Avendo in questo periodo aggiornato da Beowulf a Chimaera come distro sui bastion host anche il buon suricata deve essere aggiornato e in 2 anni sono cambiate (ancora) un po di cosette.<\/p>\n
Fondamentalmente il concetto \u00e8 lo stesso della versione precedente, si passa il traffico in entrata a suricata che lo analizza e decide se e come agire.<\/p>\n
nel file ale.nft<\/a> mettiamo catene e regole necessarie poi contrariamente alle precedenti versioni in suricata.yaml<\/a> (il file principale di configurazione)<\/p>\n unix-command:<\/p>\n enable yes Un altra cosa che cambia \u00e8 la direttiva default-rule-path: che da:<\/p>\n #default-rule-path: \/etc\/suricata\/rules<\/p>\n diventa: rule-files: Questo perch\u00e9 col comando suricata -T -c \/etc\/suricata\/suricata.yaml -v che serve a verificare la correttezza della configurazione appare questo risultato: Una rapida ricerca in rete ha portato alla soluzione sopra eliminando il warn<\/p>\n Come in precedenza voglio fare \u00e8 far girare suricata non come root,\u00a0 quindi aggiungo con useradd -r -s \/usr\/sbin\/nologin suri (-r utente di sistema -s scelta shell che gentilmente dice non puoi entrare) e adduser suri suri che aggiunge l’utente suri al gruppo suri<\/p>\n aggiungo al file .yaml questa configurazione: Dopo di che copio in \/etc\/suricata il file \/usr\/lib\/python3\/dist-packages\/suricata\/update\/configs\/drop.conf e lo modifico in questo modo:<\/p>\n re:heartbleed
\nfilename: \/var\/run\/suricata\/suricata-command.socket e bisogna cambiare il proprietario da rooot:root a suri:suri alla directory \/var\/run\/suricata.
\nQuesto perch\u00e9 se no l’aggiornamento dei\u00a0 rules che fa cron con il file suricata-oink-master lascia un errore nei log, inoltre in suricata-oinkmaster.conf va cambiata l’URL di download in questo modo:
\n#url = https:\/\/rules.emergingthreats.net\/open\/suricata-4.0.0\/emerging.rules.tar.gz
\nurl = http:\/\/rules.emergingthreats.net\/open\/suricata-6.0.1\/emerging.rules.tar.gz<\/p>\n
\ndefault-rule-path: \/var\/lib\/suricata\/rules<\/p>\n
\n– suricata.rules<\/p>\n
\n9\/11\/2021 — 08:10:22 – <Info> – Running suricata under test mode
\n9\/11\/2021 — 08:10:22 – <Notice> – This is Suricata version 6.0.1 RELEASE running in SYSTEM mode
\n9\/11\/2021 — 08:10:22 – <Info> – CPUs\/cores online: 6
\n9\/11\/2021 — 08:10:22 – <Info> – dropped the caps for main thread
\n9\/11\/2021 — 08:10:22 – <Info> – fast output device (regular) initialized: fast.log
\n9\/11\/2021 — 08:10:22 – <Info> – eve-log output device (regular) initialized: eve.json
\n9\/11\/2021 — 08:10:22 – <Info> – stats output device (regular) initialized: stats.log
\n9\/11\/2021 — 08:10:22 – <Warning> – [ERRCODE: SC_ERR_NO_RULES(42)] – No rule files match the pattern \/etc\/suricata\/rules\/suricata.rules<\/p>\n
\nrun-as:
\nuser: suri
\ngroup: suri
\ngiusto per essere sicuro del tutto aggiungo anche al file \/etc\/default\/suricata la condizione:
\nRUN_AS_USER=suri
\ncambio permessi e proprietari alla directory \/var\/log\/suricata
\nchown -R root:suri \/var\/log\/suricata
\nchmod -R 775 \/var\/log\/suricata
\ncome in precedenza modifico il file \/etc\/logrotate.d\/suricata aggiungendo la direttiva su all’inizio in questo modo:
\n\/var\/log\/suricata\/*.log
\n\/var\/log\/suricata\/*.json
\n{
\nsu suri suri
\nrotate 14
\nmissingok
\ncompress
\ncopytruncate
\nsharedscripts
\npostrotate
\n\/bin\/kill -HUP $(cat \/var\/run\/suricata.pid)
\nendscript
\n}<\/p>\n
\nre:MS(0[7-9]|10)-\\d+
\nre:classtype:trojan-activity<\/p>\n