苏里卡塔 是一款开源的网络威胁检测工具,具有入侵检测、入侵防御、网络安全监控等功能。 它擅长深度数据包检查和模式匹配,使其成为检测威胁和攻击的宝贵工具。
如果您的网络中有可疑数据包,Suricata 可以生成日志、丢弃流量并触发警报。 本指南将带您完成在 ubuntu 20.04 上安装 Suricata IDS
第 1 步:更新您的系统
首先,确保您的系统包已更新。 运行命令:
$ sudo apt update
更新包索引后,继续下一步。
第 2 步:添加 Suricata 存储库
Suricata 的最新稳定版本可在 OISF 维护的 PPA 存储库中获得。 因此,我们将在您的 Ubuntu 系统上添加 Suricata 存储库,如图所示;
$ sudo add-apt-repository ppa:oisf/suricata-stable
此后,更新系统的包索引。
$ sudo apt update
安装好 PPA 后,继续下一步并安装 Suricat IDS。
第 3 步:安装 Suricata
要安装 Suricata,请运行以下命令:
$ sudo apt install suricata
随着 Suricata 的安装,让我们更进一步,让它在启动时启动。
$ sudo systemctl enable suricata.service
接下来,通过运行以下命令确保安装成功:
$ sudo suricata –build-info
确认 Suricata 的 systemd 服务运行如下:
$ sudo systemctl status suricata
输出确认 Suricata 已在 Ubuntu 20.04 上启动并运行
第 4 步:基本设置
Suricata 的配置文件位于 /etc/suricata/suricata.yaml 小路。 对于基本设置,我们需要为您的内部和外部网络配置 Suricata。 打开配置文件,如图:
$ sudo vim /etc/suricata/suricata.yaml
然后,为 HOME_NET 变量指定 IP 地址。 在这种情况下,我的 IP 地址是 192.168.100.7。 HOME_NET 变量是您要监控的本地网络或接口的 IP 地址。 接下来,定义值 外部网络 作为不是您本地IP地址的任何网络。
接下来,转到配置文件中的 af-packet 部分并更改接口名称以反映上面选择的网络接口。
第 5 步:Suricata 规则
Suricata 允许您根据您的要求创建网络规则或签名。 最常见的规则包括 Emerging Threats 和 Emerging Threats Pro。
规则文件位于 /etc/suricata/规则/ 目录。 要查看内容运行:
$ ls /etc/suricata/rules/
要安装 Emerging Threats Open 规则集,请运行:
$ sudo suricata-update
这会将规则安装到 /var/lib/suricata/rules/ 目录。
第 6 步:运行 Suricata
安装完所有规则后,可以重启Suricata IDS服务,如图:
$ sudo systemctl restart suricata
您还可以检查 Suricata 日志,如下所示:
$ sudo tail /var/log/suricata/suricata.log
在 Ubuntu 20.04 上安装 Suricata IDS 就是这样。 欲了解更多信息,请访问 文档页面.
