怎样在 Ubuntu 20.04 LTS 上安装 Suricata

在本教程中,我们将向您展示怎样在 Ubuntu 20.04 LTS 上安装 Suricata。 对于那些不知道的人,Suricata 是一种网络安全监控工具,可以处理和控制网络流量。 它还用于生成警报、日志和检测任何进入您服务器的服务的可疑数据包或请求。 默认情况下,Suricata 作为被动入侵检测系统 (IDS) 来扫描服务器或网络上的可疑​​流量。 它将生成并记录警报以供进一步调查。 它还可以配置为主动入侵防御系统 (IPS),以记录、警告和完全阻止符合特定规则的网络流量。

本文假设您至少具备 Linux 的基本知识,知道怎样使用 shell,最重要的是,您将网站托管在自己的 VPS 上。 安装非常简单,假设您在 root 帐户下运行,如果不是,您可能需要添加 ‘sudo‘ 到命令以获取 root 权限。 我将向您展示在 Ubuntu 20.04(Focal Fossa)上逐步安装 Suricata 网络安全监控。 对于 Ubuntu 18.04、16.04 和任何其他基于 Debian 的发行版,如 Linux Mint,您可以按照相同的说明进行操作。

先决条件

  • 运行以下操作系统之一的服务器:Ubuntu 20.04、18.04 和任何其他基于 Debian 的发行版,如 Linux Mint。
  • 建议您使用全新的操作系统安装以防止任何潜在问题
  • 一种 non-root sudo user或访问 root user. 我们建议充当 non-root sudo user,但是,如果您在充当 root 时不小心,可能会损害您的系统。

在 Ubuntu 20.04 LTS Focal Fossa 上安装 Suricata

步骤 1. 首先,通过运行以下命令确保所有系统包都是最新的 apt 终端中的命令。

sudo apt update
sudo apt upgrade
sudo apt install apt-transport-https dirmngr

步骤 2. 在 Ubuntu 20.04 上安装 Suricata。

默认情况下,Suricata 在 Ubuntu 20.04 基础存储库中不可用。 现在运行以下命令在您的 Ubuntu 系统上添加 Suricata 存储库:

sudo add-apt-repository ppa:oisf/suricata-stable

接下来,更新系统的软件包并使用以下命令安装 Suricata:

sudo apt update
sudo apt install suricata

安装完成后,现在启用 Suricata(系统启动时自动启动)并使用以下命令验证状态:

sudo systemctl enable suricata
sudo systemctl start suricata
sudo systemctl status suricata

步骤 3. 配置 Suricata。

默认的 Suricata 配置文件位于 /etc/suricata/suricata.yaml. 您需要对其进行配置以保护您的内部网络:

sudo nano /etc/suricata/suricata.yaml

添加以下文件:

....
# more specific is better for alert accuracy and performance
  address-groups:
    #HOME_NET: "[192.168.0.0/16,10.0.0.0/8,172.16.0.0/12]"HOME_NET: "[192.168.77.21]" #HOME_NET: "[10.0.0.0/8]"
    #HOME_NET: "[172.16.0.0/12]"
    #HOME_NET: "any"EXTERNAL_NET: "!$HOME_NET" #EXTERNAL_NET: "any"
....

Save 和 close 文件。 注意:在上面的命令中,替换 192.168.77.21 与您的内部网络。

步骤 4. 测试 Suricata。

成功安装后,Suricata 有一个内置的测试模式,它将检查配置文件和任何包含的规则的有效性。 现在运行以下命令来测试 Suricata 规则是否存在语法错误:

sudo suricata -T -c /etc/suricata/suricata.yaml -v

输出:

17/2/2022 -- 16:00:40 - <Info> - Running suricata under test mode
17/2/2022 -- 16:00:40 - <Notice> - This is Suricata version 6.0.3 RELEASE running in SYSTEM mode
17/2/2022 -- 16:00:40 - <Info> - CPUs/cores online: 2
17/2/2022 -- 16:00:40 - <Info> - fast output device (regular) initialized: fast.log
17/2/2022 -- 16:00:40 - <Info> - eve-log output device (regular) initialized: eve.json
17/2/2022 -- 16:00:40 - <Info> - stats output device (regular) initialized: stats.log
17/2/2022 -- 16:00:46 - <Info> - 1 rule files processed. 23869 rules successfully loaded, 0 rules failed
17/2/2022 -- 16:01:46 - <Info> - Threshold config parsed: 0 rule(s) found
17/2/2022 -- 16:01:47 - <Info> - 23882 signatures processed. 1183 are IP-only rules, 4043 are inspecting packet payload, 18453 inspect application layer, 107 are decoder event only
17/2/2022 -- 16:02:36 - <Notice> - Configuration provided was successfully loaded. Exiting.
17/2/2022 -- 16:02:36 - <Info> - cleaning up signature grouping structure... complete

恭喜! 您已成功安装 Suricata。 感谢您使用本教程在 Ubuntu 20.04 LTS Focal Fossa 系统上安装 Suricata 网络安全监控工具。 如需更多帮助或有用信息,我们建议您查看 苏里卡塔官方网站.