Dalam tutorial ini, kami akan menunjukkan kepada Anda cara menginstal Suricata di AlmaLinux 8. Bagi Anda yang belum tahu, Suricata adalah aplikasi gratis dan open-source, matang, cepat, dan mesin pendeteksi ancaman jaringan yang kuat. Dapat berfungsi sebagai mesin deteksi intrusi (IDS), sistem pencegahan intrusi inline (IPS), pemantauan keamanan jaringan (NSM) serta alat pemrosesan pcap offline. Suricata memeriksa lalu lintas jaringan menggunakan aturan yang kuat dan ekstensif dan bahasa tanda tangan dan memiliki dukungan skrip Lua yang kuat untuk mendeteksi ancaman yang kompleks.
Artikel ini mengasumsikan Anda memiliki setidaknya pengetahuan dasar tentang Linux, tahu cara menggunakan shell, dan yang terpenting, Anda meng-host situs Anda di VPS Anda sendiri. Instalasi cukup sederhana dan mengasumsikan Anda sedang berjalan di akun root, jika tidak, Anda mungkin perlu menambahkan 'sudo ' ke perintah untuk mendapatkan hak akses root. Saya akan menunjukkan kepada Anda langkah demi langkah instalasi Suricata pada AlmaLinux 8. Anda dapat mengikuti instruksi yang sama untuk Rocky Linux.
Prasyarat
- Server yang menjalankan salah satu sistem operasi berikut:AlmaLinux 8, CentOS, dan Rocky Linux 8.
- Sebaiknya Anda menggunakan penginstalan OS baru untuk mencegah potensi masalah.
- Akses SSH ke server (atau cukup buka Terminal jika Anda menggunakan desktop).
- Seorang
non-root sudo useratau akses keroot user. Kami merekomendasikan untuk bertindak sebagainon-root sudo user, namun, karena Anda dapat membahayakan sistem jika tidak berhati-hati saat bertindak sebagai root.
Instal Suricata di AlmaLinux 8
Langkah 1. Pertama, mari kita mulai dengan memastikan sistem Anda mutakhir.
sudo dnf update sudo dnf install epel-release sudo dnf config-manager --set-enabled PowerTools sudo dnf install diffutils gcc jansson-devel make nss-devel pcre-devel python3 python3-pyyaml rust-toolset zlib-devel curl wget tar lua lz4-devel
Langkah 2. Menginstal Suricata di AlmaLinux 8.
Sekarang kami mengunduh rilis stabil terbaru dari kode sumber Suricata dari halaman resmi:
wget https://www.openinfosecfoundation.org/download/suricata-6.0.3.tar.gz tar xzf suricata-6.0.3.tar.gz
Kemudian, kompilasi dan instal Suricata menggunakan perintah berikut di bawah ini:
cd suricata-6.0.3 ./configure --sysconfdir=/etc --localstatedir=/var --prefix=/usr/ --enable-lua --enable-geopip make make install-full
Verifikasi pemasangan Suricata:
suricata -V
Langkah 3. Konfigurasi Suricata.
Setelah terinstal, File konfigurasi terletak di /etc/suricata/suricata.yaml . Namun, untuk pengaturan dasar kami, kami hanya akan fokus pada antarmuka jaringan tempat Suricata mendengarkan dan alamat IP yang dilampirkan ke antarmuka itu:
nano /etc/suricata/suricata.yaml
Tambahkan baris berikut:
vars:
# more specific is better for alert accuracy and performance
address-groups:
#HOME_NET: "[192.168.0.0/16,10.0.0.0/8,172.16.0.0/12]"
HOME_NET: "[192.168.77.21]"
#HOME_NET: "[192.168.0.0/16]"
#HOME_NET: "[10.0.0.0/8]"
#HOME_NET: "[172.16.0.0/12]"
#HOME_NET: "any"
EXTERNAL_NET: "!$HOME_NET"
#EXTERNAL_NET: "any"
... Selanjutnya, atur nama antarmuka di af-packet:
# Linux high speed capture support af-packet: - interface: enp0s3 ...........
Tentukan file aturan Suricata yang akan digunakan. Kami menggunakan aturan ET default dalam demo ini:
... default-rule-path: /var/lib/suricata/rules rule-files: - suricata.rules ...
Setelah itu, nonaktifkan paket Suricata offloading dengan menonaktifkan antarmuka Large Receive Offload (LRO)/Generic Receive Offload (GRO):
sudo ethtool -K <interface> gro off lro off
Keluaran:
tx-checksum-ip-generic: ongeneric-segmentation-offload: ongeneric-receive-offload: offlarge-receive-offload: off [fixed]
Jika diaktifkan, nonaktifkan dengan menjalankan perintah di bawah ini:
ethtool -K <interface> gro off lro off
Langkah 4. Menjalankan Suricata.
Suricata dapat dikelola oleh systemd melayani. Tetapi sebelum menginisialisasi, pertama-tama tentukan antarmuka tempat Suricata mendengarkan seperti di bawah ini:
nano /etc/sysconfig/suricata
Tambahkan baris berikut:
# Add options to be passed to the daemon #OPTIONS="-i eth0 --user suricata " OPTIONS="-i enp0s3 --user suricata "
Simpan dan keluar dari file juga, mulai dan aktifkan Suricata untuk berjalan saat boot:
sudo systemctl enable --now suricata
Untuk memeriksa apakah Suricata berjalan, periksa log Suricata:
sudo tail /var/log/suricata/suricata.log
Langkah 5. Menguji Aturan Suricata.
Dalam demo ini, kami menggunakan aturan ET Suricata default. Jika Anda telah membuat aturan kustom Anda sendiri, pastikan untuk menguji aturan Suricata untuk kesalahan sintaks:
sudo suricata -c /etc/suricata/suricata.yaml -T -v
Keluaran:
26/7/2021 -- 16:46:11 - - Running suricata under test mode 26/7/2021 -- 16:46:11 - - This is Suricata version 5.0.3 RELEASE running in SYSTEM mode 26/7/2021 -- 16:46:11 - - CPUs/cores online: 1 26/7/2021 -- 16:46:11 - - fast output device (regular) initialized: fast.log 26/7/2021 -- 16:46:11 - - eve-log output device (regular) initialized: eve.json 26/7/2021 -- 16:46:11 - - stats output device (regular) initialized: stats.log 26/7/2021 -- 16:46:13 - - 1 rule files processed. 20676 rules successfully loaded, 0 rules failed 26/7/2021 -- 16:46:13 - - Threshold config parsed: 0 rule(s) found 26/7/2021 -- 16:46:13 - - 20679 signatures processed. 1138 are IP-only rules, 3987 are inspecting packet payload, 15324 inspect application layer, 103 are decoder event only26/7/2021 -- 16:46:28 - - Configuration provided was successfully loaded. Exiting.26/7/2021 -- 16:46:28 - - cleaning up signature grouping structure… complete
Selamat! Anda telah berhasil menginstal Suricata. Terima kasih telah menggunakan tutorial ini untuk menginstal Suricata di sistem AlmaLinux 8 Anda. Untuk bantuan tambahan atau informasi berguna, kami sarankan Anda memeriksa situs web resmi Suricata.