目录
修改ubuntu的root密码
sudo passwd,然后输入密码
允许远程ubuntu在远程工具登录
vim /etc/ssh/sshd_config
输入PermitRootLogin yes
systemctl restart sshd.service
安装链接https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Ubuntu_Installation_-_Personal_Package_Archives_(PPA)
apt-get install software-properties-common
add-apt-repository ppa:oisf/suricata-stable
apt-get update
apt-get install suricata
suricata -c
apt-get install suricata-dbg
apt-get update
apt-get upgrade
suricata
/etc/init.d/suricata start
systemctl status suricata
日志:/var/log/suricata/
配置文件:/etc/suricata/
规则文件:/etc/suricata/rules/
修改yaml的网卡配置:
af-packet:
- interface: ens33
pcap:
- interface: ens33
pfring:
- interface: ens33
启用sip,mqtt,rdp
修改完就重启程序,查看状态是running
网卡调优
ethtool -K ens33 tso off lro off gro off
ethtool -K ens33 rx off
ethtool -K ens33 tx off
ethtool -K ens33 sg off
ethtool -K ens33 gso off
ethtool -K ens33 gro off
ethtool -K ens33 lro off
ethtool -K ens33 rxvlan off
ethtool -K ens33 txvlan off
ethtool -K ens33 ntuple off
ethtool -K ens33 rxhash off
ethtool -K ens33 rx off tx off
日志目录:/var/log/suricata
攻击日志: eve.json fast.log
系统日志:suricata.log
测试:
关闭防火墙
sudo ufw status命令查看当前的防火墙状态
sudo ufw enable命令来开发防火墙
sudo ufw disable命令来关闭防火墙
扫服务版本:nmap -sV 10.0.1.180
内网访问外网检测:curl http://testmynids.org/uid/index.html
开启规则,需要在suricata.rules把注释去掉
更新规则:suricata-update
规则存入位置:/var/lib/suricata/rules/suricata.rules
测试是否生效(测试需要一点时间):suricata -T -c /etc/suricata/suricata.yaml
源:/usr/local/var/lib/suricata/update/sources
更新规则源索引:suricata-update update-sources
索引中的来源:suricata-update list-sources
启用规则集:suricata-update enable-source ptresearch/attackdetection
再次更新规则:suricata-update
列出启用的来源:suricata-update list-sources --enabled
禁用源:suricata-update disable-source et/pro
启用默认禁用的规则/opt/suricata-6.0.8/suricata-update/suricata/update/configs/enable.conf