{"id":1503,"date":"2018-10-12T15:00:32","date_gmt":"2018-10-12T13:00:32","guid":{"rendered":"http:\/\/clark.tipistrani.it\/?p=1503"},"modified":"2018-10-18T08:43:55","modified_gmt":"2018-10-18T06:43:55","slug":"suricata","status":"publish","type":"post","link":"http:\/\/clark.tipistrani.it\/?p=1503","title":{"rendered":"Suricata"},"content":{"rendered":"

In questo periodo sto aggiornando i bastion host aziendali perch\u00e9 girano ancora su Debian 7.x e non vedo pi\u00f9 aggiornamenti di sicurezza.
\nL’occasione \u00e8 buona per passare anche loro a Devuan, gli IDS\/IPS sono una parte fondamentale della sicurezza del sistema, io ho sempre usato SNORT come IDS ma su Devuan Jessie non \u00e8 presente, quindi si usa l’alternativa che \u00e8 suricata<\/a>
\nSuricata lavora sia come IDS che come IPS che \u00e8 poi la funzione che pi\u00f9 mi interessa, in sostanza con 1 regola di firewall adeguata si passa tutto il traffico al vaglio di suricata che provvede a fare quanto serve va installato da backports per avere una versione pi\u00f9 aggiornata.
\nEssendo le macchine dei bastion host la via pi\u00f9 semplice per ottenere questo effetto e usare la chain di FORWARD aggiungendo allo script di firewall questa regola:
\n$IPT -I FORWARD -j NFQUEUE
\nin modo che sia il traffico in entrata che quello in uscita sia verificato, approfondendo un po di pi\u00f9 il pacchetto entrante che matcha la regola viene inviato tramite nfnetlink a suricata,Suricata riceve il pacchetto<\/span> e emette un verdetto <\/span>a seconda del set di regole,Il pacchetto viene trasmesso o respinto da<\/span>l kernel<\/span>.
\nN.B. anzi nota MOLTO BENE, questa regola va inserita DOPO eventuali altre regole di forward, specie se ad esempio hai delle VPN.
\nDa ricordarsi di disabilitare in suricata.yaml<\/a> (il file principale di configurazione)<\/p>\n

unix-command:<\/p>\n

enable no
\n# filename: \/var\/run\/suricata-command.socket
\nQuesto perch\u00e9 se no l’aggiornamento dei\u00a0 rules che fa cron con il file suricata-oink-master si pianta inesorabilmente e chiude il demone di suricata.
\nAltra cosa che voglio fare \u00e8 far girare suricata non come root (s\u00ec lo so, sono paranoico) quindi aggiungo con useradd -r -s \/usr\/sbin\/nologin suri (-r utente di sistema -s scelta shell che gentilmente dice non puoi entrare)
\naggiungo al file .yaml questa configurazione:
\nrun-as:
\nuser: suri
\ngroup: suri
\ngiusto per essere sicuro del tutto aggiungo anche al file \/etc\/default\/suricata la condizione:
\nRUN_AS_USER=suri
\ncambio permessi e proprietari alla directory \/var\/log\/suricata
\nchown -R root:suri \/var\/log\/suricata
\nchmod -R 775 \/var\/log\/suricata
\nriavvio suricata e dopo diversi secondi, si la cosa non \u00e8 immediata trovo:
\nperseo:\/home\/guardian# ps aux | grep suricata
\nsuri 3198 8.7 5.5 433612 221244 ? Ssl 14:20 0:50 \/usr\/bin\/suricata -c \/etc\/suricata\/suricata.yaml –pidfile \/var\/run\/suricata.pid -q 0 -D
\nroot 6161 0.0 0.0 13236 2316 pts\/0 S+ 14:30 0:00 grep suricata
\nNel file \/var\/log\/suricata\/fast.log ci sono tutte le segnalazioni del traffico.<\/p>\n

ADDENDUM:<\/p>\n

tre giorni dopo spulciando i log per vedere se ci sono anomalie sulle macchien appena rifatte mi son trovato una cosa di questo tipo:<\/p>\n

\/etc\/cron.daily\/logrotate:\r\nerror: skipping \"\/var\/log\/suricata\/fast.log\" because parent directory has insecure permissions (It's world writable or writable by group which is not \"root\") \\\r\nSet \"su\" directive in config file to tell logrotate which user\/group should be used for rotation.\r\nerror: skipping \"\/var\/log\/suricata\/stats.log\" because parent directory has insecure permissions (It's world writable or writable by group which is not \"root\") \\\r\nSet \"su\" directive in config file to tell logrotate which user\/group should be used for rotation.\r\nerror: skipping \"\/var\/log\/suricata\/suricata.log\" because parent directory has insecure permissions (It's world writable or writable by group which is not \"root\") \\\r\nSet \"su\" directive in config file to tell logrotate which user\/group should be used for rotation.\r\nerror: skipping \"\/var\/log\/suricata\/suricata-start.log\" because parent directory has insecure permissions (It's world writable or writable by group which is not \"root\") \\\r\nSet \"su\" directive in config file to tell logrotate which user\/group should be used for rotation.\r\nerror: skipping \"\/var\/log\/suricata\/eve.json\" because parent directory has insecure permissions (It's world writable or writable by group which is not \"root\") \\\r\nSet \"su\" directive in config file to tell logrotate which user\/group should be used for rotation.\r\nrun-parts: \/etc\/cron.daily\/logrotate exited with return code 1<\/pre>\n
rapida ricerca in google e soluzione trovata, modificare il file \/etc\/logrotate.d\/suricata aggiungendo la direttiva su all’inizio in questo modo:
\n\/var\/log\/suricata\/*.log
\n\/var\/log\/suricata\/*.json
\n{
\nsu suri suri
\nrotate 14
\nmissingok
\ncompress
\ncopytruncate
\nsharedscripts
\npostrotate
\n\/bin\/kill -HUP $(cat \/var\/run\/suricata.pid)
\nendscript
\n}
\ncon un logrotate –force \/etc\/logrotate.d\/suricata in \/var\/log\/suricata mi son trovato i file a posto.<\/p>\n
ADDENDUM 1<\/p>\n
Dato che i log nella directory \/var\/log\/suricata richiedono un programam terzo per essere consultati e che non ho nessuna vogliadi mettere altra roba su dei bastions hosts ho rediretto il tutto in syslog abilitando in suricata.yalm<\/p>\n
# a line based alerts log similar to fast.log into syslog
\n– syslog:
\nenabled: yes
\n# reported identity to syslog. If ommited the program name (usually
\n# suricata) will be used.
\nidentity: “suricata”
\nfacility: local5
\n#level: Info<\/p>\n
e aggiungendo in \/etc\/rsyslog.d il file suricata.conf che contiene:<\/p>\n
$template sysklogd, \"<%PRI%>%syslogtag:1:32%%msg:::sp-if-no-1st-sp%%msg%\"<\/pre>\n","protected":false},"excerpt":{"rendered":"
In questo periodo sto aggiornando i bastion host aziendali perch\u00e9 girano ancora su Debian 7.x e non vedo pi\u00f9 aggiornamenti di sicurezza. L’occasione \u00e8 buona per passare anche loro a Devuan, gli IDS\/IPS sono una parte fondamentale della sicurezza del sistema, io ho sempre usato SNORT come IDS ma su Devuan Jessie non \u00e8 presente, […]<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[110,8,14,6],"tags":[136,138,134],"class_list":["post-1503","post","type-post","status-publish","format-standard","hentry","category-ids","category-linux","category-networking","category-work","tag-devuan","tag-ids-ips","tag-suricata"],"_links":{"self":[{"href":"http:\/\/clark.tipistrani.it\/index.php?rest_route=\/wp\/v2\/posts\/1503","targetHints":{"allow":["GET"]}}],"collection":[{"href":"http:\/\/clark.tipistrani.it\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"http:\/\/clark.tipistrani.it\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"http:\/\/clark.tipistrani.it\/index.php?rest_route=\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"http:\/\/clark.tipistrani.it\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=1503"}],"version-history":[{"count":11,"href":"http:\/\/clark.tipistrani.it\/index.php?rest_route=\/wp\/v2\/posts\/1503\/revisions"}],"predecessor-version":[{"id":1526,"href":"http:\/\/clark.tipistrani.it\/index.php?rest_route=\/wp\/v2\/posts\/1503\/revisions\/1526"}],"wp:attachment":[{"href":"http:\/\/clark.tipistrani.it\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=1503"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"http:\/\/clark.tipistrani.it\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=1503"},{"taxonomy":"post_tag","embeddable":true,"href":"http:\/\/clark.tipistrani.it\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=1503"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}