Suricata als IPS mit systemd starten: Unterschied zwischen den Versionen
Zur Navigation springen
Zur Suche springen
(Die Seite wurde neu angelegt: „ =Die Standard-Installation von Suricata unter Debian startet im IDS-Modus= Für den Betrieb im IPS-Modus über NFQUEUE ist eine eigene systemd-Service-Datei…“) |
(→Todo) |
||
| (4 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt) | |||
| Zeile 1: | Zeile 1: | ||
| − | |||
=Die Standard-Installation von Suricata unter Debian startet im IDS-Modus= | =Die Standard-Installation von Suricata unter Debian startet im IDS-Modus= | ||
| − | + | ==Ist der Suricata Service enabled?== | |
| + | *systemctl is-enabled suricata | ||
| + | ;Wenn ja disablen wir ihn. | ||
| + | *systemctl disable suricata | ||
| + | ==Neue Service Datei für Suricata-IPS erstellen== | ||
Für den Betrieb im IPS-Modus über NFQUEUE ist eine eigene systemd-Service-Datei erforderlich. | Für den Betrieb im IPS-Modus über NFQUEUE ist eine eigene systemd-Service-Datei erforderlich. | ||
| − | |||
| − | |||
* vim /etc/systemd/system/suricata-ips.service | * vim /etc/systemd/system/suricata-ips.service | ||
<pre> | <pre> | ||
[Unit] | [Unit] | ||
| − | Description=Suricata | + | Description=Suricata IPS daemon |
After=network.target network-online.target | After=network.target network-online.target | ||
Requires=network-online.target | Requires=network-online.target | ||
| Zeile 28: | Zeile 29: | ||
WantedBy=multi-user.target | WantedBy=multi-user.target | ||
</pre> | </pre> | ||
| + | |||
=Todo= | =Todo= | ||
;systemd-Konfiguration neu laden: | ;systemd-Konfiguration neu laden: | ||
| Zeile 34: | Zeile 36: | ||
;neuen IPS-Dienst aktivieren und starten: | ;neuen IPS-Dienst aktivieren und starten: | ||
* systemctl enable --now suricata-ips.service | * systemctl enable --now suricata-ips.service | ||
| − | |||
| − | |||
;Status oder Logausgabe prüfen: | ;Status oder Logausgabe prüfen: | ||
* journalctl -u suricata-ips.service -f | * journalctl -u suricata-ips.service -f | ||
| + | ;Aktivitäten des IPS | ||
| + | *tail -f /var/log/suricata/fast.log | ||
Aktuelle Version vom 3. Juli 2025, 08:28 Uhr
Die Standard-Installation von Suricata unter Debian startet im IDS-Modus
Ist der Suricata Service enabled?
- systemctl is-enabled suricata
- Wenn ja disablen wir ihn.
- systemctl disable suricata
Neue Service Datei für Suricata-IPS erstellen
Für den Betrieb im IPS-Modus über NFQUEUE ist eine eigene systemd-Service-Datei erforderlich.
- vim /etc/systemd/system/suricata-ips.service
[Unit] Description=Suricata IPS daemon After=network.target network-online.target Requires=network-online.target Documentation=man:suricata(8) man:suricatasc(8) Documentation=https://suricata-ids.org/docs/ [Service] Type=forking PIDFile=/run/suricata.pid ExecStart=/usr/bin/suricata -D -q 0 -c /etc/suricata/suricata.yaml --pidfile /run/suricata.pid ExecReload=/usr/bin/suricatasc -c reload-rules ; /bin/kill -HUP $MAINPID ExecStop=/usr/bin/suricatasc -c shutdown Restart=on-failure ProtectSystem=full ProtectHome=true [Install] WantedBy=multi-user.target
Todo
- systemd-Konfiguration neu laden
- systemctl daemon-reexec
- systemctl daemon-reload
- neuen IPS-Dienst aktivieren und starten
- systemctl enable --now suricata-ips.service
- Status oder Logausgabe prüfen
- journalctl -u suricata-ips.service -f
- Aktivitäten des IPS
- tail -f /var/log/suricata/fast.log