Clark's Home page

Tecnicismi vari di un Sysadmin Linux ma anche qualcosa della sua vita

Suricata su Devuan Beowulf —

Avendo in questo periodo adottato Beowulf come distro di riferimento ed essendo in fase di migrazione sui bastion host anche il buon suricata deve essere aggironato e in 2 anni sono cambiate un po di cosette.

Fondamentalmente il concetto è lo stesso della versione precedente, si passa il traffico in entrata a suricata che lo analizza e decide se e come agire.

nel file ale.nft mettiamo catene e regole necessarie poi come in precedenza ricordarsi di disabilitare in suricata.yaml (il file principale di configurazione)

unix-command:

enable no
# filename: /var/run/suricata-command.socket
Questo perché se no l’aggiornamento dei  rules che fa cron con il file suricata-oink-master si pianta inesorabilmente e chiude il demone di suricata.
Altra cosa che come in precedenza voglio fare è far girare suricata non come root,  quindi aggiungo con useradd -r -s /usr/sbin/nologin suri (-r utente di sistema -s scelta shell che gentilmente dice non puoi entrare) e adduser suri suri che aggiunge l’utente suri al gruppo suri

aggiungo al file .yaml questa configurazione:
run-as:
user: suri
group: suri
giusto per essere sicuro del tutto aggiungo anche al file /etc/default/suricata la condizione:
RUN_AS_USER=suri
cambio permessi e proprietari alla directory /var/log/suricata
chown -R root:suri /var/log/suricata
chmod -R 775 /var/log/suricata
come in precedenza modifico il file /etc/logrotate.d/suricata aggiungendo la direttiva su all’inizio in questo modo:
/var/log/suricata/*.log
/var/log/suricata/*.json
{
su suri suri
rotate 14
missingok
compress
copytruncate
sharedscripts
postrotate
/bin/kill -HUP $(cat /var/run/suricata.pid)
endscript
}

Dopo di che copio in /etc/suricata il file /usr/lib/python3/dist-packages/suricata/update/configs/drop.conf e lo modifico in questo modo:

re:heartbleed
re:MS(0[7-9]|10)-\d+
re:classtype:trojan-activity

Reference:https://pub.nethence.com/security/suricata-inline

Addendum:

in caso di uso di kernel da distribuzione e non ricompilato è necessario inserire il modulo nfnetlink_queue con modprobe al volo e in /etc/modules per i riavvi successivi.


Categorised as: IDS | Linux | Networking | Work

Comments are disabled on this post


Comments are closed.


Hide picture