
接下来,更新系统的软件包并使用以下命令安装 Suricata:
sudo apt update
sudo apt install suricata
安装完成后,现在启用 Suricata(系统启动时自动启动)并使用以下命令验证状态:
sudo systemctl enable suricata
sudo systemctl start suricata
sudo systemctl status suricata
步骤 3. 配置 Suricata。
默认的 Suricata 配置文件位于. 您需要对其进行配置以保护您的内部网络:/etc/suricata/suricata.yaml
sudo nano /etc/suricata/suricata.yaml
添加以下文件:
.... # more specific is better for alert accuracy and performance address-groups: #HOME_NET: "[192.168.0.0/16,10.0.0.0/8,172.16.0.0/12]"HOME_NET: "[192.168.77.21]" #HOME_NET: "[10.0.0.0/8]" #HOME_NET: "[172.16.0.0/12]" #HOME_NET: "any"EXTERNAL_NET: "!$HOME_NET" #EXTERNAL_NET: "any" ....
保存并关闭文件。注意:在上面的命令中,将 192.168.77.21替换为您的内部网络。
步骤 4. 测试 Suricata。
成功安装后,Suricata 有一个内置的测试模式,它将检查配置文件和任何包含的规则的有效性。现在运行下面的命令来测试 Suricata 规则的语法错误:
sudo suricata -T -c /etc/suricata/suricata.yaml -v
输出:
17/2/2022 -- 16:00:40 - <Info> - Running suricata under test mode 17/2/2022 -- 16:00:40 - <Notice> - This is Suricata version 6.0.3 RELEASE running in SYSTEM mode 17/2/2022 -- 16:00:40 - <Info> - CPUs/cores online: 2 17/2/2022 -- 16:00:40 - <Info> - fast output device (regular) initialized: fast.log 17/2/2022 -- 16:00:40 - <Info> - eve-log output device (regular) initialized: eve.json 17/2/2022 -- 16:00:40 - <Info> - stats output device (regular) initialized: stats.log 17/2/2022 -- 16:00:46 - <Info> - 1 rule files processed. 23869 rules successfully loaded, 0 rules failed 17/2/2022 -- 16:01:46 - <Info> - Threshold config parsed: 0 rule(s) found 17/2/2022 -- 16:01:47 - <Info> - 23882 signatures processed. 1183 are IP-only rules, 4043 are inspecting packet payload, 18453 inspect application layer, 107 are decoder event only 17/2/2022 -- 16:02:36 - <Notice> - Configuration provided was successfully loaded. Exiting. 17/2/2022 -- 16:02:36 - <Info> - cleaning up signature grouping structure... complete
感谢您使用本教程在 Ubuntu 20.04 LTS Focal Fossa 系统上安装 Suricata 网络安全监控工具。如需其他帮助或有用信息,我们建议您查看Suricata 官方网站。