Suricata là IDS (Hệ thống phát hiện xâm nhập) và IPS (Hệ thống phòng ngừa xâm nhập) mã nguồn mở do OSIF (tổ chức bảo mật thông tin mở) phát triển. Nó có thể giám sát và kiểm tra lưu lượng mạng và xử lý mọi gói tin để phát hiện hoạt động mạng độc hại. Bạn có thể thiết lập sự kiện nhật ký, kích hoạt cảnh báo và thậm chí loại bỏ lưu lượng đối với hoạt động mạng đáng ngờ.
Hướng dẫn này sẽ chỉ cho bạn cách cài đặt Suricata IDS trên máy chủ Ubuntu 24.04. Bạn sẽ cài đặt và cấu hình Suricata, tải xuống các chữ ký và quy tắc ET, sau đó khởi động Suricata ở chế độ nền như một dịch vụ systemd.
Trước tiên, hãy chạy lệnh bên dưới để cập nhật chỉ mục gói Ubuntu của bạn và cài đặt các gói phụ thuộc dựng. Nhập 'Y' để xác nhận cài đặt.
data:image/svg+xml,%3Csvg%20xmlns=%22http://www.w3.org/2000/svg%22%20width=%22750%22%20height=%22275%22%3E%3C/svg%3E
Bây giờ hãy vào thư mục '/usr/src' và chạy lệnh sau để tải xuống mã nguồn Suricata và giải nén nó.
Đi tới thư mục 'suricata-7.0.6' và cấu hình biên dịch Suricata như sau. Với điều này, bạn sẽ thiết lập và cài đặt tệp nhị phân suricata vào thư mục '/usr/bin', cấu hình suricata vào thư mục '/etc/suricata' và thư mục dữ liệu vào thư mục '/var/lib/suricata'.
data:image/svg+xml,%3Csvg%20xmlns=%22http://www.w3.org/2000/svg%22%20width=%22750%22%20height=%22348%22%3E%3C/svg%3E
Sau khi quá trình hoàn tất, hãy sao chép và cài đặt suricata bằng lệnh bên dưới.
Sau khi quá trình cài đặt hoàn tất, bạn sẽ thấy thông báo sau:
data:image/svg+xml,%3Csvg%20xmlns=%22http://www.w3.org/2000/svg%22%20width=%22750%22%20height=%22327%22%3E%3C/svg%3E
Cuối cùng, chạy lệnh bên dưới để định vị tệp nhị phân 'suricata' và kiểm tra phiên bản của tệp đó.
Trong kết quả sau, bạn có thể thấy rằng suricata '7.0.6' đã được cài đặt tại '/usr/bin/suricata'.
data:image/svg+xml,%3Csvg%20xmlns=%22http://www.w3.org/2000/svg%22%20width=%22750%22%20height=%22535%22%3E%3C/svg%3E
Thêm kho lưu trữ PPA cho suricata bằng lệnh sau:
data:image/svg+xml,%3Csvg%20xmlns=%22http://www.w3.org/2000/svg%22%20width=%22750%22%20height=%22471%22%3E%3C/svg%3E
Bây giờ hãy cập nhật kho lưu trữ chỉ mục gói Ubuntu của bạn và cài đặt suricata với lệnh 'apt' bên dưới.
Nhập 'Y' để tiếp tục cài đặt.
data:image/svg+xml,%3Csvg%20xmlns=%22http://www.w3.org/2000/svg%22%20width=%22750%22%20height=%22386%22%3E%3C/svg%3E
Sau khi cài đặt hoàn tất, hãy kiểm tra tệp nhị phân suricata và phiên bản của tệp đó bằng lệnh bên dưới.
Bạn có thể thấy bên dưới rằng suricata 7.0.6 được cài đặt thông qua trình quản lý gói APT.
data:image/svg+xml,%3Csvg%20xmlns=%22http://www.w3.org/2000/svg%22%20width=%22728%22%20height=%22750%22%3E%3C/svg%3E
Cuối cùng, hãy chạy lệnh bên dưới để bật và dừng dịch vụ 'suricata'. Bạn cần phải chấm dứt suricata trước khi cấu hình nó.
data:image/svg+xml,%3Csvg%20xmlns=%22http://www.w3.org/2000/svg%22%20width=%22750%22%20height=%22179%22%3E%3C/svg%3E
Mở cấu hình suricata mặc định '/etc/suricata/suricata.yaml' bằng trình soạn thảo 'nano'.
Nếu bạn đang sử dụng mạng cục bộ, hãy thêm mạng con mạng gia đình của bạn vào 'HOME_NET' và 'EXTERNAL_NET' biến.
Trong phần 'af-packet', hãy thay đổi 'giao diện' mặc định thành giao diện mục tiêu của bạn. Trong ví dụ này, chúng tôi sẽ giám sát giao diện 'enp0s3' bằng suricata.
Thêm tùy chọn 'detect-engine' với 'rule-reload: true' để bật tải lại quy tắc trực tiếp.
Khi hoàn tất, hãy lưu tệp và thoát editor.
Chạy lệnh 'suricata-update' bên dưới để tải xuống và cập nhật các quy tắc ET suricata. Suricata sẽ không khởi động khi thiếu các quy tắc ET.
Các quy tắc suricata được ghi vào tệp '/var/lib/suricata/suricata.rules' như sau:
data:image/svg+xml,%3Csvg%20xmlns=%22http://www.w3.org/2000/svg%22%20width=%22750%22%20height=%22310%22%3E%3C/svg%3E
data:image/svg+xml,%3Csvg%20xmlns=%22http://www.w3.org/2000/svg%22%20width=%22750%22%20height=%22160%22%3E%3C/svg%3E
Bạn có thể kiểm tra nguồn quy tắc bằng lệnh sau:
Để kiểm tra các quy tắc suricata, hãy chạy lệnh 'suricata' bên dưới. Lệnh này sẽ xử lý các quy tắc khả dụng trong tệp '/var/wlib/suricata/suricata.rules'.
Nếu không có lỗi, bạn sẽ thấy đầu ra 'suricata: Configuration provided was successfully loaded.'
data:image/svg+xml,%3Csvg%20xmlns=%22http://www.w3.org/2000/svg%22%20width=%22750%22%20height=%22183%22%3E%3C/svg%3E
Bây giờ hãy chạy lệnh bên dưới để khởi động dịch vụ 'suricata' ở chế độ nền và xác minh dịch vụ này.
Trong kết quả đầu ra sau, bạn có thể thấy dịch vụ 'suricata' đang chạy.
data:image/svg+xml,%3Csvg%20xmlns=%22http://www.w3.org/2000/svg%22%20width=%22750%22%20height=%22179%22%3E%3C/svg%3E
Hướng dẫn này sẽ chỉ cho bạn cách cài đặt Suricata IDS trên máy chủ Ubuntu 24.04. Bạn sẽ cài đặt và cấu hình Suricata, tải xuống các chữ ký và quy tắc ET, sau đó khởi động Suricata ở chế độ nền như một dịch vụ systemd.
Điều kiện tiên quyết
Để bắt đầu với hướng dẫn này, hãy đảm bảo bạn có những điều sau:- Máy chủ Ubuntu 24.04.
- Người dùng không phải root có quyền quản trị viên.
Cài đặt từ mã nguồn
Trong phần này, bạn sẽ tìm hiểu cách cài đặt Suricata từ mã nguồn bằng cách biên dịch thủ công trên hệ thống của mình. Và trước đó, bạn sẽ cài đặt các gói phụ thuộc để biên dịch Suricata.Trước tiên, hãy chạy lệnh bên dưới để cập nhật chỉ mục gói Ubuntu của bạn và cài đặt các gói phụ thuộc dựng. Nhập 'Y' để xác nhận cài đặt.
Mã:
sudo apt update
sudo apt install autoconf automake build-essential cargo \
cbindgen libjansson-dev libpcap-dev libcap-ng-dev libmagic-dev liblz4-dev libpcre2-dev libtool \
libyaml-dev make pkg-config rustc zlib1g-devdata:image/svg+xml,%3Csvg%20xmlns=%22http://www.w3.org/2000/svg%22%20width=%22750%22%20height=%22275%22%3E%3C/svg%3E
Bây giờ hãy vào thư mục '/usr/src' và chạy lệnh sau để tải xuống mã nguồn Suricata và giải nén nó.
Mã:
cd /usr/src
Mã:
wget https://www.openinfosecfoundation.org/download/suricata-7.0.6.tar.gz
tar -xf suricata-7.0.6.tar.gz
Mã:
cd suricata-7.0.6/
./configure --enable-nfqueue --prefix=/usr --sysconfdir=/etc --localstatedir=/vardata:image/svg+xml,%3Csvg%20xmlns=%22http://www.w3.org/2000/svg%22%20width=%22750%22%20height=%22348%22%3E%3C/svg%3E
Sau khi quá trình hoàn tất, hãy sao chép và cài đặt suricata bằng lệnh bên dưới.
Mã:
sudo make && sudo make install-fulldata:image/svg+xml,%3Csvg%20xmlns=%22http://www.w3.org/2000/svg%22%20width=%22750%22%20height=%22327%22%3E%3C/svg%3E
Cuối cùng, chạy lệnh bên dưới để định vị tệp nhị phân 'suricata' và kiểm tra phiên bản của tệp đó.
Mã:
which suricata
suricata --build-infodata:image/svg+xml,%3Csvg%20xmlns=%22http://www.w3.org/2000/svg%22%20width=%22750%22%20height=%22535%22%3E%3C/svg%3E
Cài đặt qua kho lưu trữ PPA
Nếu bạn muốn cài đặt Suricata qua APT, bạn cần thêm kho lưu trữ PPA của suricata vào hệ thống Ubuntu của mình. Ngoài ra, hãy đảm bảo rằng gói 'software-properties' đã được cài đặt.Thêm kho lưu trữ PPA cho suricata bằng lệnh sau:
Mã:
sudo add-apt-repository ppa:oisf/suricata-stabledata:image/svg+xml,%3Csvg%20xmlns=%22http://www.w3.org/2000/svg%22%20width=%22750%22%20height=%22471%22%3E%3C/svg%3E
Bây giờ hãy cập nhật kho lưu trữ chỉ mục gói Ubuntu của bạn và cài đặt suricata với lệnh 'apt' bên dưới.
Mã:
sudo apt update
sudo apt install suricatadata:image/svg+xml,%3Csvg%20xmlns=%22http://www.w3.org/2000/svg%22%20width=%22750%22%20height=%22386%22%3E%3C/svg%3E
Sau khi cài đặt hoàn tất, hãy kiểm tra tệp nhị phân suricata và phiên bản của tệp đó bằng lệnh bên dưới.
Mã:
which suricata
suricata --build-infodata:image/svg+xml,%3Csvg%20xmlns=%22http://www.w3.org/2000/svg%22%20width=%22728%22%20height=%22750%22%3E%3C/svg%3E
Cuối cùng, hãy chạy lệnh bên dưới để bật và dừng dịch vụ 'suricata'. Bạn cần phải chấm dứt suricata trước khi cấu hình nó.
Mã:
sudo systemctl enable suricata
sudo systemctl stop suricatadata:image/svg+xml,%3Csvg%20xmlns=%22http://www.w3.org/2000/svg%22%20width=%22750%22%20height=%22179%22%3E%3C/svg%3E
Cấu hình Suricata
Trong phần này, bạn sẽ cấu hình Suricata để giám sát giao diện mạng. Suricata sẽ bắt giữ lưu lượng truy cập độc hại trên giao diện mục tiêu.Mở cấu hình suricata mặc định '/etc/suricata/suricata.yaml' bằng trình soạn thảo 'nano'.
Mã:
sudo nano /etc/suricata/suricata.yaml
Mã:
HOME_NET: "[192.168.5.0/24]"
...
EXTERNAL_NET: "!$HOME_NET"
Mã:
af-packet:
- interface: enp0s3
Mã:
detect-engine:
- rule-reload: trueCập nhật bộ quy tắc suricata
Trước khi bắt đầu và chạy Suricata, bạn cần tải xuống và cập nhật các chữ ký và quy tắc suricata. Bạn có thể thực hiện việc này thông qua tiện ích lệnh 'suricata-update'.Chạy lệnh 'suricata-update' bên dưới để tải xuống và cập nhật các quy tắc ET suricata. Suricata sẽ không khởi động khi thiếu các quy tắc ET.
Mã:
sudo suricata-updatedata:image/svg+xml,%3Csvg%20xmlns=%22http://www.w3.org/2000/svg%22%20width=%22750%22%20height=%22310%22%3E%3C/svg%3E
data:image/svg+xml,%3Csvg%20xmlns=%22http://www.w3.org/2000/svg%22%20width=%22750%22%20height=%22160%22%3E%3C/svg%3E
Bạn có thể kiểm tra nguồn quy tắc bằng lệnh sau:
Mã:
sudo suricata-update list-sourcesĐang chạy suricata
Bây giờ bạn đã định cấu hình Suricata và tải xuống cũng như cập nhật các quy tắc ET, bạn sẽ kiểm tra các quy tắc suricata, sau đó bắt đầu và xác minh dịch vụ 'suricata'.Để kiểm tra các quy tắc suricata, hãy chạy lệnh 'suricata' bên dưới. Lệnh này sẽ xử lý các quy tắc khả dụng trong tệp '/var/wlib/suricata/suricata.rules'.
Mã:
sudo suricata -T -c /etc/suricata/suricata.yaml -vdata:image/svg+xml,%3Csvg%20xmlns=%22http://www.w3.org/2000/svg%22%20width=%22750%22%20height=%22183%22%3E%3C/svg%3E
Bây giờ hãy chạy lệnh bên dưới để khởi động dịch vụ 'suricata' ở chế độ nền và xác minh dịch vụ này.
Mã:
sudo systemctl start suricata
sudo systemctl status suricatadata:image/svg+xml,%3Csvg%20xmlns=%22http://www.w3.org/2000/svg%22%20width=%22750%22%20height=%22179%22%3E%3C/svg%3E
