最近打算研究suricata源码,下载并安装了稳定版3.2.3版本,操作系统是Ubuntu 16.04.2 LTS,下来描述我的操作过程;
1,安装suricata运行可能用到的库;
sudo apt-get -y install libpcre3 libpcre3-dbg libpcre3-dev
build-essential autoconf automake libtool libpcap-dev libnet1-dev
libyaml-0-2 libyaml-dev zlib1g zlib1g-dev libcap-ng-dev libcap-ng0
make libmagic-dev libjansson-dev libjansson4 pkg-config
当前只要求运行IDS,IPS模式暂时不作研究;(如有需要参考文件尾博客)
2,获取源码并解压;
VER=3.2.3
wget "http://www.openinfosecfoundation.org/download/suricata-$VER.tar.gz"
tar -xvzf "suricata-$VER.tar.gz"
cd "suricata-$VER"
我是在源码地址下载以后,直接创建了一个suricata用户,在该用户下解压了下载的源文件;
3,做安装前的准备工作,创建并配置yaml路径;
sudo mkdir /var/log/suricata 日志文件所需目录;
sudo mkdir /etc/suricata 配置文件所需目录;
配置文件拷贝到 /etc/suricata下;
sudo cp classification.config /etc/suricata
sudo cp reference.config /etc/suricata
sudo cp suricata.yaml /etc/suricata
要修改suricata.yaml中配置文件的路径,截图如下;
配置完后,进行下一步操作;
在当前路劲下创建bin文件夹 pwd: /home/suricata/suricata-3.2.3
./configure --prefix=/home/suricata/suricata-3.2.3 --sysconfdir=/etc/ --localstatedir=/var/ 指定路径 (当前的操作在编译阶段会需要库文件,找不到,是我自己的一个试验过程)
4,./configure && make && make install-rules (老老实实编译)
5, ./src/suricata -c /etc/suricata/suricata.yaml -i ens33 我本地网卡名是ens33 网上说的是直接
6,运行的时候报错,说 /etc/suricata/threshold.config ,No such file or directory
cp /home/suricata/suricata-3.2.3/threshold.config /etc/suricata/
之后,不在报错,,,log提示:
all 1 packet processing threads, 4 management threads initialized, engine started.
suricata 安装,暂时告一段落,后续会继续更新。
参考资料:
1,官方文档;https://suricata-ids.org/download/;
2,博文:http://www.cnblogs.com/qianlixiangrunzhao/articles/3655081.html