Dans ce tutoriel, nous allons vous montrer comment installer Suricata sur AlmaLinux 8. Pour ceux d’entre vous qui ne le savaient pas, Suricata est un moteur de détection des menaces réseau gratuit et open source, mature, rapide et robuste. Il peut fonctionner comme moteur de détection d’intrusion (IDS), système de prévention d’intrusion en ligne (IPS), surveillance de la sécurité du réseau (NSM) ainsi qu’outil de traitement pcap hors ligne. Suricata inspecte le trafic réseau à l’aide de règles puissantes et étendues et d’un langage de signature et dispose d’un puissant support de script Lua pour la détection des menaces complexes.
Cet article suppose que vous avez au moins des connaissances de base sur Linux, que vous savez utiliser le shell et, plus important encore, que vous hébergez votre site sur votre propre VPS. L’installation est assez simple et suppose que vous utilisez le compte root, sinon vous devrez peut-être ajouter ‘sudo‘ aux commandes pour obtenir les privilèges root. Je vais vous montrer étape par étape l’installation de Suricata sur un AlmaLinux 8. Vous pouvez suivre les mêmes instructions pour Rocky Linux.
Installer Suricata sur AlmaLinux 8
Étape 1. Tout d’abord, commençons par nous assurer que votre système est à jour.
sudo mise à jour dnf
sudo dnf installer epel-release
sudo dnf config-manager –set-enabled PowerTools
sudo dnf installer diffutils gcc jansson-devel faire nss-devel pcre-devel python3 python3-pyyaml rust-toolset zlib-devel curl wget tar lua lz4-devel
Étape 2. Installation de Suricata sur AlmaLinux 8.
Maintenant, nous téléchargeons le code source de la dernière version stable de Suricata à partir de la page officielle :
wget https://www.openinfosecfoundation.org/download/suricata-6.0.3.tar.gz tar xzf suricata-6.0.3.tar.gz
Ensuite, compilez et installez Suricata à l’aide de la commande suivante ci-dessous :
cd suricata-6.0.3 ./configure –sysconfdir=/etc –localstatedir=/var –prefix=/usr/ –enable-lua –enable-geopip make make install-full
Vérifiez l’installation de Suricata :
suricata -V
Étape 3. Configurez Suricata.
Une fois installé, le fichier de configuration se trouve dans /etc/suricata/suricata.yaml. Cependant, pour notre configuration de base, nous nous concentrerons uniquement sur l’interface réseau sur laquelle Suricata écoute et l’adresse IP attachée à cette interface :
nano /etc/suricata/suricata.yaml
Ajoutez les lignes suivantes :
vars : # plus spécifique est meilleur pour la précision des alertes et les groupes d’adresses de performance : #HOME_NET : “[192.168.0.0/16,10.0.0.0/8,172.16.0.0/12]” HOME_NET : “[192.168.77.21]” #HOME_NET : “[192.168.0.0/16]” #HOME_NET : “[10.0.0.0/8]” #HOME_NET : “[172.16.0.0/12]” #HOME_NET: “tout” EXTERNAL_NET: “!$HOME_NET” #EXTERNAL_NET: “tout” …
Ensuite, définissez le nom de l’interface sur af-packet:
# Prise en charge de la capture haute vitesse Linux af-packet : – interface : enp0s3 ………..
Définissez les fichiers de règles Suricata à utiliser. Nous utilisons les règles ET par défaut dans cette démo :
… chemin-règle par défaut : /var/lib/suricata/rules fichiers-règles : – suricata.rules …
Après cela, désactivez le déchargement des paquets Suricata en désactivant l’interface Large Receive Offload (LRO)/Generic Receive Offload (GRO) :
sudo ethtool -K
Sortir:
tx-checksum-ip-générique: augénérique-segmentation-déchargement : activégénérique-recevoir-décharger : désactivégrande-recevoir-décharger : désactivé [fixed]
Si activé, désactivez-le en exécutant la commande ci-dessous :
ethtool -K
Étape 4. Exécuter Suricata.
Suricata peut être géré par un systemd un service. Mais avant de l’initialiser, spécifiez d’abord l’interface sur laquelle Suricata écoute comme ci-dessous :
nano /etc/sysconfig/suricata
Ajoutez les lignes suivantes :
# Ajout d’options à transmettre au démon #OPTIONS=”-i eth0 –user suricata ” OPTIONS=”-i enp0s3 –user suricata ”
Save et quittez également le fichier, démarrez et activez Suricata pour qu’il s’exécute au démarrage :
sudo systemctl activer –now suricata
Pour vérifier si Suricata est en cours d’exécution, consultez le journal Suricata :
sudo queue /var/log/suricata/suricata.log
Étape 5. Test des règles Suricata.
Dans cette démo, nous utilisons les règles ET Suricata par défaut. Si vous avez créé vos propres règles personnalisées, assurez-vous de tester les règles Suricata pour les erreurs de syntaxe :
sudo suricata -c /etc/suricata/suricata.yaml -T -v
Sortir:
26/7/2021 — 16:46:11 – – Exécution de Suricata en mode test 26/7/2021 — 16:46:11 – – Ceci est Suricata version 5.0.3 RELEASE s’exécutant en mode SYSTEM 26/7/2021 — 16:46:11 – – CPUs/cores en ligne : 1 26/7/2021 — 16:46:11 – – périphérique de sortie rapide (régulier) initialisé : fast.log 26/7/2021 — 16:46 :11 – – périphérique de sortie eve-log (régulier) initialisé : eve.json 26/7/2021 — 16:46:11 – – périphérique de sortie stats (régulier) initialisé : stats.log 26/7/2021 — 16 :46:13 – – 1 fichier de règles traité. 20676 règles chargées avec succès, 0 règle échouée 26/7/2021 — 16:46:13 – – Configuration de seuil analysée : 0 règle(s) trouvée(s) 26/7/2021 — 16:46:13 – – 20679 signatures traitées. 1138 sont des règles IP uniquement, 3987 inspectent la charge utile des paquets, 15324 inspectent la couche d’application, 103 sont des événements de décodeur uniquement26/7/2021 — 16:46:28 – – La configuration fournie a été chargée avec succès. Sortie.26/7/2021 — 16:46:28 – – nettoyage de la structure de regroupement des signatures… terminé
Toutes nos félicitations! Vous avez correctement installé Suricata. Merci d’avoir utilisé ce tutoriel pour installer Suricata sur votre système AlmaLinux 8. Pour une aide supplémentaire ou des informations utiles, nous vous recommandons de vérifier le site officiel de Suricata.
