Avendo in questo periodo adottato Beowulf come distro di riferimento ed essendo in fase di migrazione sui bastion host anche il buon suricata deve essere aggironato e in 2 anni sono cambiate un po di cosette.<\/p>\n
Fondamentalmente il concetto \u00e8 lo stesso della versione precedente, si passa il traffico in entrata a suricata che lo analizza e decide se e come agire.<\/p>\n
nel file ale.nft<\/a> mettiamo catene e regole necessarie poi come in precedenza ricordarsi di disabilitare in suricata.yaml<\/a> (il file principale di configurazione)<\/p>\n unix-command:<\/p>\n enable no aggiungo al file .yaml questa configurazione: Dopo di che copio in \/etc\/suricata il file \/usr\/lib\/python3\/dist-packages\/suricata\/update\/configs\/drop.conf e lo modifico in questo modo:<\/p>\n re:heartbleed
\n# filename: \/var\/run\/suricata-command.socket
\nQuesto perch\u00e9 se no l’aggiornamento dei\u00a0 rules che fa cron con il file suricata-oink-master si pianta inesorabilmente e chiude il demone di suricata.
\nAltra cosa che come in precedenza voglio fare \u00e8 far girare suricata non come root,\u00a0 quindi aggiungo con useradd -r -s \/usr\/sbin\/nologin suri (-r utente di sistema -s scelta shell che gentilmente dice non puoi entrare) e adduser suri suri che aggiunge l’utente suri al gruppo suri<\/p>\n
\nrun-as:
\nuser: suri
\ngroup: suri
\ngiusto per essere sicuro del tutto aggiungo anche al file \/etc\/default\/suricata la condizione:
\nRUN_AS_USER=suri
\ncambio permessi e proprietari alla directory \/var\/log\/suricata
\nchown -R root:suri \/var\/log\/suricata
\nchmod -R 775 \/var\/log\/suricata
\ncome in precedenza modifico il file \/etc\/logrotate.d\/suricata aggiungendo la direttiva su all’inizio in questo modo:
\n\/var\/log\/suricata\/*.log
\n\/var\/log\/suricata\/*.json
\n{
\nsu suri suri
\nrotate 14
\nmissingok
\ncompress
\ncopytruncate
\nsharedscripts
\npostrotate
\n\/bin\/kill -HUP $(cat \/var\/run\/suricata.pid)
\nendscript
\n}<\/p>\n
\nre:MS(0[7-9]|10)-\\d+
\nre:classtype:trojan-activity<\/p>\n