Neste artigo, explicaremos como instalar o Suricata em servidores VPS Ubuntu para ajudar a melhorar a segurança da sua rede. Você também aprenderá a configurar novas regras de detecção para se adequar às necessidades de segurança do seu VPS.<\/p>
\n\n\n\n\n\n\n<\/p>
Pré-requisitos<\/strong><\/h2>Embora o Suricata não estabeleça seus requisitos mínimos de hardware, recomendamos no mínimo 2 núcleos de CPU<\/strong> e 4 GB<\/strong> de RAM para garantir um desempenho ideal.<\/p>Se você não tem um plano de hospedagem VPS<\/strong><\/a>, recomendamos começar com o plano KVM 2 da Hostinger<\/strong> e fazer upgrade conforme necessário.<\/p>Esse plano é ótimo, pois seus 2 núcleos vCPU<\/strong> e 8 GB de RAM<\/strong> fornecem espaço suficiente para a hospedagem de outras aplicações e também tem um preço acessível, custando R$ 36.99\/mês<\/strong>.<\/p>Para o sistema operacional, certifique-se de que seu VPS é compatível com o Ubuntu 22.04<\/strong> ou superior. Versões mais antigas podem ser incompatíveis com a última versão do Suricata.<\/p>Os usuários da Hostinger podem usar o instalador de um clique do hPanel<\/strong> para mudar para outros sistemas operacionais. Para fazer isso, navegue até a sua visão geral do VPS<\/strong> na barra lateral do menu → SO & Painel<\/strong> → Sistema Operacional<\/strong> → SO puro<\/strong>. Selecione a versão mais recente do Ubuntu e clique em Mudar SO<\/strong>.<\/p>A instalação do Suricata requer privilégios de root ou superusuário para executar comandos Linux<\/strong><\/a>. Para evitar problemas de permissão e garantir um processo de instalação via linha de comando sem problemas, escolha um provedor de hospedagem VPS com acesso completo ao servidor, como a Hostinger.<\/p>Além de ampla compatibilidade, os melhores provedores de hospedagem VPS<\/strong><\/a> devem oferecer um uptime confiável e vários recursos. Por exemplo, a Hostinger oferece o Kodee<\/strong>, um assistente com IA que possibilita que você simplifique tarefas ao inserir diferentes prompts de IA para gerenciamento de VPS.<\/p>Nós também fornecemos um terminal do navegador<\/strong> que permite que você se conecte ao seu sistema Ubuntu sem usar um cliente SSH como o PuTTY<\/strong><\/a>. Para acessar seu VPS remotamente, use as credenciais de login no menu visão geral na aba Acesso SSH<\/strong>.<\/p>\n\n\n
\n Importante!<\/h4>\n
Por padrão, você fará login como o usuário root. Recomendamos a troca para outro usuário com privilégios de superusuário para evitar a execução acidental de comandos destrutivos.<\/p>\n <\/div>\n\n\n\n<\/p>
Todos os nossos planos de hospedagem VPS oferecem garantia de uptime de 99,9%<\/strong> e garantia de devolução do dinheiro em 30 dias<\/strong>.<\/p>![\"\"](\"https:\/\/imagedelivery.net\/LqiWLm-3MGbYHtFuUbcBtA\/wp-content\/uploads\/sites\/53\/2023\/02\/BR-VPS-hosting_in-text-banner-1.png\/public\")
<\/a><\/figure>Como Instalar Suricata no Ubuntu<\/strong><\/h2>Nesta seção, explicaremos os passos para a instalação do Suricata em um VPS com o Ubuntu 22.04<\/strong>. Se você quiser instalá-lo em um roteador gateway para escanear o tráfego de rede de entrada e saída, pode ser necessário realizar etapas adicionais, como modificar as regras do firewall.<\/p>1. Atualize os Pacotes do Ubuntu<\/strong><\/h3>Antes de instalar o Suricata, atualize o APT para garantir que você receba a versão local mais recente. Esta etapa também aplica as mais recentes correções para outros pacotes do sistema para ajudar a melhorar a segurança e evitar problemas de incompatibilidade.<\/p>
Para listar as atualizações de pacotes do sistema disponíveis em seu repositório APT, execute o seguinte comando:<\/p>
sudo apt update<\/code><\/pre>Instale atualizações para todos os pacotes do sistema usando este comando:<\/p>
sudo apt upgrade<\/code><\/pre>O processo pode levar minutos ou horas, dependendo do tamanho total da atualização e da sua velocidade de internet.<\/p>
2. Instale o Suricata<\/strong><\/h3>Existem vários métodos para instalar o Suricata no Ubuntu. Nesta seção, explicaremos as três maneiras mais comuns, começando pela mais fácil.<\/p>
Instale Suricata Usando APT<\/strong><\/p>Use este comando para instalar o Suricata no Ubuntu usando o repositório local APT:<\/p>
sudo apt install -y suricata<\/code><\/pre>Para verificar se o Suricata está instalado corretamente, verifique o número da versão usando este comando:<\/p>
suricata -V<\/code><\/pre>![\"Terminal](\"https:\/\/imagedelivery.net\/LqiWLm-3MGbYHtFuUbcBtA\/wp-content\/uploads\/sites\/53\/2024\/08\/terminal-returns-installed-suricata-version-number.png\/public\")
<\/figure>\n\n\n
\n Importante!<\/h4>\n
Certifique-se de usar a capitalização correta ao digitar os comandos, pois eles diferenciam maiúsculas de minúsculas.<\/p>\n <\/div>\n\n\n\n<\/p>
Alternativamente, liste os pacotes instalados no Ubuntu<\/strong><\/a> usando o comando apt list<\/strong> e filtre Suricata usando grep <\/strong>como a seguir:<\/p>sudo apt list --installed | grep suricata<\/code><\/pre>Observe que este método pode instalar uma versão mais antiga, pois você está usando o repositório local do gerenciador de pacotes APT.<\/p>
Instale Suricata Usando Pacotes Binários<\/strong><\/p>Para instalar a versão estável mais recente, importe o repositório da Open Information Security Foundation (OISF)<\/strong><\/a> do servidor Suricata. Para fazer isso, execute estes comandos:<\/p>sudo apt install software-properties-common<\/code><\/pre>sudo add-apt-repository ppa:oisf\/suricata-stable<\/code><\/pre>Pressione Enter<\/strong> se o Terminal pedir confirmação. Após importar o repositório, atualize o APT e descompacte o software com este comando:<\/p>sudo apt install suricata<\/code><\/pre>Se você estiver usando outras distribuições derivadas do Debian, use o repositório backports para ter a versão estável mais recente. Consulte o guia de instalação dos pacotes binários do Suricata<\/u><\/strong><\/a> para aprender mais sobre isso.<\/p>Instale o Suricata Usando Arquivos de Distribuição do Código-Fonte<\/strong><\/p>Configurar o Suricata a partir dos arquivos de distribuição do código-fonte permite que você ajustar as configurações de instalação. No entanto, você precisará instalar várias dependências e diversos cabeçalhos de desenvolvimento.<\/p>
Após a instalação das dependências do Suricata<\/u><\/strong><\/a>, execute os seguintes comandos subsequentemente:<\/p>tar xzvf suricata-6.0.0.tar.gz<\/code><\/pre>cd suricata-6.0.0<\/code><\/pre>.\/configure<\/code><\/pre>make<\/code><\/pre>make install<\/code><\/pre>3. Configure o Suricata<\/strong><\/h3>O pacote Suricata inclui um arquivo de configuração YAML<\/strong> para ajustar as configurações e o comportamento da ferramenta. Você pode editar isso usando um editor de texto como o nano<\/strong><\/a>:<\/p>sudo nano \/etc\/suricata\/suricata.yaml<\/code><\/pre>O arquivo suricata.yaml<\/strong> tem vários parâmetros que você pode ajustar. Aqui estão os mais comuns:<\/p>\n- Configuração de interface<\/strong>. Determina o método e a interface de rede para capturar o pacote. Algumas das configurações são af;-packets<\/strong>, af-xdp<\/strong> e pcap<\/strong>.<\/li>\n\n\n\n
- Registro<\/strong>. Modifica onde o Suricata registra a detecção de rede, seu formato e nível de alerta. Você pode alterar as configurações através do parâmetro outputs<\/strong>.<\/li>\n\n\n\n
- Arquivo PID<\/strong>. Define o arquivo de identificação do processo (PID) para executar o Suricata como um daemon ou serviço. Determine o nome e o diretório no parâmetro pid-files<\/strong>.<\/li>\n\n\n\n
- Regras de detecção<\/strong>. Define os arquivos que contêm regras de filtragem de pacotes e suas localizações. Os parâmetros são default-rule-path<\/strong> e rule-files<\/strong>, respectivamente.<\/li>\n\n\n\n
- Tamanhos de pacotes<\/strong>. Altera o tamanho máximo do pacote a ser processado pelo Suricata e transmitido pela sua rede. Especifique o valor do byte<\/strong> nos parâmetros max-pending-packet<\/strong> e default-packet-size<\/strong>.<\/li>\n\n\n\n
- ID de Fluxo da Comunidade<\/strong>. Identifica o fluxo de rede Suricata para permitir a integração com outra ferramenta como o Zeek<\/strong><\/a>. O parâmetro community-id<\/strong> é definido como false<\/strong> por padrão.<\/li>\n<\/ul>
Edite as configurações e pressione Ctrl + X<\/strong>, Y<\/strong>, e Enter<\/strong> para salvar as alterações. Para procurar rapidamente um parâmetro específico, use o atalho Ctrl + W<\/strong> para habilitar a função de pesquisa.<\/p>Além de ler as instruções fornecidas, verifique a documentação do arquivo de configuração do Suricata<\/strong><\/a> para aprender mais sobre as configurações. Para parâmetros comentados como community-id<\/strong>, remova o símbolo de hashtag (#<\/strong>) no início para ativá-los.<\/p>4. Ativar Interfaces de Rede<\/strong><\/h3>Para processar o tráfego da rede e bloquear pacotes maliciosos que possam danificar seu sistema, o Suricata deve monitorar uma interface.<\/p>
Por padrão, o Suricata não rastreia nenhuma conectividade de e para o seu servidor. Os usuários devem especificar qual interface de rede monitorar e determinar o método de captura de pacotes através do arquivo YAML<\/strong>.<\/p>Por exemplo, queremos usar o método de captura af-packet<\/strong> e monitorar a interface de rede venet0<\/strong>. Veja só como é a configuração:<\/p>af-packet:\n - interface: venet0<\/code><\/pre>Insira este comando para exibir a interface padrão e outras informações de roteamento:<\/p>
ip -p -j route show<\/code><\/pre>Defina o método de captura de pacotes com base em suas necessidades. Por exemplo, o af-packet<\/strong> é adequado para rastreamento de rede ao vivo, enquanto o pcap<\/strong> é ideal para análise offline.<\/p>Para monitorar várias interfaces de rede, adicione essas novas linhas na parte inferior da seção do método de captura. Certifique-se de que o cluster-ID<\/strong> seja único:<\/p>- interface: interface name\ncluster-id: 29<\/code><\/pre>5. Inicie o Suricata<\/strong><\/h3>Ative o serviço Suricata usando o comando systemctl<\/strong> para executá-lo em segundo plano:<\/p>sudo systemctl start suricata<\/code><\/pre>Para verificar se está funcionando corretamente, execute o seguinte:<\/p>
sudo systemctl status suricata<\/code><\/pre>Se o serviço Suricata estiver em execução, o Terminal deve mostrar os status de loaded<\/strong> e active<\/strong>.<\/p>![\"Terminal](\"https:\/\/imagedelivery.net\/LqiWLm-3MGbYHtFuUbcBtA\/wp-content\/uploads\/sites\/53\/2024\/08\/1-suricata.png\/public\")
<\/figure>Lembre-se, sempre reinicie o serviço Suricata após modificar o arquivo de configuração para garantir que as novas configurações sejam aplicadas corretamente. Aqui está o comando:<\/p>
sudo systemctl restart suricata<\/code><\/pre>Alternativamente, pare o Suricata e execute-o novamente usando o comando systemctl start <\/strong>. Para encerrar o daemon, insira o seguinte:<\/p>sudo systemctl stop suricata<\/code><\/pre>6. Automatize a Inicialização do Suricata<\/strong><\/h3>
Se você não tem um plano de hospedagem VPS<\/strong><\/a>, recomendamos começar com o plano KVM 2 da Hostinger<\/strong> e fazer upgrade conforme necessário.<\/p> Esse plano é ótimo, pois seus 2 núcleos vCPU<\/strong> e 8 GB de RAM<\/strong> fornecem espaço suficiente para a hospedagem de outras aplicações e também tem um preço acessível, custando R$ 36.99\/mês<\/strong>.<\/p> Para o sistema operacional, certifique-se de que seu VPS é compatível com o Ubuntu 22.04<\/strong> ou superior. Versões mais antigas podem ser incompatíveis com a última versão do Suricata.<\/p> Os usuários da Hostinger podem usar o instalador de um clique do hPanel<\/strong> para mudar para outros sistemas operacionais. Para fazer isso, navegue até a sua visão geral do VPS<\/strong> na barra lateral do menu → SO & Painel<\/strong> → Sistema Operacional<\/strong> → SO puro<\/strong>. Selecione a versão mais recente do Ubuntu e clique em Mudar SO<\/strong>.<\/p> A instalação do Suricata requer privilégios de root ou superusuário para executar comandos Linux<\/strong><\/a>. Para evitar problemas de permissão e garantir um processo de instalação via linha de comando sem problemas, escolha um provedor de hospedagem VPS com acesso completo ao servidor, como a Hostinger.<\/p> Além de ampla compatibilidade, os melhores provedores de hospedagem VPS<\/strong><\/a> devem oferecer um uptime confiável e vários recursos. Por exemplo, a Hostinger oferece o Kodee<\/strong>, um assistente com IA que possibilita que você simplifique tarefas ao inserir diferentes prompts de IA para gerenciamento de VPS.<\/p> Nós também fornecemos um terminal do navegador<\/strong> que permite que você se conecte ao seu sistema Ubuntu sem usar um cliente SSH como o PuTTY<\/strong><\/a>. Para acessar seu VPS remotamente, use as credenciais de login no menu visão geral na aba Acesso SSH<\/strong>.<\/p> \n\n\n Por padrão, você fará login como o usuário root. Recomendamos a troca para outro usuário com privilégios de superusuário para evitar a execução acidental de comandos destrutivos.<\/p>\n <\/div>\n\n\n\n<\/p> Todos os nossos planos de hospedagem VPS oferecem garantia de uptime de 99,9%<\/strong> e garantia de devolução do dinheiro em 30 dias<\/strong>.<\/p> Nesta seção, explicaremos os passos para a instalação do Suricata em um VPS com o Ubuntu 22.04<\/strong>. Se você quiser instalá-lo em um roteador gateway para escanear o tráfego de rede de entrada e saída, pode ser necessário realizar etapas adicionais, como modificar as regras do firewall.<\/p> Antes de instalar o Suricata, atualize o APT para garantir que você receba a versão local mais recente. Esta etapa também aplica as mais recentes correções para outros pacotes do sistema para ajudar a melhorar a segurança e evitar problemas de incompatibilidade.<\/p> Para listar as atualizações de pacotes do sistema disponíveis em seu repositório APT, execute o seguinte comando:<\/p> Instale atualizações para todos os pacotes do sistema usando este comando:<\/p> O processo pode levar minutos ou horas, dependendo do tamanho total da atualização e da sua velocidade de internet.<\/p> Existem vários métodos para instalar o Suricata no Ubuntu. Nesta seção, explicaremos as três maneiras mais comuns, começando pela mais fácil.<\/p> Instale Suricata Usando APT<\/strong><\/p> Use este comando para instalar o Suricata no Ubuntu usando o repositório local APT:<\/p> Para verificar se o Suricata está instalado corretamente, verifique o número da versão usando este comando:<\/p> \n\n\n Certifique-se de usar a capitalização correta ao digitar os comandos, pois eles diferenciam maiúsculas de minúsculas.<\/p>\n <\/div>\n\n\n\n<\/p> Alternativamente, liste os pacotes instalados no Ubuntu<\/strong><\/a> usando o comando apt list<\/strong> e filtre Suricata usando grep <\/strong>como a seguir:<\/p> Observe que este método pode instalar uma versão mais antiga, pois você está usando o repositório local do gerenciador de pacotes APT.<\/p> Instale Suricata Usando Pacotes Binários<\/strong><\/p> Para instalar a versão estável mais recente, importe o repositório da Open Information Security Foundation (OISF)<\/strong><\/a> do servidor Suricata. Para fazer isso, execute estes comandos:<\/p> Pressione Enter<\/strong> se o Terminal pedir confirmação. Após importar o repositório, atualize o APT e descompacte o software com este comando:<\/p> Se você estiver usando outras distribuições derivadas do Debian, use o repositório backports para ter a versão estável mais recente. Consulte o guia de instalação dos pacotes binários do Suricata<\/u><\/strong><\/a> para aprender mais sobre isso.<\/p> Instale o Suricata Usando Arquivos de Distribuição do Código-Fonte<\/strong><\/p> Configurar o Suricata a partir dos arquivos de distribuição do código-fonte permite que você ajustar as configurações de instalação. No entanto, você precisará instalar várias dependências e diversos cabeçalhos de desenvolvimento.<\/p> Após a instalação das dependências do Suricata<\/u><\/strong><\/a>, execute os seguintes comandos subsequentemente:<\/p> O pacote Suricata inclui um arquivo de configuração YAML<\/strong> para ajustar as configurações e o comportamento da ferramenta. Você pode editar isso usando um editor de texto como o nano<\/strong><\/a>:<\/p> O arquivo suricata.yaml<\/strong> tem vários parâmetros que você pode ajustar. Aqui estão os mais comuns:<\/p> Edite as configurações e pressione Ctrl + X<\/strong>, Y<\/strong>, e Enter<\/strong> para salvar as alterações. Para procurar rapidamente um parâmetro específico, use o atalho Ctrl + W<\/strong> para habilitar a função de pesquisa.<\/p> Além de ler as instruções fornecidas, verifique a documentação do arquivo de configuração do Suricata<\/strong><\/a> para aprender mais sobre as configurações. Para parâmetros comentados como community-id<\/strong>, remova o símbolo de hashtag (#<\/strong>) no início para ativá-los.<\/p> Para processar o tráfego da rede e bloquear pacotes maliciosos que possam danificar seu sistema, o Suricata deve monitorar uma interface.<\/p> Por padrão, o Suricata não rastreia nenhuma conectividade de e para o seu servidor. Os usuários devem especificar qual interface de rede monitorar e determinar o método de captura de pacotes através do arquivo YAML<\/strong>.<\/p> Por exemplo, queremos usar o método de captura af-packet<\/strong> e monitorar a interface de rede venet0<\/strong>. Veja só como é a configuração:<\/p> Insira este comando para exibir a interface padrão e outras informações de roteamento:<\/p> Defina o método de captura de pacotes com base em suas necessidades. Por exemplo, o af-packet<\/strong> é adequado para rastreamento de rede ao vivo, enquanto o pcap<\/strong> é ideal para análise offline.<\/p> Para monitorar várias interfaces de rede, adicione essas novas linhas na parte inferior da seção do método de captura. Certifique-se de que o cluster-ID<\/strong> seja único:<\/p> Ative o serviço Suricata usando o comando systemctl<\/strong> para executá-lo em segundo plano:<\/p> Para verificar se está funcionando corretamente, execute o seguinte:<\/p> Se o serviço Suricata estiver em execução, o Terminal deve mostrar os status de loaded<\/strong> e active<\/strong>.<\/p> Lembre-se, sempre reinicie o serviço Suricata após modificar o arquivo de configuração para garantir que as novas configurações sejam aplicadas corretamente. Aqui está o comando:<\/p> Alternativamente, pare o Suricata e execute-o novamente usando o comando systemctl start <\/strong>. Para encerrar o daemon, insira o seguinte:<\/p>Importante!<\/h4>\n
<\/a><\/figure>Como Instalar Suricata no Ubuntu<\/strong><\/h2>
1. Atualize os Pacotes do Ubuntu<\/strong><\/h3>
sudo apt update<\/code><\/pre>sudo apt upgrade<\/code><\/pre>2. Instale o Suricata<\/strong><\/h3>
sudo apt install -y suricata<\/code><\/pre>suricata -V<\/code><\/pre><\/figure>Importante!<\/h4>\n
sudo apt list --installed | grep suricata<\/code><\/pre>sudo apt install software-properties-common<\/code><\/pre>sudo add-apt-repository ppa:oisf\/suricata-stable<\/code><\/pre>sudo apt install suricata<\/code><\/pre>tar xzvf suricata-6.0.0.tar.gz<\/code><\/pre>cd suricata-6.0.0<\/code><\/pre>.\/configure<\/code><\/pre>make<\/code><\/pre>make install<\/code><\/pre>3. Configure o Suricata<\/strong><\/h3>
sudo nano \/etc\/suricata\/suricata.yaml<\/code><\/pre>\n
4. Ativar Interfaces de Rede<\/strong><\/h3>
af-packet:\n - interface: venet0<\/code><\/pre>ip -p -j route show<\/code><\/pre>- interface: interface name\ncluster-id: 29<\/code><\/pre>5. Inicie o Suricata<\/strong><\/h3>
sudo systemctl start suricata<\/code><\/pre>sudo systemctl status suricata<\/code><\/pre><\/figure>sudo systemctl restart suricata<\/code><\/pre>sudo systemctl stop suricata<\/code><\/pre>6. Automatize a Inicialização do Suricata<\/strong><\/h3>
![\"Terminal](\"https:\/\/imagedelivery.net\/LqiWLm-3MGbYHtFuUbcBtA\/wp-content\/uploads\/sites\/53\/2024\/08\/2-suricata.png\/public\")
<\/figure>