centos7安装Suricata

1、安装依赖包

yum -y install gcc libpcap-devel pcre-devel libyaml-devel file-devel \ zlib-devel jansson-devel nss-devel libcap-ng-devel libnet-devel tar make \ libnetfilter_queue-devel lua-devel PyYAML libmaxminddb-devel rustc cargo \ lz4-devel

 

2、下载解压Suricata

下载地址: https://suricata-ids.org/download/

wget https://www.openinfosecfoundation.org/download/suricata-6.0.3.tar.gz

或者浏览器打开https://www.openinfosecfoundation.org/download/suricata-6.0.3.tar.gz

将suricata-6.0.3.tar.gz上传至服务器上

解压

tar -zxvf suricata-6.0.3.tar.gz

cd suricata-6.0.3/

编译安装

./configure --sysconfdir=/etc --localstatedir=/var --prefix=/usr --exec-prefix=/usr --enable-geoip --enable-omem --enable-yaml --enable-mysql --enable-pgsql --enable-redis --enable-smb --enable-smtp --enable-smtp-tls --enable-dnp3 --enable-pcap-lpcap --enable-nfqueue --enable-python --enable-statsd

make && make install 

耐心等待

make suricata-install

配置suricata.yaml目录 : /etc/suricata/suricata.yaml
规则suricata.rules目录: /var/lib/suricata/rules/suricata.rules

 

3、备份下源文件

cd /etc/suricata/

sudo cp suricata.yaml suricata.yaml.bak
sudo cp classification.config classification.config.bak
sudo cp reference.config reference.config.bak

4、suricata -c /etc/suricata/suricata.yaml -i <interface>

<interface>替换为要监控的网络接口,例如bond0。

 

查看下日志

 cd /var/log/suricata

tail -f stats.log eve.json

5、在 Linux 中更新 Suricata 规则集

默认情况下,Suricata附带一组有限的检测规则,位于/etc/suricata/rules目录中。然而,这些被认为在检测入侵方面很弱且无效。您需要加载被认为是 Suricata 最全面的规则集的新兴威胁( ET ) 规则。

Suricata提供了一个名为suricata-update的工具,它可以从外部提供者那里获取规则集。要为您的服务器获取最新的规则集,请运行以下命令。

suricata-update -o /etc/suricata/rules

 如果提示bash: suricata-update: command not found...

则需安装 suricata-update

使用pip3安装

pip3 install --pre --upgrade suricata-update

注意如果没有的话pip3的话先看下python的版本

python --version

如果python 版本低于3.0以下需要升级版本

yum -y install python3

然后修改python --version默认输出的版本

sudo alternatives --install /usr/bin/python python /usr/bin/python3.7 1

sudo alternatives --install /usr/bin/python python /usr/bin/python3.6 2

sudo alternatives --config python

选择2

 在输出python --version

发现版本成3.6.8 了

 

更新pip3

pip3 install --pre --upgrade suricata-update

 

安装suricata-update

pip3 install --pre --upgrade suricata-update

 6、列出suricata默认的规则

suricata-update list-sources

 7、检查是否有误

suricata -T -c /etc/suricata/suricata.yaml -v

 

posted @ 2023-11-30 14:33  宝英姐姐  阅读(479)  评论(0编辑  收藏  举报