Suricata是一款基于TCP/IP协议栈解析与安全数据分析引擎:
yum update
yum upgrade
yum -y install gcc libpcap-devel pcre-devel libyaml-devel file-devel zlib-devel jansson-devel nss-devel libcap-ng-devel libnet-devel tar make libnetfilter_queue-devel lua-devel wget vim
LuaJIT是采用C语言写的Lua代码的解释器,LuaJIT试图保留Lua的精髓–轻量级,高效和可扩展
wget http://luajit.org/download/LuaJIT-2.0.5.tar.gz
tar -zxf LuaJIT-2.0.5.tar.gz
cd LuaJIT-2.0.5/
sudo make && make install
对文件 /etc/ld.so.conf 进行修改,添加相应的路径 /usr/local/lib
vim /etc/ld.so.conf
# 在该conf文件下,添加如下路径,保存退出
/usr/local/lib
# 运行如下命令加载
sudo ldconfig
yum -y install wget libpcap-devel libnet-devel pcre-devel gcc-c++ automake autoconf libtool make libyaml-devel zlib-devel file-devel jansson-devel nss-devel epel-release lz4-devel rustc cargo libmaxminddb-devel
wget https://www.openinfosecfoundation.org/download/suricata-6.0.2.tar.gz
tar -xvf suricata-6.0.2.tar.gz
cd suricata-6.0.2
编译命令, 注意,这里的默认参数尽量不要改,否则后面各种问题排查起来也是要命的
./configure --prefix=/usr --sysconfdir=/etc --localstatedir=/var --enable-geoip --enable-luajit --with-libluajit-includes=/usr/local/include/luajit-2.0/ --with-libluajit-libraries=/usr/local/lib/ --with-libhs-includes=/usr/local/include/hs/ --with-libhs-libraries=/usr/local/lib/ --enable-profiling
可能会提示某些依赖包有需要重新安装,安装完再重新 ./configure上面内容进行编译
yum install -y libmaxminddb-devel
yum install -y epel-release
yum install -y rustc cargo
make && make install
执行中可能会出现如下报错:
原因是安装的suricata-6.0.2版本,rustc版本不能太高,所以把rustc降级到1.50.0版本使用,解决方法:
参考自:https://blog.csdn.net/isxiaole/article/details/123282267
yum -y remove cargo.x86_64
curl https://sh.rustup.rs -sSf | sh # 等待加载,选 yes,选1(输入默认项1,完成余下的安装)
source $HOME/.cargo/env
rustup install 1.52.0
export RUSTUP_TOOLCHAIN=1.52.0
完成上述版本降级后,再重新
./configure
编译第二步的命令,成功后接着执行make && make install
# 这里执行这一个就够了,它相当于安装:configuration、rules、provide等
make install-full # 取代了make install-conf、make install-rules
如果出现如下规则报错,表示你的规则还没有下来,编译时会找不到规则,所以报错 暂时跳过,后面会去更新规则的,继续下一步即可
cd /etc/suricata/
cp suricata.yaml suricata.yaml.bak
vim suricata.yaml
》启用网段、服务、端口:
》配置日志输出器(default-log-dir: /var/log/suricata/,也可以修改为其他地方)
- 建议修改到/var/data/suricata/ (需要创建该目录:mkdir -p /var/data/suricata)
- suricata日志记录哪些信息,可参考:https://zhuanlan.zhihu.com/p/344571466
stats.log文件统计所有的数据来源,占用存储,可关掉》设置规则目录
suricata -T
如果启动测试,出现如下报错:
pip install --upgrade suricata-update
若没有安装pip,先要安装pip才行
curl https://bootstrap.pypa.io/pip/2.7/get-pip.py -o get-pip.py
python get-pip.py
# 核验是否成功
which pip # 查看安装路径
pip -V # 查看版本号
若执行pip install --upgrade suricata-update,出现如下报错:
证明在安装pip的时候,pip包里已经包含suricata-update,也可以pip list看下是否真的包含,如果存在,可以直接执行下面第8步骤
也可参考:https://blog.csdn.net/u010469993/article/details/102623270 ,删除再重装suricata-update
cd到pip库目录,删除底层工具distutils安装自带的suricata_update包 rm -rf suricata_update-1.2.1-py2.7.egg-info
suricata-update是官方更新的rule规则命令,更新的配置文件存放在 /var/lib/suricata/rules 中,文件为:classification.config和suricata.rules
suricata-update update-sources # 更新规则源
suricata-update list-sources # 列出suricata-update支持的所有的规则源
suricata-update enable-source et/open # 启用某个规则集(我这边启用的是ET的规则集)
suricata-update enable-source oisf/trafficid
suricata-update list-enabled-sources # 把suricata-update这边能用的规则全部开启
suricata-update disable-source et/pro # 关闭某个规则源
suricata-update remove-source et/pro # 删除某个规则源
安装完suricata-update后,根据需要开启 特定/全部 规则(开启规则命令如上中间三条
),规则开启完成后才能执行下面的更新规则集
suricata -c suricata.yaml -i eth0 # eth0为网卡的名称 该命令需要在suricata文件夹下允许才行
/usr/bin/suricata -c /etc/suricata/suricata.yaml -i eth0
ps -ef | grep suricata|grep -v grep # 查看suricata的执行进程
kill -9 id # 杀死suricata的进程id
rm -f /var/run/suricata.pid # 文件锁,防止重复启动