Cómo instalar Suricata en AlmaLinux 8

En este tutorial, le mostraremos cómo instalar Suricata en AlmaLinux 8. Para aquellos de ustedes que no lo sabían, Suricata es un motor de detección de amenazas de red gratuito, de código abierto, maduro, rápido y sólido. Puede funcionar como motor de detección de intrusos (IDS), sistema de prevención de intrusos (IPS) en línea, monitoreo de seguridad de red (NSM), así como una herramienta de procesamiento pcap fuera de línea. Suricata inspecciona el tráfico de la red usando reglas poderosas y extensas y lenguaje de firma y tiene un poderoso soporte de secuencias de comandos Lua para la detección de amenazas complejas.

Este artículo asume que tiene al menos un conocimiento básico de Linux, sabe cómo usar el shell y, lo que es más importante, aloja su sitio en su propio VPS. La instalación es bastante simple y se supone que está ejecutando en la cuenta raíz, si no, es posible que deba agregar ‘ sudo ‘ a los comandos para obtener privilegios de root. Le mostraré la instalación paso a paso de Suricata en un AlmaLinux 8. Puede seguir las mismas instrucciones para Rocky Linux.

requisitos previos

  • Un servidor que ejecuta uno de los siguientes sistemas operativos: AlmaLinux 8, CentOS y Rocky Linux 8.
  • Se recomienda que utilice una instalación de sistema operativo nueva para evitar posibles problemas
  • A non-root sudo user o acceder a la root user . Recomendamos actuar como un non-root sudo user sin embargo, puede dañar su sistema si no tiene cuidado al actuar como root.

Instalar Suricata en AlmaLinux 8

Paso 1. Primero, comencemos asegurándonos de que su sistema esté actualizado.

                      sudo dnf update
sudo dnf install epel-release
sudo dnf config-manager --set-enabled PowerTools
sudo dnf install diffutils gcc jansson-devel make nss-devel pcre-devel python3 python3-pyyaml rust-toolset zlib-devel curl wget tar lua lz4-devel
                    

Paso 2. Instalación de Suricata en AlmaLinux 8.

Ahora descargamos el código fuente de Suricata de la última versión estable de la página oficial:

                      wget https://www.openinfosecfoundation.org/download/suricata-6.0.3.tar.gz
tar xzf suricata-6.0.3.tar.gz
                    

Luego, compile e instale Suricata usando el siguiente comando a continuación:

                      cd suricata-6.0.3
./configure --sysconfdir=/etc --localstatedir=/var --prefix=/usr/ --enable-lua --enable-geopip 
make
make install-full
                    

Verifique la instalación de Suricata:

                      suricata -V
                    

Paso 3. Configurar Suricata.

Una vez instalado, el archivo de configuración se encuentra en /etc/suricata/suricata.yaml . Sin embargo, para nuestra configuración básica, solo nos centraremos en la interfaz de red en la que escucha Suricata y la dirección IP adjunta a esa interfaz:

                      nano /etc/suricata/suricata.yaml
                    

Agregue las siguientes líneas:

                      vars:
  # more specific is better for alert accuracy and performance
  address-groups:
    #HOME_NET: "[192.168.0.0/16,10.0.0.0/8,172.16.0.0/12]"
    HOME_NET: "[192.168.77.21]"
    #HOME_NET: "[192.168.0.0/16]"
    #HOME_NET: "[10.0.0.0/8]"
    #HOME_NET: "[172.16.0.0/12]"
    #HOME_NET: "any"

    EXTERNAL_NET: "!$HOME_NET"
    #EXTERNAL_NET: "any"
...
                    

A continuación, establezca el nombre de la interfaz en af-packet:

                      # Linux high speed capture support
af-packet:
  - interface: enp0s3
...........
                    

Defina los archivos de reglas de Suricata a utilizar. Estamos usando las reglas de ET predeterminadas en esta demostración:

                      ...
default-rule-path: /var/lib/suricata/rules

rule-files:
  - suricata.rules
...
                    

Después de eso, desactive la descarga de paquetes de Suricata desactivando la descarga de recepción grande (LRO)/Descarga de recepción genérica (GRO) de la interfaz:

                      sudo ethtool -K <interface> gro off lro off
                    

Producción:

                      tx-checksum-ip-
                      
                        generic
                      
                      : on
                      
                        generic
                      
                      -segmentation-offload: on
                      
                        generic
                      
                      -receive-offload: off
                      
                        large
                      
                      -receive-offload: off [fixed]
                    

Si está habilitado, desactívelo ejecutando el siguiente comando:

                      ethtool -K <interface> gro off lro off
                    

Paso 4. Ejecutar Suricata.

Suricata puede ser manejada por un systemd Servicio. Pero antes de inicializarlo, primero, especifique la interfaz en la que escucha Suricata como se muestra a continuación:

                      nano /etc/sysconfig/suricata
                    

Agregue las siguientes líneas:

                      # Add options to be passed to the daemon
#OPTIONS="-i eth0 --user suricata "
OPTIONS="-i enp0s3 --user suricata "
                    

Guarde y salga del archivo también, inicie y permita que Suricata se ejecute en el arranque:

                      sudo systemctl enable --now suricata
                    

Para verificar si Suricata se está ejecutando, verifique el registro de Suricata:

                      sudo tail /var/log/suricata/suricata.log
                    

Paso 5. Prueba de las Reglas de Suricata.

En esta demostración, estamos usando las reglas predeterminadas de ET Suricata. Si ha creado sus propias reglas personalizadas, asegúrese de probar las reglas de Suricata en busca de errores de sintaxis:

                      sudo suricata -c /etc/suricata/suricata.yaml -T -v
                    

Producción:

                      26/7/2021 -- 16:46:11 - - Running suricata under test mode
26/7/2021 -- 16:46:11 - - This is Suricata version 5.0.3 RELEASE running in SYSTEM mode
26/7/2021 -- 16:46:11 - - CPUs/cores online: 1
26/7/2021 -- 16:46:11 - - fast output device (regular) initialized: fast.log
26/7/2021 -- 16:46:11 - - eve-log output device (regular) initialized: eve.json
26/7/2021 -- 16:46:11 - - stats output device (regular) initialized: stats.log
26/7/2021 -- 16:46:13 - - 1 rule files processed. 20676 rules successfully loaded, 0 rules failed
26/7/2021 -- 16:46:13 - - Threshold config parsed: 0 rule(s) found
26/7/2021 -- 16:46:13 - - 20679 signatures processed. 1138 are IP-only rules, 3987 are inspecting packet payload, 15324 inspect application layer, 103 are decoder event only
                      
                        26/7/2021 -- 16:46:28 - - Configuration provided was successfully loaded. Exiting.
                      
                      26/7/2021 -- 16:46:28 - - cleaning up signature grouping structure… complete
                    

¡Felicidades! Ha instalado correctamente Suricata. Gracias por utilizar este tutorial para instalar Suricata en su sistema AlmaLinux 8. Para obtener ayuda adicional o información útil, le recomendamos que consulte el sitio web oficial de Suricata .

Related Posts