Suricata als IPS mit systemd starten

Aus Xinux Wiki
Version vom 24. April 2025, 16:59 Uhr von Thomas.will (Diskussion | Beiträge) (Die Seite wurde neu angelegt: „ =Die Standard-Installation von Suricata unter Debian startet im IDS-Modus= Für den Betrieb im IPS-Modus über NFQUEUE ist eine eigene systemd-Service-Datei…“)
(Unterschied) ← Nächstältere Version | Aktuelle Version (Unterschied) | Nächstjüngere Version → (Unterschied)
Zur Navigation springen Zur Suche springen

Die Standard-Installation von Suricata unter Debian startet im IDS-Modus

Für den Betrieb im IPS-Modus über NFQUEUE ist eine eigene systemd-Service-Datei erforderlich.

Bestehende Service-Datei kopieren
  • cp /lib/systemd/system/suricata.service /etc/systemd/system/suricata-ips.service
  • vim /etc/systemd/system/suricata-ips.service
[Unit]
Description=Suricata IDS/IDP daemon
After=network.target network-online.target
Requires=network-online.target
Documentation=man:suricata(8) man:suricatasc(8)
Documentation=https://suricata-ids.org/docs/

[Service]
Type=forking
PIDFile=/run/suricata.pid
ExecStart=/usr/bin/suricata -D -q 0 -c /etc/suricata/suricata.yaml --pidfile /run/suricata.pid
ExecReload=/usr/bin/suricatasc -c reload-rules ; /bin/kill -HUP $MAINPID
ExecStop=/usr/bin/suricatasc -c shutdown
Restart=on-failure
ProtectSystem=full
ProtectHome=true

[Install]
WantedBy=multi-user.target

Todo

systemd-Konfiguration neu laden
  • systemctl daemon-reexec
  • systemctl daemon-reload
neuen IPS-Dienst aktivieren und starten
  • systemctl enable --now suricata-ips.service
optional
IDS-Dienst deaktivieren:
  • systemctl disable suricata.service
Status oder Logausgabe prüfen
  • journalctl -u suricata-ips.service -f
Abgerufen von „http://wiki.ixheim.de/index.php?title=Suricata_als_IPS_mit_systemd_starten&oldid=62223