1.centos 7安裝

（1）centos下載

http://mirrors.cn99.com/centos/7.6.1810/isos/x86_64/CentOS-7-x86_64-DVD-1810.iso

（2）安裝及配置

a饵隙、網(wǎng)絡(luò)配置

step1：輸入dhclient ，進行動態(tài)IP分配

step2：編輯? /etc/sysconfig/network-scripts/ifcfg-ens33（不同網(wǎng)卡文件不同））.

修改并配置靜態(tài)IP： BOOTPROTO=static? ? ? ?ONBOOT=yes? ?

增加地址信息（按實際情況修改）：

IPADDR=192.168.2.123

NETMASK=255.255.255.0?

GATEWAY=192.168.2.2

DNS1=8.8.8.8

DNS2=114.114.114.114

step3：重啟網(wǎng)卡服務(wù)：systemctl network restart

step4：查看ip是否生效命令：ip addr

b拂铡、鏡像源修改

centos默認(rèn)yum源不一定是國內(nèi)鏡像陨溅，導(dǎo)致yum在線安裝及更新速度不是很理想终惑。需要將yum源設(shè)置為國內(nèi)鏡像。國內(nèi)主要是網(wǎng)易和阿里门扇。

網(wǎng)易：?http://mirrors.163.com

阿里：http://mirrors.aliyun.com

中科大：https://lug.ustc.edu.cn/wiki/lug/services/mirrors

step1：備份系統(tǒng)自帶yum源配置文件/etc/yum.repos.d/ 目錄下下的文件雹有；在改文件夾下新建目錄：mkdir? yum_repos_backup；移動該目錄下的文件到y(tǒng)um_repos_backup中做備份臼寄。

step2：獲取鏡像源

wget?http://mirrors.163.com/.help/CentOS7-Base-163.repo

wget?-O?/etc/yum.repos.d/CentOS-Base.repo?http://mirrors.aliyun.com/repo/Centos-7.repo

step3：生成緩存 yum clean all 件舵；? yum? makecache ；此時出現(xiàn)錯誤脯厨，無法生成緩存铅祸。于是增加科大的鏡像 ；

wget -O CentOS-Base.repo https://lug.ustc.edu.cn/wiki/_export/code/mirrors/help/centos?codeblock=3

再次執(zhí)行yum clean all和yum makecache合武。

2.suricata安裝前準(zhǔn)備（依賴）

基礎(chǔ)依賴：libpcap, libpcre, libmagic, zlib, libyaml

解析及編譯工具：make? gcc (or clang)? pkg-config

如需要使用suricata完整特性临梗，需依賴：libjansson, libnss, libgeoip, liblua5.1, libhiredis, libevent

如需Rust 支持，依賴:rustc, cargo稼跳。并非每個發(fā)行版都提供Rust包盟庞。

如centos下的安裝

（1）yum install epel-release

（2）sudo yum -y install gcc libpcap-devel pcre-devel libyaml-devel file-devel \

? zlib-devel jansson-devel nss-devel libcap-ng-devel libnet-devel tar make \

? libnetfilter_queue-devel lua-devel

3.suricata 下載與安裝（suricata-4.1.3.tar.gz）

https://www.openinfosecfoundation.org/download/suricata-4.1.3.tar.gz

（1）解壓及配置

tar? ?-xvzf? ?suricata-4.1.3.tar.gz

cd? suricata-4.1.3

./configure? ? --prefix=/usr? ? --sysconfdir=/etc? ? --localstatedir=/var? ?

--enable-nfqueue? ?--enable-lua

常見的配置選項說明:

--prefix=/usr/? ?： 將Suricata二進制文件安裝到/usr/bin/中,默認(rèn)/usr/local/

--sysconfdir=/etc ：?將Suricata配置文件安裝到/etc/ Suricata /中。默認(rèn)/usr/local/etc/

--localstatedir=/var：將Suricata日志記錄到/var/log/ Suricata /中汤善。默認(rèn)/usr/local/var/log/suricata

--enable-lua ：?啟用Lua支持檢測和輸出什猖。

--enable-geopip：啟用對檢測的GeoIP支持。

--disable-rust：禁用Rust支持红淡。如果rustc/cargo可用不狮，則默認(rèn)啟用Rust支持

--disable-gccmarch-native: 不要為構(gòu)建二進制文件的硬件優(yōu)化二進制文件。如果二進制文件是可移植的在旱，或者Suricata要在VM中使用摇零，則添加此標(biāo)志

（2）安裝

make

sudo? make? install

sudo? ldconfig

4.設(shè)置

4.1 自動設(shè)置

（4.1.1）make install-conf?

make install-conf?將執(zhí)行常規(guī)的“make install”，然后它將為你自動創(chuàng)建/設(shè)置所有必要的目錄和suricata.yaml

（4.1.2）make install-rules

make install-rules將執(zhí)行常規(guī)的“make install”桶蝎，然后它會從新興的威脅（Emerging Threats）自動下載和設(shè)置最新的規(guī)則集驻仅。

如果此時如果出現(xiàn)suricata-update 命令未找到，需要安裝suricata-update登渣，suricata-update是用python寫的噪服。解決方法如下：

a. 首先升級python2 -> python3?

下載python3.7：? wget? https://www.python.org/ftp/python/3.7.3/Python-3.7.3.tgz

解壓：tar -zxf? Python-3.7.3.tgz

安裝依賴：?yum install zlib-devel bzip2-devel openssl-devel ncurses-devel sqlite-devel readline-devel tk-devel gcc? libffi-devel

配置： 進入到cdPython-3.7.3后執(zhí)行./configure --prefix=/usr/local/python3.7

編譯及安裝：make&& make install

備份python2的軟鏈接：mv?/usr/bin/python /usr/bin/python.bak

創(chuàng)建python3的軟連接 ；ln -s?/usr/local/python3.7

/bin/python3.7 /usr/bin/python：

查看版本： python -V

因為yum需要使用python2胜茧，將/usr/bin/python改為python3后粘优，yum就不能正常運行了，因此需要更改一下yum的配置。

vim? /usr/bin/yum

vim? /usr/libexec/urlgrabber-ext-down

編輯這兩個文件敬飒，將文件頭的#!/usr/bin/python改為#!/usr/bin/python2即可

b. 然后安裝suricata-update

yum install python-pip python-yaml?

pip install --pre --upgrade suricata-update

再次執(zhí)行make install-rules.

suricata-update 會自動進行規(guī)則更新，顯示當(dāng)前已經(jīng)更新與啟用了多少規(guī)則芬位。規(guī)則更新后无拗，所有的規(guī)則都會保存在/val/lib/suricata/rules/suricata.rules這一文件中，這個時候需要修改suricata配置文件的default-rule-path與rule-files來指定規(guī)則文件到這個規(guī)則上昧碉。具體內(nèi)容查看suricta-update安裝英染。

suricata-update? list-sources 可以列出當(dāng)前的規(guī)則源

（4.1.3）make install-full

make install-full將結(jié)合上面提到的所有內(nèi)容(install-conf和install-rules)，并向您展示一個準(zhǔn)備好運行(配置和設(shè)置)的Suricata被饿。

4.2 手動設(shè)置

（1）首先為Suricata的日志信息創(chuàng)建一個目錄

sudo mkdir /var/log/suricata

（2）創(chuàng)建/etc/suricata目錄四康，為配置文件準(zhǔn)備

sudo mkdir /etc/suricata

（3）從編譯/安裝目錄復(fù)制 classification.config、reference.config 狭握、suricata.yaml到/etc/suricata:

sudo cp classification.config /etc/suricata

sudo cp reference.config /etc/suricata

sudo cp suricata.yaml /etc/suricata

（4）設(shè)置變量

a闪金、確保yaml配置文件中的vars、address-groups和port-groups的每個變量都已根據(jù)您的需要正確設(shè)置论颅。完整的解釋請查看yaml規(guī)則變量哎垦。需要在HOME_NET上設(shè)置本地網(wǎng)絡(luò)的ip地址。建議將EXTERNAL_NET設(shè)置為!$HOME_NET恃疯。這樣設(shè)置漏设，除了HOME_NET上設(shè)置的ip地址之外，其他ip地址都將被視為外部地址今妄。也可以將EXTERNAL_NET設(shè)置為“any”郑口，使用該推薦的設(shè)置更精確，并且降低了生成誤報的幾率盾鳞。HTTP_SERVERS犬性、SMTP_SERVERS、SQL_SERVERS腾仅、DNS_SERVERS和TELNET_SERVERS默認(rèn)設(shè)置為HOME_NET仔夺。AIM_SERVERS默認(rèn)設(shè)置為“any”。必須為網(wǎng)絡(luò)上的服務(wù)器設(shè)置這些變量攒砖。所有的設(shè)置都必須設(shè)置缸兔，這讓suricata有一個更準(zhǔn)確的效果。

b吹艇、確保下面的端口設(shè)置為您需要的端口:HTTP_PORTS惰蜜、SHELLCODE_PORTS、ORACLE_PORTS 受神、 SSH_PORTS.

c抛猖、根據(jù)需要設(shè)置主機操作系統(tǒng)策略，有關(guān)詳細(xì)說明請參閱HOST OS 策略。

（5）規(guī)則集管理和下載

可以使用Oinkmaster進行規(guī)則管理财著，或者從這里下載并解壓縮您選擇的目錄(或yaml配置設(shè)置)中的規(guī)則集http://rules.emergingthreats.net/open/suricata/联四，或者，如果您愿意撑教，可以下載并使用VRT規(guī)則集朝墩。建議經(jīng)常更新規(guī)則。每天修改新出現(xiàn)的威脅伟姐，每周或每周多次更新VRT收苏。

（6）網(wǎng)絡(luò)接口卡（網(wǎng)卡）

a、輸入ifconfig 愤兵，檢查可用的網(wǎng)卡鹿霸，現(xiàn)在您可以看到您希望Suricata使用哪一個網(wǎng)卡。

b秆乳、要啟動引擎并包含您想用的網(wǎng)卡懦鼠，請輸入（推薦使用錯誤測試規(guī)則--init-errors-fatal參數(shù)，wlan0 可以改為你喜歡的接口卡）：

sudo suricata -c /etc/suricata/suricata.yaml -i wlan0 --init-errors-fatal

c屹堰、要查看引擎是否正常工作并接收和檢查流量葛闷，請輸入:

cd /var/log/suricata??

tail http.log 或者tail -n 50 stats.log

d、要確保顯示的信息是實時更新的双藕，請在http.log和stats.log之前使用-f選項

tail -f http.log stats.log