Suricata：一个轻量级的入侵检测和预防系统

概述

Suricata：一个轻量级的入侵检测和预防系统，可以通过多线程支持和高性能的规则引擎来提供高效的DDoS防护。

安装

在使用 Suricata 之前，必须安装它。Suricata 可以使用二进制包安装在各种发行版上：二进制包。对于熟悉自己编写软件的人，推荐使用Source 方法。

[hidecontent type="logged" desc="隐藏内容：登录后可查看"]

3.1. 来源

从源分发文件安装可以最大程度地控制 Suricata 安装。基本步骤：

tar xzvf suricata-6.0.0.tar.gz
cd suricata-6.0.0
./configure
make
make install

这会将 Suricata 安装到中/usr/local/bin/，使用中的默认配置/usr/local/etc/suricata/并将输出到 /usr/local/var/log/suricata

3.1.1. 常用配置选项

--disable-gccmarch-native: 不要针对构建它的硬件优化二进制文件。如果二进制文件是可移植的或者如果要在 VM 中使用 Suricata，请添加此标志。

--prefix=/usr/: 将 Suricata 二进制文件安装到 /usr/bin/。默认/usr/local/

--sysconfdir=/etc: 将 Suricata 配置文件安装到 /etc/suricata/。默认/usr/local/etc/

--localstatedir=/var: 设置 Suricata 以登录 /var/log/suricata/。默认/usr/local/var/log/suricata

--enable-lua: 启用 Lua 对检测和输出的支持。

--enable-geoip: 启用 GeoIP 检测支持。

--enable-dpdk: 启用DPDK <https://www.dpdk.org/>数据包捕获方法。

3.1.2. 依赖关系

对于 Suricata 的编译，您需要安装以下库及其开发头文件：

libjansson, libpcap, libpcre2, libmagic, zlib, libyaml

需要以下工具：

make gcc (or clang) pkg-config

对于完整的功能，还添加：

libgeoip, liblua5.1, libhiredis, libevent

防锈支持：

rustc, cargo

Not every distro provides Rust packages yet. Rust can also be installed
directly from the Rust project itself::

https://www.rust-lang.org/en-US/install.html

3.1.2.1. Ubuntu/Debian

最小的：

apt-get install build-essential libpcap-dev   \
                libyaml-0-2 libyaml-dev pkg-config zlib1g zlib1g-dev \
                make libmagic-dev libjansson libjansson-dev libpcre2-dev

受到推崇的：

apt-get install build-essential libpcap-dev   \
                libnet1-dev libyaml-0-2 libyaml-dev pkg-config zlib1g zlib1g-dev \
                libcap-ng-dev libcap-ng0 make libmagic-dev         \
                libgeoip-dev liblua5.1-dev libhiredis-dev libevent-dev \
                python-yaml rustc cargo libpcre2-dev

额外的 iptables/nftables IPS 集成：

apt-get install libnetfilter-queue-dev libnetfilter-queue1  \
                libnetfilter-log-dev libnetfilter-log1      \
                libnfnetlink-dev libnfnetlink0

对于 Rust 支持：

apt-get install rustc cargo
cargo install --force --debug --version 0.14.1 cbindgen

3.2. 二进制包

3.2.1. Ubuntu

对于 Ubuntu，OISF 维护着一个suricata-stable始终包含最新稳定版本的 PPA。使用它：

sudo apt-get install software-properties-common
sudo add-apt-repository ppa:oisf/suricata-stable
sudo apt-get update
sudo apt-get install suricata

3.2.2. 德比安

在 Debian 9 (stretch) 及更高版本中：

sudo apt-get install suricata

在 Debian 的“稳定”版本中，Suricata 通常在最新版本中不可用。如果可以在那里构建更新的版本，通常可以从 Debian backports 获得。要使用 backports，需要将当前稳定发行版的 backports 存储库添加到系统范围的源列表中。例如，对于 Debian 10 (buster)，运行以下命令root：

echo "deb http://http.debian.net/debian buster-backports main" > \
    /etc/apt/sources.list.d/backports.list
apt-get update
apt-get install suricata -t buster-backports

3.2.3. CentOS、AlmaLinux、RockyLinux、Fedora 等

为最新版本的Enterprise Linux提供了 RPM 。这包括 CentOS Linux 和重建版，例如 AlmaLinux 和 RockyLinux。此外，还为最新支持的 Fedora 版本提供了 RPM。没有提供专为 CentOS Stream 设计的 RPM，但相关版本的 RPM 可能工作正常。

3.2.3.1. 从包存储库安装

3.2.3.1.1。CentOS、RHEL、AlmaLinux、RockyLinux 等版本 8+

dnf install epel-release dnf-plugins-core
dnf copr enable @oisf/suricata-7.0
dnf install suricata

3.2.3.1.2。中央操作系统 7

yum install epel-release yum-plugin-copr
yum copr enable @oisf/suricata-7.0
yum install suricata

3.2.3.1.3。软呢帽

dnf install dnf-plugins-core
dnf copr enable @oisf/suricata-7.0
dnf install suricata

3.2.3.2. RPM 安装的附加说明

Suricata 预先配置为以suricata用户身份运行。
可以在中配置命令行参数，例如提供接口名称/etc/sysconfig/suricata。
suricata-update如果用户被添加到该组，则无需成为 root 用户即可运行suricata。
目录：
- /etc/suricata: 配置目录
- /var/log/suricata: 日志目录
- /var/lib/suricata：国家目录规则，数据集。