A-A+

CentOS7.5 安装 Suricata4 详解

2019年01月12日 14:56 学习笔记 暂无评论 阅读 28 views 次

【注意:此文章为博主原创文章!转载需注意,请带原文链接,至少也要是txt格式!】

在构建Suricata之前,请运行以下命令以确保已安装所有依赖项:

sudo yum -y install 
sudo yum -y install gcc libpcap-devel pcre-devel libyaml-devel file-devel \
  zlib-devel jansson-devel nss-devel libcap-ng-devel libnet-devel tar make \
  libnetfilter_queue-devel lua-devel

Ubuntu

apt-get install libpcre3 libpcre3-dbg libpcre3-dev build-essential libpcap-dev   \
                libnet1-dev libyaml-0-2 libyaml-dev pkg-config zlib1g zlib1g-dev \
                libcap-ng-dev libcap-ng0 make libmagic-dev libjansson-dev        \
                libnss3-dev libgeoip-dev liblua5.1-dev libhiredis-dev libevent-dev \
                python-yaml rustc cargo

Suricata
要下载和构建Suricata,请输入以下内容:

wget https://openinfosecfoundation.org/download/suricata-4.1.2.tar.gz
tar -xvzf suricata-4.1.2.tar.gz
cd suricata-4.1.2
./configure --prefix=/usr --sysconfdir=/etc --localstatedir=/var --enable-nfqueue --enable-lua

然后开始编译安装

make

make install

ldconfig

这将安装Suricata /usr/local/bin/,使用默认配置/usr/local/etc/suricata/并输出到 /usr/local/var/log/suricata

2.1.1。通用配置选项
--disable-gccmarch-native
不要为其构建的硬件优化二进制文件。如果二进制文件是可移植的,或者如果要在VM中使用Suricata,则添加此标志。

--prefix=/usr/
将Suricata二进制文件安装到/ usr / bin /中。默认/usr/local/

--sysconfdir=/etc
将Suricata配置文件安装到/ etc / suricata /中。默认/usr/local/etc/

--localstatedir=/var
设置Suricata用于登录/ var / log / suricata /。默认/usr/local/var/log/suricata

--enable-lua
使Lua支持检测和输出。

--enable-geopip
启用GeoIP支持进行检测。

--disable-rust
禁用Rust支持。如果rustc / cargo可用,则默认启用Rust支持。

Suricata 源代码带有默认的配置文件。按照如下方法安装这些默认配置文件即可

make install-conf

如果没有IDS规则集的话,Suricata 什么用也没有。
Makefile 为我们提供了IDS规则集的安装选项。
安装命令如下,该命令会从http://rules.emergingthreats.net/社区下载可用的社区规则集快照,并且将其存储在/etc/suricata/rules目录下

make install-rules

启动的话是:

Start suricata

suricata -i eth0     (默认加载/etc/suricata/suricata.yaml配置)

自此 suricata 已安装完毕

PS: 按照官网的方法进行安装后,不支持执行 lua 脚本。所以在上面的命令中追加了 apt-get install -y liblua5.1-dev 及 ./configure --enable-lua

PS: suricata 不支持 lua 和 luajit 同时使用,因此 ./configure --enable-lua --enable-luajit 会报错

配置suricata

请注意:不管使用哪个端口, Suricata都能自动检测HTTP流量。所以,正确指定HTTP_PORTS变量并不是很重要。

vim /etc/suricata/suricata.yaml

default-log-dir  指定 Suricata 日志文件所在的位置
vars
HOME_NET: "[192.168.0.0/16,10.0.0.0/8,172.16.0.0/12]"     #本地网络地址
EXTERNAL_NET: "!$HOME_NET"                                #除本地网络的其他网络
HTTP_PORTS: "80"                                          #HTTP端口号
SHELLCODE_PORTS: "!80"                                    #网络上开放的SHELL端口
SSH_PORTS: 22                                             #SSH远程连接端口

配置文件可参考:https://woj.app/4630.html

布施恩德可便相知重

微信扫一扫打赏

支付宝扫一扫打赏

×
标签:

给我留言