uos(统信)--suricata环境搭建

原创 已于 2024-10-28 12:03:35 修改 · 801 阅读 · 6 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#linux #服务器 #运维

于 2024-10-22 10:48:33 首次发布

以下内容只针对suricata 4.1.2

1. 安装 suricata

apt update                //更新源
apt install suricata jq   //在线安装 jq是用来显示Suricata的EVE JSON输出信息的工具
apt-get install suricata-update        //安装升级软件

2. 启动命令

systemctl start suricata		//启动
systemctl restart suricata		//重启
systemctl status suricata		//查看状态
systemctl enable suricata		//开机自启

3. suricata基本配置文件

 /etc/suricata 下的几个配置文件:

  • classification.config  用于定义和分类不同类型的网络事件,比如哪些是潜在的攻击、哪些是正常的网络活动等。

  • reference.config  包含了一些安全网站,漏洞平台的URL网址,用来联系外部的恶意攻击检测网站。

  • suricata.yaml 是Suricata的主要配置文件,它包含了规则配置、接口配置、日志配置、检测配置等。

  • threshold.config  用于定义流量的阈值和速率限制。设置在特定时间内对特定事件或签名的触发次数进行限制。

  • rules/ 规则目录,存放不同种类的规则文件 *.rules,规则用来判定流量攻击类型,并定义攻击类型和告警种类等。

4. 修改 suricata.yaml配置文件

HOME_NET IP网段配置

其中配置文件中已经包含了RFC 1918相关的网络(具体可以参考suricata相关文档)
修改IP为系统本身网卡IP网段

修改规则路径

修改内容

default-rule-path: /etc/suricata/rules

rule-files:
 - suricata.rules
 - /opt/local.rules

修改日志文件路径

修改内容

default-log-dir: /var/log/suricata/

更改af-packet和pcap的网络名称

5. 更新规则集合来源库

这个方式是参考微软云网络监察程序那章直接下载suricata的一些规则集的,也可以使用suricata update 来更新规则集(这种方式百度会有,这里不再详述)。

# 下载规则集
wget https://rules.emergingthreats.net/open/suricata/emerging.rules.tar.gz
# 将其解压到/etc/suricata
sudo tar -zxvf emerging.rules.tar.gz -C /etc/suricata

将所有原本警告的规则集调整成彻底丢弃包

如果没有这样做,多数的危险行为还是会被放行,所以我们直接丢弃所有的危险行为。
建立一个将警告转换成丢弃包的调整设定文件:

sudo touch /etc/suricata/modify.conf

编辑modify.conf

re:. ^alert drop

注意:

更新规则集时,请关闭suircata
因为规则集中有恶意程序的特征
会被suricata自己阻挡掉,导致更新失败

更新规则集

# 所有规则合并成 suricata.rules
sudo suricata-update --modify-conf /etc/suricata/modify.conf
# 不合并
sudo suricata-update --modify-conf /etc/suricata/modify.conf --no-merge

重新启动suricata。

6. 将suricata设置为IPS(入侵防御系统)

预设的suricata运行时并不是以入侵防御系统(IPS)运行的,而是以入侵检测系统(IDS)运作的。
所以真正遇到某种攻击时,也只会发出警告。
所以我们需要对suricata做出一些改变。

修改参数脚本

sudo vi /etc/default/suricata

这个脚本会定义suircata会用IDS(只有警告)或者IPS(警告+防御)来执行。
将这段:

LISTENMODE=af-packet

修改为:

LISTENMODE=nfqueue

这样就能从IDS转变为IPS了.他就能在NFQUEUE中等待流量传入。

将网路切换为NFQUEUE

Suricata本身不具有拦截功能,需要配合iptables使用。根据你的流量场景,配置相应的iptables规则。如果是经过设备的流量,使用FORWARD链;如果是设备产生的流量,则使用INPUT和OUTPUT链。
    格式:
        iptables -I OUTPUT -j NFQUEUE --queue-num <你的队列号>  --queue-bypass
    例:

iptables -I FORWARD -j N
最低0.47元/天 解锁文章
李长生♛
关注
suricata匹配从入门到精通()----suricata安装配置及使用
leeezp的博客
08-15 35万+
本文主要为即将进行CVE漏洞分析以及IDS规则编写的同事提供文档参考资料。 Suricata是安全开发人员中目前比较流行的一个网络入侵检测和防御引擎。 在目前CVE漏洞分析和IDS规则编写工作中,主要用于对编写的IDS规则进行可用性验证。文档主要内容为Suricata环境配置、详细安装过程和使用方式的简介,在每一部分列出了可能遇到问题的解决方法。...
suricata安装与配置
simply
08-31 1570
1、概述suricata来源于经典的nids系snort,是一套基于网络流量的威胁检测引擎,整合了ids,ips,network security monitoring(NSM)和PCAP processing等功能。2、IDS功能通过监听网卡流量并匹配规则引擎进行入侵实时监测和预警,检测手段上也和Wazuh比较类似。3、IPS功能。
UOS软件源全解析:安全更新、驱动、应用商店一文读懂
最新发布
鹏大圣运维
09-28 1202
UOS软件源完全解析》一文详细介绍了UOS专业版1070系的软件源架构。系采用分类管理方式,包含五个核心源:主系源(sources.list)提供基础软件包;安全更新源(security.list)推送漏洞补丁;驱动源(driver.list)管理硬件驱动;应用商店源(appstore.list)对接UOS商店;打印机专用源(printer.list)提供打印服务支持。文章通过具体命令演示了如何查看各源内容,并解释了每个源的功能特点,帮助用户快速定位更新问题。这种分类管理方式既便于维护又能加速更
CENTOS上的网络安全工具(一)Suricata 离线部署
lhyzws的专栏
04-17 5579
构造rpm包及其依赖的离线安装环境 离线安装suricata,离线更新suricata规则,使用suricata离线检查pcap包
Suricata入侵检测系搭建
煜铭2011
11-20 9209
0x01、安装CentOS1 基于CentOS-6.8-x86_64-bin-DVD1.iso,安装时选择desktop, customiz now,databases-->>mysql*, 进行安装mysql, 这里我们要配置可以访问外网。尽量选择多的开发包,不要选择最小化安装,因为那样的话,系会缺失很多依赖包的,在后期编译的时候会出现很多问题的。毕竟现在硬盘和内存都很大了,不必节省那么点空间
Suricata安装与基本使用
zhuge_long的专栏
08-03 1063
alert http $EXTERNAL_NET any $HOME_NET 80 (msg:"多次404,疑似扫描";Suricata来源于经典的NIDS系Snort,是一套基于网络流量的威胁检测引擎. 整合了intrusion detection (IDS)、intrusion prevention (IPS)、network security monitoring (NSM) 和PCAP processing等功能。
精选资源
UOS1050e -openssh 9.6p1升级包
03-07
UOS,即一操作系,是一个基于Linux的开源操作系,旨在提供一个安全、稳定、高效的计算环境。在UOS中,OpenSSH作为系的一部分,对于远程管理和维护起着关键作用。因此,及时更新到9.6p1版本的OpenSSH对于...
精选资源
uos-server-20-x86.tgz
11-29
UOS服务器操作系20版本 x86架构 openssh 9.9p1二进制rpm包 安全加固 修复安全漏洞 2024年11月29日制作
精选资源
UOS服务器版V20-用户手册.pdf
07-05
### UOS服务器版V20-用户手册知识点概览 #### 一、基本操作 ##### 1.1 登录 **图形登录:** - **操作方式:**通过图形界面进行登录。 - **步骤:** - 开启计算机。 - 在登录界面上输入用户名和密码。 - ...
精选资源
UOSmysql-amd64-5.7数据库安装
06-10
带安装教程,亲测成功
Suricata(Ubuntu)的安装以及使用过程(超详细)
stillaway的博客
12-30 6296
Suricata(Ubuntu)的安装以及使用过程
如何在 Linux上安装 Suricata 入侵检测系
weixin_33738578的博客
05-02 1013
如何在 Linux上安装 Suricata 入侵检测系 随着安全威胁的不断发生,入侵检测系(IDS)在如今的数据中心环境中显得尤为必要。然而,随着越来越多的服务器将他们的网卡升级到10GB/40GB以太网,对如此线路上的硬件进行计算密集型的入侵检测越来越困难。其中一种提升入侵检测系性能的途径是多线程入侵检测系,它将 CPU 密集型的深...
Suricata安装教程
u011311291的博客
01-23 5305
1.安装必要库 (1)检查是否安装了jansson,这是Suricata输出的日志文件eve.json必备库 可参考:彻底解决Suricata Eve-log support not compiled in 问题 (2)安装pfring 2.安装Suricata https://suricata-ids.org/download/下载安装包 (1)解压安装包 tar -zxf suricata-4...
搭建suricata 网络流量检测系
m0_48474237的博客
05-31 1296
1.配置suricata sudo vim /etc/suricata/suricata.yaml 有许多可能的配置选项,我们主要关注HOME_NET变量的设置和网络接口配置。在大多数情况下,HOME_NET变量应该包括被监控接口的IP地址和所有使用的本地网络。 2.更新suricata规则 sudo suricata-update Suricata使用签名来触发警报,所以有必要安装这些并保持更新。签名也称为规则,因此称为规则文件。使用该工具,Suricata -update规则可以被获取、更新和
suricata 的安装编译
weixin_33924220的博客
09-11 1722
最近打算研究suricata源码,下载并安装了稳定版3.2.3版本,操作系是Ubuntu 16.04.2 LTS,下来描述我的操作过程; 1,安装suricata运行可能用到的库;   sudo apt-get -y install libpcre3 libpcre3-dbg libpcre3-dev \   build-essential autoconf automake libtool l...
suricata安装,配置,运行
weixin_45504433的博客
03-08 1086
1.suricata安装 ./configure ./make ./make install-full 2.配置 /usr/local/etc/suricata/suricata.yaml 配置syslog输出为yes 3.运行 suricata -c suricata.yuml -s ./rules -i ens0 配置系日志输出: /etc/rsyslog.d/rsyslog.conf 启动rsyslog失败 (个人重启时遇到问题,配置文件第36行注释掉后重启成功) 删除/var/lib/rsyslo
suricata使用
qq_41122834的博客
08-22 634
ubuntu安装 sudo add-apt-repository ppa:oisf/suricata-stable sudo apt-get update sudo apt-get install suricata emerging-rules下载:wget http://rules.emergingthreats.net/open/suricata/emerging.rules.tar.gz 修改suricata配置 /etc/suricata/suricata.yaml HOME_NET : "an
基于Ubuntu14.04下Suricata(一款高性能的网络IDS、IPS和网络安全监控引擎)的搭建(图文详解)(博主推荐)...
weixin_34163741的博客
08-09 399
      为什么,要写这篇论文?      是因为,目前科研的我,正值研三,致力于网络安全、大数据、机器学习研究领域!   论文方向的需要,同时不局限于真实物理环境机器实验室的攻防环境、也不局限于真实物理机器环境实验室的大数据集群平台。在此,为了需要的博友们,能在自己虚拟机里(我这里是CentOS6.5)来搭建部署snort+barnyard2+base的入侵检测系。分享与交流是进...
基于Ubuntu坏境下的Suricata坏境搭建
高性价比服务器就选:蓝易云
03-11 463
至此,你已经在Ubuntu环境搭建好了Suricata环境。请将"版本号"替换为你需要的Suricata版本。
UOS资源包-ACE软件包发布
UOS是一款基于Linux内核的桌面操作系,主要面向中国市场,由软件有限公司开发。根据描述,“有其包的需要可以私聊我”,这意味着作者或提供者可能在暗示这个资源包不是公开分发的,或者是有特定的分发...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值