Cómo instalar Suricata en AlmaLinux 8

En este tutorial, le mostraremos cómo instalar Suricata en AlmaLinux 8. Para aquellos de ustedes que no lo sabían, Suricata es un motor de detección de amenazas de red robusto, maduro, rápido y gratuito de código abierto. Puede funcionar como motor de detección de intrusiones (IDS), sistema de prevención de intrusiones en línea (IPS), monitoreo de seguridad de red (NSM) y como herramienta de procesamiento de pcap fuera de línea. Suricata inspecciona el tráfico de la red utilizando un lenguaje de firmas y reglas potentes y extensas, y cuenta con un potente soporte de secuencias de comandos Lua para la detección de amenazas complejas.

Este artículo asume que tiene al menos conocimientos básicos de Linux, sabe cómo usar el shell y, lo más importante, aloja su sitio en su propio VPS. La instalación es bastante simple y asume que está ejecutando en la cuenta de root, de lo contrario, es posible que deba agregar ‘sudo‘a los comandos para obtener privilegios de root. Le mostraré paso a paso la instalación de Suricata en un AlmaLinux 8. Puede seguir las mismas instrucciones para Rocky Linux.

Instalar Suricata en AlmaLinux 8

Paso 1. Primero, comencemos asegurándonos de que su sistema esté actualizado.

sudo actualización dnf
sudo dnf instalar epel-release
sudo dnf config-manager –set-enabled PowerTools
sudo dnf install diffutils gcc jansson-devel make nss-devel pcre-devel python3 python3-pyyaml ​​rust-toolset zlib-devel curl wget tar lua lz4-devel

Paso 2. Instalar Suricata en AlmaLinux 8.

Ahora descargamos la última versión estable del código fuente de Suricata de la página oficial:

wget https://www.openinfosecfoundation.org/download/suricata-6.0.3.tar.gz tar xzf suricata-6.0.3.tar.gz

Luego, compile e instale Suricata usando el siguiente comando a continuación:

cd suricata-6.0.3 ./configure –sysconfdir = / etc –localstatedir = / var –prefix = / usr / –enable-lua –enable-geopip make make install-full

Verifique la instalación de Suricata:

suricata -V

Paso 3. Configure Suricata.

Una vez instalado, el archivo de configuración se encuentra en /etc/suricata/suricata.yaml. Sin embargo, para nuestra configuración básica, solo nos centraremos en la interfaz de red en la que Suricata está escuchando y la dirección IP adjunta a esa interfaz:

nano /etc/suricata/suricata.yaml

Agrega las siguientes líneas:

vars: # más específico es mejor para la precisión de las alertas y el rendimiento de los grupos de direcciones: #HOME_NET: “[192.168.0.0/16,10.0.0.0/8,172.16.0.0/12]”HOME_NET:”[192.168.77.21]”#HOME_NET:”[192.168.0.0/16]”#HOME_NET:”[10.0.0.0/8]”#HOME_NET:”[172.16.0.0/12]”#HOME_NET:” cualquiera “EXTERNAL_NET:”! $ HOME_NET “#EXTERNAL_NET:” cualquiera “…

A continuación, establezca el nombre de la interfaz en af-packet:

# Soporte de captura de alta velocidad de Linux af-packet: – interfaz: enp0s3 ………..

Defina los archivos de reglas de Suricata que se utilizarán. Estamos usando las reglas de ET predeterminadas en esta demostración:

… ruta-regla-predeterminada: / var / lib / suricata / rules archivos-de-reglas: – suricata.rules …

Después de eso, desactive la descarga de paquetes Suricata desactivando la interfaz Descarga de recepción grande (LRO) / Descarga de recepción genérica (GRO):

sudo ethtool -K gro off lro off

Producción:

tx-suma de comprobación-ip-genérico: sobregenérico-segmentación-descarga: encendidogenérico-recibir-descargar: apagadogrande-recibir-descargar: apagado [fixed]

Si está habilitado, inhabilítelo ejecutando el siguiente comando:

ethtool -K gro off lro off

Paso 4. Ejecutando Suricata.

Suricata puede ser manejado por un systemd Servicio. Pero antes de inicializarlo, primero, especifique la interfaz en la que Suricata está escuchando como se muestra a continuación:

nano / etc / sysconfig / suricata

Agrega las siguientes líneas:

# Agregar opciones para pasar al demonio #OPTIONS = “- i eth0 –user suricata” OPTIONS = “- i enp0s3 –user suricata”

Save y salga del archivo también, inicie y habilite Suricata para que se ejecute en el arranque:

sudo systemctl enable –ahora suricata

Para comprobar si Suricata se está ejecutando, consulte el registro de Suricata:

sudo tail /var/log/suricata/suricata.log

Paso 5. Prueba de las reglas de Suricata.

En esta demostración, usamos las reglas predeterminadas de ET Suricata. Si ha creado sus propias reglas personalizadas, asegúrese de probar las reglas de Suricata para detectar errores de sintaxis:

sudo suricata -c /etc/suricata/suricata.yaml -T -v

Producción:

26/7/2021 – 16:46:11 – – Ejecutando suricata en modo de prueba 26/7/2021 – 16:46:11 – – Esta es la versión 5.0.3 RELEASE de Suricata ejecutándose en modo SYSTEM 26/7/2021 – 16:46:11 – – CPU / núcleos en línea: 1 26/7/2021 – 16:46:11 – – Dispositivo de salida rápida (normal) inicializado: fast.log 26/7/2021 – 16:46 : 11 – – dispositivo de salida eve-log (regular) inicializado: eve.json 26/7/2021 – 16:46:11 – – dispositivo de salida de estadísticas (regular) inicializado: stats.log 26/7/2021 – 16 : 46: 13 – – 1 archivos de reglas procesados. 20676 reglas cargadas correctamente, 0 reglas fallaron 26/7/2021 – 16:46:13 – – Configuración de umbral analizada: 0 reglas encontradas 26/7/2021 – 16:46:13 – – 20679 firmas procesadas. 1138 son reglas solo de IP, 3987 están inspeccionando la carga útil del paquete, 15324 inspeccionan la capa de aplicación, 103 son solo eventos de decodificador26/7/2021 – 16:46:28 – – La configuración proporcionada se cargó correctamente. Saliendo.26/7/2021 – 16:46:28 – – limpieza de la estructura de agrupación de firmas … completa

¡Felicidades! Ha instalado correctamente Suricata. Gracias por usar este tutorial para instalar Suricata en su sistema AlmaLinux 8. Para obtener ayuda adicional o información útil, le recomendamos que consulte el sitio web oficial de Suricata.