NỘI DUNG

Hosting tốc độ cao Vietnix - tốc độ tải trang trung bình dưới 1 giây
VPS siêu tốc Vietnix - trải nghiệm mượt mà, ổn định
09/05/2023
Lượt xem

Hướng dẫn cài đặt Suricata trên máy chủ Ubuntu 20.04

09/05/2023
23 phút đọc
Lượt xem

Đánh giá

5/5 - (181 bình chọn)
Banner Single Post

Suricata là một công cụ giám sát an ninh mạng (NSM-Network Security Monitoring), sử dụng các bộ chữ ký do cộng đồng và người dùng xác định (hay rule) để kiểm tra và xử lý lưu lượng truy cập. Trong bài viết này, Vietnix sẽ hướng dẫn bạn thực hiện cài đặt Suricata trên Ubuntu 20.04.

Giới thiệu về Suricata

Suricata có thể kiểm tra lịch sử đăng nhập, kích hoạt cảnh báo và chặn (drop) lưu lượng truy cập khi phát hiện các package hoặc yêu cầu khả nghi từ bất kì dịch vụ nào đang hoạt động trên máy chủ.

Công cụ giám sát an ninh mạng Suricata
Công cụ giám sát an ninh mạng Suricata

Mặc định Suricata hoạt động như một hệ thống phát hiện xâm nhập thụ động (Intrusion Detection System – IDS) để quét lưu lượng truy cập khả nghi trên máy chủ hoặc mạng bằng cách tạo và ghi lại các cảnh báo. Suricata cũng có thể cấu hình như một hệ thống ngăn chặn xâm nhập chủ động (Intrusion Prevention System – IPS) để ghi lại lịch sử hoạt động, cảnh báo và chặn hoàn toàn lưu lượng mạng phù hợp với các quy tắc cụ thể.

Bạn có thể triển khai Suricata trên host gateway trong mạng để quét tất cả lưu lượng mạng ra/vào (incoming/outgoing) từ các hệ thống khác hoặc chạy cục bộ trên các máy riêng lẻ ở một trong hai chế độ.

Yêu cầu để cài đặt Suricata trên máy chủ Ubuntu 20.04

Tùy thuộc vào cấu hình mạng và mục đích sử dụng Suricata mà bạn điều chỉnh dung lượng CPU và RAM cho server của mình. Nhìn chung, nếu bạn kiểm tra lưu lượng truy cập càng lớn thì lượng tài nguyên phân bổ cho Suricata cũng cần nhiều hơn. Trong môi trường production, theo tính toán chung, cần sử dụng ít nhất 2 CPU và từ 4-8 GB RAM để tiến hành cài đặt. Từ đó bạn có thể mở rộng quy mô tài nguyên theo hiệu suất của Suricata và lưu lượng truy cập cần xử lý.

Để làm theo hướng dẫn này, bạn cần một máy chủ Ubuntu 20.04 có 2 CPU trở lên, user non-root có quyền sudo và bật firewall. Mặt khác, nếu bạn sử dụng Suricata trên các gateway của host để giám sát và bảo vệ nhiều server, bạn cần đảm bảo mạng của host được cấu hình chính xác.

Nếu bạn đang cần máy chủ Ubuntu 20.04 với yêu cầu tối thiểu 2 CPU, hãy tham khảo các gói Cloud VPS Giá Rẻ 3, VPS BASIC 3, VPS PREMIUM 3, VPS NVME 3 trở lên tại Vietnix.

Các gói VPS của Vietnix đều được trang bị cấu hình mạnh mẽ và hoạt động ổn định, đảm bảo đáp ứng được các nhu cầu sử dụng máy chủ của bạn. Bên cạnh đó, với đội ngũ kỹ thuật giàu kinh nghiệm và tận tâm, Vietnix sẽ hỗ trợ bạn mọi vấn đề trong quá trình sử dụng máy chủ một cách hiệu quả, nhanh chóng. Liên hệ ngay với Vietnix để được tư vấn chi tiết.

Bước 1: Cài đặt Suricata

Để cài đặt Suricata, bạn cần thêm thông tin kho lưu trữ phần mềm của Tổ chức bảo mật Thông tin Mở (Open Information Security Foundation – OISF) vào hệ thống Ubuntu. Chạy lệnh sau để thêm kho lưu trữ vào hệ thống và cập nhật danh sách các package có sẵn:

$ sudo add-apt-repository ppa:oisf/suricata-stable

Nhấn ENTER khi có thông báo xác nhận bạn muốn thêm kho lưu trữ. Lệnh trên sẽ cập nhật danh sách các package có sẵn sau khi thêm kho lưu trữ mới.

Bây giờ bạn có thể cài đặt suricata package bằng lệnh apt:

$ sudo apt install suricata

Khi package đã được cài đặt, hãy kích hoạt suricata-service khi hệ thống của bạn được khởi động lại. Sử dụng lệnh sau để kích hoạt:

$ sudo systemctl enable suricata.service

Khi dịch vụ được bật, bạn sẽ nhận được kết quả sau:

Output
suricata.service is not a native service, redirecting to systemd-sysv-install.
Executing: /lib/systemd/systemd-sysv-install enable suricata

Trước khi cấu hình Suricata, hãy dừng dịch vụ bằng lệnh sau:

$ sudo systemctl stop suricata.service

Dừng Suricata đảm bảo rằng khi bạn chỉnh sửa và kiểm tra tệp cấu hình, mọi thay đổi bạn thực hiện sẽ được xác thực khi khởi động lại Suricata.

Bước 2:  Cấu hình Suricata lần đầu tiên

Package Suricata từ kho lưu trữ OISF gửi kèm theo file cấu hình bao gồm nhiều chế độ sử dụng khác nhau. Chế độ mặc định cho Suricata là chế độ IDS, vì vậy không có lưu lượng nào bị hủy mà chỉ được ghi lại. Bạn có thể chọn bật chế độ IDS, tuy nhiên cấu hình mặc định vẫn có một vài cài đặt mà bạn cần thay đổi tùy thuộc vào môi trường phát triển và mục đích sử dụng của mình.

Trong trường hợp người dùng muốn cấu hình, tích hợp Suricata vào môi trường của mình, nắm bắt rõ hơn về các hoạt động, loại traffic,… bạn có thể chọn bật chế độ IPS.

(Tùy chọn) Kích hoạt luồng ID Community

Suricata có thể bao gồm trường Community ID trong output JSON để dễ dàng khớp các bản ghi sự kiện riêng lẻ với các bản ghi trong bộ dữ liệu do các công cụ khác tạo ra.

Nếu bạn định sử dụng Suricata với các công cụ khác như Zeek hoặc Elaticsearch thì bạn nên thêm Community ID. Để bật tùy chọn, sử dụng lệnh sau:

$ sudo nano /etc/suricata/suricata.yaml

Tìm dòng 120 có nội dung # Community Flow ID nếu bạn đang sử dụng nano loại CRTL+_ và sau đó nhập vào 120 khi được nhắc nhập số dòng. Dưới dòng 120 là community-id, đặt thành true để kích hoạt cài đặt:

                              /etc/suricata/suricata.yaml
. . .
      # Community Flow ID
      # Adds a 'community_id' field to EVE records. These are meant to give
      # records a predictable flow ID that can be used to match records to
      # output of other tools such as Zeek (Bro).
      #
      # Takes a 'seed' that needs to be same across sensors and tools
      # to make the id less predictable.

      # enable/disable the community id feature.
      community-id: true
. . .

Kiểm tra lại các sự kiện sẽ có ID như 1:S+3BA2UmrHK0Pk+u3XH78GAFTtQ= để phối hợp với các bản ghi trên các công cụ NMS khác nhau.

Lưu và đóng file /etc/suricata/suricata.yaml . Nếu bạn đang sử dụng nano, bạn sẽ đóng file bằng CTRL+X, sau đó nhấn YENTER.

Xác định (các) interface sẽ sử dụng

Bạn cần ghi đè interface mặc định hoặc interface mà bạn muốn Suricata quan sát lưu lượng. File cấu hình đi kèm với gói OISF Suricata mặc định kiểm tra lưu lượng trên cổng eth0. Nếu hệ thống của bạn sử dụng một interface mạng khác hoặc nếu bạn muốn kiểm tra lưu lượng truy cập trên nhiều giao diện thì cần phải thay đổi giá trị này.

Để xác định tên thiết bị của interface, bạn có thể sử dụng lệnh sau:

$ ip -p -j route show default

Cờ -p định dạng output và cờ -j in output dưới dạng JSON. Bạn sẽ nhận được output như sau:

Output
[ {
        "dst": "default",
        "gateway": "203.0.113.254",
        "dev": "eth0",
        "protocol": "static",
        "flags": [ ]
    } ]

Dòng dev cho biết thiết bị mặc định. Trong ví dụ trên, thiết bị là eth0, output cũng có thể hiển thị tên thiết bị là ens… hoặc eno… . Hãy ghi chú lại tên thiết bị.

Bây giờ bạn có thể chỉnh sửa cấu hình của Suricata và xác minh hoặc thay đổi tên interface. Sử dụng lệnh sau:

$ sudo nano /etc/suricata/suricata.yaml

Kéo file đến dòng af-packet: , khoảng dòng 580. Nếu bạn đang sử dụng nano, bạn có thể nhập CTRL+_  và nhập số dòng. Bên dưới dòng 580 là giao diện mặc định mà Suricata sử dụng để kiểm tra lưu lượng. Chỉnh sửa eth0 để phù hợp với interface như ví dụ sau:

# Linux high speed capture support
af-packet:
  - interface: eth0
    # Number of receive threads. "auto" uses the number of cores
    #threads: auto
    # Default clusterid. AF_PACKET will load balance packets based on flow.
    cluster-id: 99
. . .

Nếu muốn kiểm tra lưu lượng trên các giao diện bổ sung, bạn có thể thêm nhiều -interface:  eth… . Ví dụ, để thêm thiết bị có tên enp0s1, kéo xuống cuối phần af-packet đến khoảng dòng 650. Để thêm giao diện mới, hãy chèn giao diện đó trước phần -interface:  default như sau:

    #  For eBPF and XDP setup including bypass, filter and load balancing, please
    #  see doc/userguide/capture-hardware/ebpf-xdp.rst for more info.

  - interface: enp0s1
    cluster-id: 98

  - interface: default
    #threads: auto
    #use-mmap: no
    #tpacket-v3: yes

Đảm bảo chọn một giá trị cluster-id duy nhất cho từng -interface.

Để mở trình chỉnh sửa và chuyển sang phần tiếp theo là nơi bạn sẽ cấu hình tải lại rule trực tiếp. Nếu bạn không muốn kích hoạt điều này thì có thể lưu và đóng file /etc/suricata/suricata.yaml. Nhấn CTRL+X, sau đó nhấn YENTER nếu bạn sử dụng nano.

Cấu hình tải lại quy tắc trực tiếp

Suricata hỗ trợ tải lại quy tắc trực tiếp, nghĩa là bạn có thể thêm, xóa và chỉnh sửa quy tắc mà không cần khởi động lại quy trình Suricata đang hoạt động. Để bật tùy chọn tải lại trực tiếp, hãy cuộn xuống cuối tệp cấu hình và thêm các dòng sau:

. . .

detect-engine:
  - rule-reload: true

Với cài đặt này, bạn có thể gửi tín hiệu hệ thống SIGUSR2 đến quy trình đang chạy và Suricata sẽ tải mọi quy tắc đã thay đổi vào bộ nhớ.

Để tải lại bộ quy tắc cho Suricata mà không cần khởi động lại quy trình, sử dụng lệnh sau:

$ sudo kill -usr2 $(pidof suricata)

Phần $(pidof suricata) gọi một subshell và tìm ID tiến trình của daemon Suricata đang chạy. Phần đầu sudo kill  -usr2 của lệnh sử dụng tiện ích kill để gửi tín hiệu SIGSR2 đến ID tiến trình được báo cáo lại bởi subshell.

Bạn có thể sử dụng lệnh này khi chạy suricata-update hoặc khi thêm và chỉnh sửa các quy tắc tùy chỉnh.

Lưu và đóng file /etc/suricata/suricata.yaml. Nếu bạn đang sử dụng nano, nhấn CTRL+X, sau đó YENTER để xác nhận.

Bước 3: Cập nhật Bộ quy tắc Suricata

Sau khi hoàn thành 2 bước như trên, nếu bạn khởi động Suricata, bạn sẽ nhận được cảnh báo không có quy tắc nào được tải:

Output
<Warning> - [ERRCODE: SC_ERR_NO_RULES(42)] - No rule files match the pattern /var/lib/suricata/rules/suricata.rules

Theo mặc định, Suricata package bao gồm một bộ quy tắc phát hiện giới hạn (trong thư mục /etc/suricata/rules), do đó khi bật Suricata tại thời điểm này chỉ phát hiện một số lưu lượng truy cập xấu.

Suricata bao gồm công cụ suricata-update, sử dụng để tìm nạp các bộ rule từ các nhà cung cấp bên ngoài. Chạy lệnh sau để tải xuống bộ quy tắc cập nhật cho server Suricata:

$ sudo suricata-update

Bạn sẽ nhận được output như sau:

Output
19/10/2021 -- 19:31:03 - <Info> -- Using data-directory /var/lib/suricata.
19/10/2021 -- 19:31:03 - <Info> -- Using Suricata configuration /etc/suricata/suricata.yaml
19/10/2021 -- 19:31:03 - <Info> -- Using /etc/suricata/rules for Suricata provided rules.
. . .
19/10/2021 -- 19:31:03 - <Info> -- No sources configured, will use Emerging Threats Open
19/10/2021 -- 19:31:03 - <Info> -- Fetching https://rules.emergingthreats.net/open/suricata-6.0.3/emerging.rules.tar.gz.
 100% - 3044855/3044855               
. . .
19/10/2021 -- 19:31:06 - <Info> -- Writing rules to /var/lib/suricata/rules/suricata.rules: total: 31011; enabled: 23649; added: 31011; removed 0; modified: 0
19/10/2021 -- 19:31:07 - <Info> -- Writing /var/lib/suricata/rules/classification.config
19/10/2021 -- 19:31:07 - <Info> -- Testing with suricata -T.
19/10/2021 -- 19:31:32 - <Info> -- Done.

Công cụ suricata-update đã tìm nạp Emerging Threats ET Open Rules miễn phí về các mối đe dọa và lưu vào file của Suricata: /var/lib/suricata/rules/suricata.rules. Ngoài ra suricata-update cũng cho biết số lượng quy tắc đã được xử lý. Trong ví dụ này, có 31011 quy tắc được thêm vào và 23649 quy tắc đã được bật.

Thêm nhà cung cấp bộ quy tắc

Công cụ suricata-update có thể tìm nạp các bộ quy tắc từ các nhà cung cấp. Bộ quy tắc ET Open mà bạn đã thêm có sẵn và miễn phí, trong khi những bộ quy tắc khác yêu cầu trả phí.

Bạn có thể sử dụng lệnh sau để liệt kê nhóm nhà cung cấp quy tắc mặc định:

$ sudo suricata-update list-sources

Bạn sẽ nhận được danh sách các nguồn như sau:

Output
. . .
19/10/2021 -- 19:27:34 - <Info> -- Adding all sources
19/10/2021 -- 19:27:34 - <Info> -- Saved /var/lib/suricata/update/cache/index.yaml
Name: et/open
  Vendor: Proofpoint
  Summary: Emerging Threats Open Ruleset
  License: MIT
. . .

Ví dụ, nếu bạn muốn thêm bộ quy tắc tgreen/hunting, bạn có thể kích hoạt bằng lệnh sau:

$ sudo suricata-update enable-source tgreen/hunting

Sau đó chạy suricata-update và bộ quy tắc mới sẽ được thêm vào, bên cạnh bộ quy tắc ET Open hiện có hoặc bộ quy tắc bất kì mà bạn đã tải xuống.

Bước 4: Xác thực cấu hình của Suricata

Sau khi đã chỉnh sửa file cấu hình bao gồm Community ID tùy chọn, chỉ định interface mạng mặc định và bật tải lại quy tắc trực tiếp, bạn nên kiểm tra cấu hình.

Suricata có chế độ kiểm tra tích hợp, kiểm tra cấu hình cùng với mọi quy tắc hợp lệ đi kèm. Xác thực các thay đổi bằng lệnh sau:

$ sudo suricata -T -c /etc/suricata/suricata.yaml -v

Cờ -T chạy Suricata ở chế độ thử nghiệm, cờ -v sẽ in một số thông tin bổ sung và cờ -c cho Suricata biết vị trí tệp cấu hình. Quá trình kiểm tra có thể mất một hoặc hai phút tùy vào dung lượng CPU bạn đã phân bổ cho Suricata và số lượng quy tắc được thêm vào.

Với bộ quy tắc ET Open mặc định, bạn sẽ nhận được output như sau:

Output
21/10/2021 -- 15:00:40 - <Info> - Running suricata under test mode
21/10/2021 -- 15:00:40 - <Notice> - This is Suricata version 6.0.3 RELEASE running in SYSTEM mode
21/10/2021 -- 15:00:40 - <Info> - CPUs/cores online: 2
21/10/2021 -- 15:00:40 - <Info> - fast output device (regular) initialized: fast.log
21/10/2021 -- 15:00:40 - <Info> - eve-log output device (regular) initialized: eve.json
21/10/2021 -- 15:00:40 - <Info> - stats output device (regular) initialized: stats.log
21/10/2021 -- 15:00:46 - <Info> - 1 rule files processed. 23879 rules successfully loaded, 0 rules failed
21/10/2021 -- 15:00:46 - <Info> - Threshold config parsed: 0 rule(s) found
21/10/2021 -- 15:00:47 - <Info> - 23882 signatures processed. 1183 are IP-only rules, 4043 are inspecting packet payload, 18453 inspect application layer, 107 are decoder event only
21/10/2021 -- 15:01:13 - <Notice> - Configuration provided was successfully loaded. Exiting.
21/10/2021 -- 15:01:13 - <Info> - cleaning up signature grouping structure... complete

Nếu có lỗi trong file cấu hình của bạn thì chế độ kiểm tra sẽ tạo mã lỗi và thông báo cụ thể để giúp bạn khắc phục sự cố. Ví dụ: file quy tắc không tồn tại test.rules sẽ tạo ra lỗi như sau:

Output
21/10/2021 -- 15:10:15 - <Info> - Running suricata under test mode
21/10/2021 -- 15:10:15 - <Notice> - This is Suricata version 6.0.3 RELEASE running in SYSTEM mode
21/10/2021 -- 15:10:15 - <Info> - CPUs/cores online: 2
21/10/2021 -- 15:10:15 - <Info> - eve-log output device (regular) initialized: eve.json
21/10/2021 -- 15:10:15 - <Info> - stats output device (regular) initialized: stats.log
21/10/2021 -- 15:10:21 - <Warning> - [ERRCODE: SC_ERR_NO_RULES(42)] - No rule files match the pattern /var/lib/suricata/rules/test.rules

Với lỗi trên, bạn có thể chỉnh sửa file cấu hình, bao gồm đường dẫn chính xác hoặc sửa các cấu hình và biến không hợp lệ.

Khi chế độ thử nghiệm Suricata của bạn chạy thành công, bạn có thể chuyển sang bước tiếp theo, đó là khởi động Suricata ở chế độ daemon.

Bước 5: Chạy Suricata

Bây giờ bạn đã có cấu hình và bộ quy tắc Suricata hợp lệ, bạn có thể khởi chạy server Suricata. Chạy lệnh sau:

$ sudo systemctl start suricata.service

Bạn có thể kiểm tra trạng thái của Suricata bằng lệnh:

$ sudo systemctl status suricata.service

Bạn sẽ nhận được output như sau:

Output
● suricata.service - LSB: Next Generation IDS/IPS
     Loaded: loaded (/etc/init.d/suricata; generated)
     Active: active (running) since Thu 2021-10-21 18:22:56 UTC; 1min 57s ago
       Docs: man:systemd-sysv-generator(8)
    Process: 22636 ExecStart=/etc/init.d/suricata start (code=exited, status=0/SUCCESS)
      Tasks: 8 (limit: 2344)
     Memory: 359.2M
     CGroup: /system.slice/suricata.service
             └─22656 /usr/bin/suricata -c /etc/suricata/suricata.yaml --pidfile /var/run/suricata.pid --af-packet -D -vvv

Oct 21 18:22:56 suricata systemd[1]: Starting LSB: Next Generation IDS/IPS...
Oct 21 18:22:56 suricata suricata[22636]: Starting suricata in IDS (af-packet) mode... done.
Oct 21 18:22:56 suricata systemd[1]: Started LSB: Next Generation IDS/IPS.

Suricata sẽ mất từ một đến hai phút để tải và phân tích cú pháp tất cả các quy tắc. Để xem thông báo cụ thể, sử dụng lệnh sau:

$ sudo tail -f /var/log/suricata/suricata.log

Đợi cho đến khi nhận được output sau:

Output
19/10/2021 -- 19:22:39 - <Info> - All AFP capture threads are running.

Dòng này cho biết Suricata đang chạy và sẵn sàng kiểm tra lưu lượng. Bạn có thể thoát lệnh tail bằng cách sử dụng CTRL+C.

Sau khi xác minh rằng Suricata đang chạy, hãy chuyển sang bước tiếp theo.

Bước 6: Kiểm tra quy tắc Suricata

Bộ quy tắc ET Open mà bạn đã tải xuống chứa hơn 30000 quy tắc. Chạy lệnh sau để tạo yêu cầu HTTP, yêu cầu này sẽ trả về phản hồi phù hợp với quy tắc cảnh báo của Suricata:

Đối với bài hướng dẫn, chỉ với việc test qua Suricata để phát hiện các bất thường trên luồng lưu lượng truy cập bằng cấu hình vừa tạo là chưa đủ. Người dùng được khuyến nghị nên test các quy tắc ET Open với số 2100498 bằng lệnh curl.

$ curl http://testmynids.org/uid/index.html

Lệnh curl sẽ xuất ra phản hồi như sau:

Output
uid=0(root) gid=0(root) groups=0(root)

Bây giờ bạn có thể kiểm tra nhật kí của Suricata để biết cảnh báo tương ứng. Có hai nhật kí được bật với cấu hình Suricata mặc định. Đầu tiên là /var/log/suricata/fast.log và thứ hai là đăng nhập có thể đọc được bằng máy /var/log/suricata/eve.log.

Kiểm tra /var/log/suricata/fast.log

Để kiểm tra mục nhập lịch sử đăng nhập /var/log/suricata/fast.log đã phải hồi lại curl request của người dùng, dùng quy tắc thứ 2100498 từ tài liệu Quickstart và hãy sử dụng lệnh sau:

$ grep 2100498 /var/log/suricata/fast.log

Nếu yêu cầu của bạn sử dụng IPv6, bạn sẽ nhận được output như sau, 2001:DB8 ::1 là địa chỉ IPv6 công khai của hệ thống:

Output
10/21/2021-18:35:54.950106  [**] [1:2100498:7] GPL ATTACK_RESPONSE id check returned root [**] [Classification: Potentially Bad Traffic] [Priority: 2] {TCP} 2600:9000:2000:4400:0018:30b3:e400:93a1:80 -> 2001:DB8::1:34628

Nếu yêu cầu của bạn sử dụng IPv4, output nhận được như sau, 203.0.113.1 là địa chỉ IPv4 công khai của hệ thống:

Output
10/21/2021-18:35:57.247239  [**] [1:2100498:7] GPL ATTACK_RESPONSE id check returned root [**] [Classification: Potentially Bad Traffic] [Priority: 2] {TCP} 204.246.178.81:80 -> 203.0.113.1:36364

Lưu ý giá trị 2100498 là Signature ID mà Suricata sử dụng để xác định quy tắc.

Kiểm tra /var/log/suricata/eve.log

Suricata cũng ghi lại các sự kiện /var/log/suricata/eve.log bằng cách sử dụng JSON để định dạng các mục nhập.

Tài liệu Suricata khuyến nghị sử dụng tiện ích jq để đọc-lọc các mục nhập trong file. Cài đặt jq (nếu chưa có) bằng lệnh apt:

$ sudo apt install jq

Khi bạn đã cài đặt jq, bạn có thể lọc các sự kiện trong nhật kí EVE bằng cách tìm kiếm chữ kí 2100498:

$ jq 'select(.alert .signature_id==2100498)' /var/log/suricata/eve.json

Lệnh trên kiểm tra từng mục nhập JSON và in bất kì mục nhập nào có đối tượng alert, với khóa signature-id khớp với giá trị 2100498 mà bạn đang tìm kiếm. Output của lệnh trên như sau:

Output
{
  "timestamp": "2021-10-21T19:42:47.368856+0000",
  "flow_id": 775889108832281,
  "in_iface": "eth0",
  "event_type": "alert",
  "src_ip": "203.0.113.1",
  "src_port": 80,
  "dest_ip": "147.182.148.159",
  "dest_port": 38920,
  "proto": "TCP",
  "community_id": "1:XLNse90QNVTgyXCWN9JDovC0XF4=",
  "alert": {
    "action": "allowed",
    "gid": 1,
    "signature_id": 2100498,
    "rev": 7,
    "signature": "GPL ATTACK_RESPONSE id check returned root",
    "category": "Potentially Bad Traffic",
. . .
}

Lưu ý, “signature-id “ : 2100498 là khóa jq được tìm kiếm. Khóa community-id là Mã định danh luồng cộng đồng mà bạn đã bật trong tệp cấu hình của Suricata. Mỗi cảnh báo sẽ tạo một Mã định danh luồng cộng đồng duy nhất. Các công cụ NMS khác cũng có thể tạo cùng một mã định danh để tham chiếu chéo một cảnh báo Suricata với output từ các công cụ khác.

Bước 7: Xử lý cảnh báo Suricata

Khi bạn đã thiết lập và kiểm tra các cảnh báo, bạn có thể chọn cách xử lý các cảnh báo trên. Đối với một số trường hợp, cảnh báo ghi lại lịch sử đăng nhập, hoặc bạn có thể chặn lưu lượng truy cập từ các hệ thống tạo cảnh báo.

Nếu bạn muốn chặn lưu lượng truy cập dựa trên các cảnh báo mà Suricata tạo ra, bạn có thể sử dụng các mục nhập từ lịch sử đăng nhập EVE, sau đó thêm các quy tắc firewall để hạn chế quyền truy cập vào các hệ thống của bạn. Bạn có thể sử dụng công cụ jq để trích xuất các trường cụ thể từ cảnh báo, sau đó thêm quy tắc UFW hoặc IPtables để chặn yêu cầu. Bạn cần có kiến thức về các hệ thống và giao thức mà môi trường của bạn để xác định lưu lượng nào là hợp lệ và lưu lượng nào cần chặn.

Như vậy bạn đã hoàn tất việc cài đặt Suricata trên Ubuntu 20.04. Nếu cần máy chủ VPS để triển khai thực hiện theo hướng dẫn trong bài viết, bạn có thể tham khảo lựa chọn các gói VPS tại Vietnix. Bên cạnh việc cung cấp dịch vụ chất lượng cao, Vietnix còn khẳng định vị thế trên thị trường VPS tốc độ cao tại Việt Nam qua những điểm mạnh sau:

  • 10 năm kinh nghiệm.
  • Hơn 50.000 khách hàng trong và ngoài nước tin chọn sử dụng.
  • Hơn 100.000 dịch vụ đã được kích hoạt.
  • Nhận giải Thương hiệu Việt Nam xuất sắc 2022.
  • 97% khách hàng sử dụng VPS tại Vietnix có phản hồi tốt và giới thiệu cho người quen.

Liên hệ ngay với Vietnix để được tư vấn chi tiết và nhận ưu đãi hấp dẫn ngay hôm nay.

  • Địa chỉ: 265 Hồng Lạc, Phường 10, Quận Tân Bình, Thành Phố Hồ Chí Minh
  • Hotline: 1800 1093 – 07 088 44444
  • Email: sales@vietnix.com.vn

Lời kết

Trong hướng dẫn cài đặt Suricata trên Ubuntu 20.04 này, bạn đã cài đặt Suricata từ kho lưu trữ phần mềm OISF. Cài đặt Suricata theo bài viết này đảm bảo rằng bạn có thể cập nhật được những phiên bản mới nhất của Suricata. Cảm ơn bạn đã đọc bài viết, chúc các bạn cài đặt thành công.

THEO DÕI VÀ CẬP NHẬT CHỦ ĐỀ BẠN QUAN TÂM

Đăng ký ngay để nhận những thông tin mới nhất từ blog của chúng tôi. Đừng bỏ lỡ cơ hội truy cập kiến thức và tin tức hàng ngày

Chọn chủ đề :

Hưng Nguyễn

Co-Founder
tại

Kết nối với mình qua

Kết nối với mình qua

Theo dõi
Thông báo của
guest
0 Comments
Phản hồi nội tuyến
Xem tất cả bình luận

Tăng tốc độ website - Nâng tầm giá trị thương hiệu

Tăng tốc tải trang

95 điểm

Nâng cao trải nghiệm người dùng

Tăng 8% tỷ lệ chuyển đổi

Thúc đẩy SEO, Google Ads hiệu quả

Tăng tốc ngay

SẢN PHẨM NỔI BẬT

7 NGÀY DÙNG THỬ HOSTING

NẮM BẮT CƠ HỘI, THÀNH CÔNG DẪN LỐI

Cùng trải nghiệm dịch vụ hosting tốc độ cao được hơn 100,000 khách hàng sử dụng

ĐĂNG KÝ NHẬN TÀI LIỆU THÀNH CÔNG
Cảm ơn bạn đã đăng ký nhận tài liệu mới nhất từ Vietnix!
ĐÓNG

ĐĂNG KÝ DÙNG THỬ HOSTING

7 NGÀY MIỄN PHÍ

ĐĂNG KÝ DÙNG THỬ HOSTING

7 NGÀY MIỄN PHÍ

XÁC NHẬN ĐĂNG KÝ DÙNG THỬ THÀNH CÔNG
Cảm ơn bạn đã đăng ký thông tin thành công. Đội ngũ CSKH sẽ liên hệ trực tiếp để kích hoạt dịch vụ cho bạn nhanh nhất!
ĐÓNG

Chỉ số tăng trưởng

Điểm Desktop

100 (+39)

Điểm Mobile

100 (+67)

Core Web Vitals

Passed

Lĩnh vực

Ecommerce

Chỉ số tăng trưởng

Điểm Desktop

99 (+28)

Điểm Mobile

100 (+50)

Core Web Vitals

Passed

Lĩnh vực

SEO

Chỉ số tăng trưởng

Điểm Desktop

99 (+26)

Điểm Mobile

98 (+59)

Core Web Vitals

Passed

Lĩnh vực

Ecommerce

Chỉ số tăng trưởng

Điểm Desktop

100 (+8)

Điểm Mobile

98 (+35)

Core Web Vitals

Passed

Lĩnh vực

Giáo Dục

Chỉ số tăng trưởng

Điểm Desktop

100 (+61)

Điểm Mobile

100 (+61)

Core Web Vitals

Passed

Lĩnh vực

Giáo Dục

Võ Thiên Tòng

25 Tháng 2 lúc 21:09

·

Mình muốn gửi lời cảm ơn chân thành đến Team Vietnix, anh Hưng Nguyễn, anh Vietnix Trung, em Quốc Huy đã hỗ trợ tối ưu Page Speed Insight (PSI) cho website vanvoiminhhoa.vn của mình.
Biết đến anh Hưng đã lâu nhưng chưa có duyên sử dụng dịch vụ bên anh. Tình cờ thấy được bài Post của anh về việc hỗ trợ tối ưu PSI miễn phí chỉ với vài Slot, thấy AE cmt khá nhiều nên cũng không nghĩ tới lượt mình. Hôm sau đánh liều inbox 1 phen xem sao thì may mắn được đưa vào danh sách. Vài ngày sau được Team Vietnix liên hệ và hỗ trợ.
Kết quả đạt được:
• Điểm xanh lè xanh lét
• Tốc độ tải trang nhanh hơn hẳn
• Các chỉ số cũng được cải thiện đáng kể
• Và mình tin rằng với việc PSI được cải thiện cũng thúc đẩy những thứ khác đi lên theo!
Mình thực sự hài lòng với dịch vụ của Vietnix và muốn giới thiệu đến tất cả mọi người:
• Dịch vụ Wordpress Hosting: Tốc độ nhanh, ổn định, bảo mật cao, hỗ trợ kỹ thuật 24/7. (https://vietnix.vn/wordpress-hosting/)
• Dịch vụ Business Hosting: Dung lượng lớn, phù hợp cho website có lượng truy cập cao, tích hợp nhiều tính năng cao cấp. (https://vietnix.vn/business-hosting/)
Đặc biệt, Vietnix đang có chương trình ưu đãi:
• Giảm giá 20% trọn đời khi nhập code THIENTONG_PAGESPEED tại trang thanh toán (Chu kỳ 12 tháng trở lên)
• Tặng 1 lần tối ưu điểm Page Speed Insight cho 1 website
Cám ơn Vietnix một lần nữa!
#Vietnix #Vanvoiminhhoa #Pagespeedinsight
Trước khi tối ưu
Sau khi tối ưu
Thiện Nguyễn - CEO SEO Dạo

5 Tháng 3 lúc 16:21

·

CORE WEB VITAL YẾU TỐ XẾP HẠNG TÌM KIẾM SEO
Core Web Vitals là một tập hợp các chỉ số đo lường hiệu suất của trang web từ góc độ người dùng, được Google sử dụng để đánh giá trải nghiệm người dùng trên các trang web. Các chỉ số chính bao gồm:
– Largest contentful paint (LCP): Tốc độ render của page. Mục tiêu là dưới 2,5 giây.
– First input delay (FID): Tốc độ phản hồi của website với tương tác của người dùng. Mục tiêu là dưới 100ms.
– Cumulative Layout Shift (CLS): Độ ổn định của bố cục trang. Mục tiêu là dưới 0.1.
Tất cả các chỉ số này đo lường các khía cạnh quan trọng của trải nghiệm người dùng trên trang web. Google đã công bố rằng từ tháng 5 năm 2021, các Core Web Vitals sẽ được sử dụng làm một trong các yếu tố đánh giá trong việc xếp hạng trang web trên kết quả tìm kiếm. Do đó, hiểu và cải thiện các Core Web Vitals là rất quan trọng đối với SEO.
Tóm lại, Core Web Vitals không chỉ giúp cải thiện hiệu suất và xếp hạng trang web trên công cụ tìm kiếm, mà còn cải thiện trải nghiệm của người dùng khi họ truy cập và tương tác với trang website.
P/s: mình đang có gói hỗ trợ đặc biệt cho anh em tối ưu tốc độ bên VIETNIX:
– Giảm 20% lifetime dịch vụ Hosting Business và Hosting Wordpress chu kỳ 12 tháng trở lên.
– Tặng 1 lần tối ưu điểm Page Speed Insight cho 1 website.
Anh em có nhu cầu đăng ký qua bạn Vietnix Trung này nhé và nhập mã SEODAO_PAGESPEED để được ưu đãi nhé.😁
Trước khi tối ưu
Sau khi tối ưu SEO Dạo
Icharm review

5 Tháng 3 lúc 15:43

·

[Mình vừa được hỗ trợ tối ưu page speed website]
Trước khi được tối ưu, web của mình điểm rất thấp, đặc biệt là mobile chỉ có 39. Cơ duyên thế nào lúc lướt face lại va phải chương trình tối ưu pagespeed bên Vietnix.
Sau khi được Trần Hoàng Phúc và team Vietnix hỗ trợ nhiệt tình, điểm web vọt lên 98 99 (như hình bên dưới). Dùng thử web thì thấy quá là mượt, 10 điểm cho team Vietnix.
Nói thật thì mình thật sự ấn tượng về sự nhiệt huyết, tận tâm và rất chuyên nghiệp bên Vietnix.
Anh em có nhu cầu về hosting hay có vấn đề về website như:
1. Web load chậm
2. Khách rời web vì đợi tải nội dung, hình ảnh lâu
3. Hay tất tần tật mọi thứ về website
THÌ LIÊN HỆ NGAY VIETNIX NHÉ!
Và đừng quên dùng pass “ICHARM_PAGESPEED” để được giảm 20% trọn đời hosting business và wp hosting. Quả code này còn được tặng 1 lần tối ưu pagespeed nữa nhé, ưu đãi chắc cũng phải nhất nhì thị trường luôn.
Trước khi tối ưu
Sau khi tối ưu
Hoàng Nguyễn

29 Tháng 2 lúc 17:04

·

Xin chào mọi người! Vừa rồi mình có sử dụng dịch vụ tối ưu website, tăng tốc độ tải trang pagespeed của Vietnix kết quả trên cả tuyệt vời nên mình viết bài này để chia sẻ thông tin với các bạn.
Lý do mình chọn dịch vụ tối ưu tốc độ website của Vietnix:
✅ Đội ngũ chuyên gia giàu kinh nghiệm: Đã tối ưu thành công cho hàng nghìn website trong nhiều lĩnh vực khác nhau. Các bạn nhân viên rất thân thiện, nhiệt tình và chủ động trong quá trình làm việc để cập nhật tiến độ.
✅ Quy trình chuyên nghiệp:
– Kiểm tra và phân tích: Vietnix sử dụng các công cụ tiên tiến để kiểm tra và phân tích tốc độ website của bạn.
– Xác định nguyên nhân: Vietnix xác định nguyên nhân khiến website tải chậm và đưa ra giải pháp tối ưu phù hợp.
– Tối ưu hóa website: Vietnix áp dụng các kỹ thuật tối ưu tiên tiến nhất để tăng tốc độ tải trang.
– Báo cáo kết quả: Vietnix cung cấp báo cáo chi tiết về kết quả tối ưu hóa website.
Công nghệ tiên tiến: Vietnix sử dụng các công nghệ tối ưu mới nhất như LiteSpeed, LSCache, Memcached, Redis, v.v.
✅ Cam kết kết quả: Vietnix cam kết tăng tốc độ website của bạn lên tối thiểu 90%.
✅ Giá cả cạnh tranh: Vietnix cung cấp dịch vụ tối ưu tốc độ website với mức giá cạnh tranh nhất trên thị trường.
📣 Để đăng ký sử dụng dịch vụ tối ưu tốc độ website và các dịch vụ khác như hosting, vps, domain… các bạn có thể đăng ký tại https://portal.vietnix.vn/aff.php?aff=57 hoặc Inbox cho sếp Vietnix Trung nhé.
Các bạn có thể kiểm tra tốc độ trang của mình https://lasan.edu.vn hoặc một vài trang khác đã sử dụng dịch vụ của Vietnix như sau:
https://pagespeed.web.dev/…/https…/v8beqewyt2…
https://pagespeed.web.dev/…/https…/etiohjvtl4…
https://pagespeed.web.dev/…/https…/yczuqpw6d1…
https://pagespeed.web.dev/…/https…/xf9y65kuzk…
https://pagespeed.web.dev/…/https…/fdrsms15en…
https://pagespeed.web.dev/…/https…/s7p9cgzeri…
Trước khi tối ưu
Sau khi tối ưu
Dũng cá xinh

30 Tháng 1 lúc 19:09

·

[Đỉnh]
Em có dùng hosting, vps, cloud vps, cloud server, dedicated server của rất nhiều bên từ trong nước đến nước ngoài để hosting khoảng 2,000+ domain. Mỗi bên đều có ưu nhược khác nhau, nhưng có 1 số bên đặc biệt “bá đạo”, trong đó có: Vietnix!!!!

Lần đầu tiên em được cả CEO Hưng Nguyễn lẫn Master về dev Vietnix Trung của 1 đơn vị hàng đầu liên quan đến Hosting, Server support từ A – Z (từ Zalo, Tele, đến FB và cả Phone)

Em có khá nhiều web dạng Big Data (bài, ảnh, database, data) lên đến hàng trăm Gb. Càng to thì nó càng có nhiều vấn đề về phần phản hồi ban đầu (nhược điểm cố hữu của php wordpress so với nativejs, reactjs, html, headless,…), và anh em Vietnix có nhã ý hỗ trợ xử lý phần Speed Insight này.

Kết quả thực sự kinh ngạc, từ cách trao đổi đến xử lý vấn đề, cut off những cái cần cut off, xử lý rất sâu vấn đề và gợi ý rất nhiều ý tưởng optimize hệ thống!!!! Thực sự quá hài lòng về kết quả cũng như cách tương tác của các đầu tầu bên Vietnix ^^!!!

Nhân cơ duyên được kết nối với những cao thủ của Vietnix, em xin chia sẻ và lan tỏa để nhiều anh em có cơ hội được sử dụng những dịch vụ tốt nhất với giá vô cùng hợp lý!!!!

1 – Với anh em chưa có hosting, em đặc biệt recommend sử dụng hosting bên Vietnix:
– Sử dụng mã DUNGCAXINH_PAGESPEED sẽ được giảm 20% trọn đời (lifetime luôn)
– Áp dụng các gói Hosting Business, Hosting wordpress và reg 1 năm trở lên
– Anh em chưa biết cách reg thì còm men hoặc ib để em hướng dẫn hoặc nhờ các bạn bên Vietnix support từ A – Z

2 – Anh em có hosting rồi và muốn build blog hoặc web = wordpress mà chưa có giao diện thì nhân tiện em đang có tài khoản Premium bên Envato, em sẽ tặng bất kỳ giao diện nào có trên Envato Themes (Link em để dưới còm men) ạ. Cả nhà còm hoặc ib em Themes mà mọi người “chim ưng”, em sẽ cho anh em tải về, up drive và gửi ạ!!! (Chương trình này kéo dài đến ngày 29 tết âm lịch ạ)

3 – BEST NHẤT luôn!!!! Anh em nào mua hosting dùng mã DUNGCAXINH_PAGESPEED sẽ được tối ưu 100 điểm tốc độ cho 1 web (đây là ưu đãi riêng của CEO Hưng Nguyễn dành cho bạn bè của #dungcaxinh ^^) (Giá trị nhất là cái vụ số 3 này anh chị em nhé ^^), cơ hội vàng để move về đơn vị hosting uy tín là đây ^^!!!!

Một lần nữa xin chân thành cám ơn 2 đồng chí em: Hưng Nguyễn và Vietnix Trung đã giải được một bài toán khó cho các trang WP Big data mà anh loay hoay bao lâu nay chưa tìm ra đáp án!!! Chúc Vietnix ngày càng phát triển và có một năm 2024 đại đại thắng nhé ^^ !!!!!
#SEO #Vietnix #dungcaxinh

Trước khi tối ưu
Sau khi tối ưu
Hiếu AI

2 Tháng 2 lúc 21:06

·

UY TÍN – TẬN TÂM – TỐC ĐỘ

3 từ trên là vẫn chưa đủ để nói về quy trình làm việc cực chuyên nghiệp của team Vietnix.Chuyện là mình có con website chính đang có lượt truy cập organic hàng ngày cũng tương đối (hình 1)

Vấn đề là, con site này đang nằm trên hosting dùng chung nên tốc độ load chưa nhanh, tốc độ load chưa nhanh thì trải nghiệm visitor chưa tốt, trải nghiệm visitor chưa tốt thì tỷ lệ chuyển đổi ra đơn hàng kiểu gì thì kiểu cũng sẽ bị ảnh hưởng.

Biết rõ là đang mất tiền nhưng không biết xử lý như lào, nghĩ mà cay.

Đang loay hoay thì vận may nó tới, hôm qua đang lướt phở bò thấy a Nguyễn Việt Dũng đăng bài, rảnh nên thả cái comment hóng hớt, ai ngờ ngoằng phát thấy ông Dũng tạo nhóm với Vietnix Trung luôn.

Ae Vietnix thì siêu tốc độ, lập tức lấy thông tin vào việc, không hỏi han lằng nhằng, không kỳ kèo chốt đơn dù lúc đấy cũng đang đêm muộn.
Sáng hôm sau dậy vẫn còn đang lơ ngơ mở điện thoại check tin nhắn thì đã thấy ae Vietnix báo xong việc, trong khi mình vẫn chưa biết có chuyện gì xảy ra @@.

Được cái bấm thử website thì thấy load siêu nhanh, chưa tới một giây là thông tin các thứ hiện hết. Quá phê, thả con ảnh trước sau (hình 2,3) để ace tiện đối chiếu nhé. Thế này thì mình gửi gắm nốt 15 em website còn lại cho team Vietnix thôi chứ không cần nghĩ ngợi gì nữa. 10/10.

Nên là:

  1. Anh chị em muốn có một con website tốc độ load nhanh như tốc độ trở mặt của nyc – Dùng ngay dịch vụ hosting của Vietnix
  2. Anh chị em có website rồi muốn tìm bên hosting uy tín, chuyên nghiệp hỗ trợ không quản ngày đêm – Liên hệ ngay Vietnix Trung
  3. Anh chị em quan tâm đến trải nghiệm khách hàng, từ những cái nhỏ nhất như tăng tốc độ website – Better call Vietnix Trung

Và đừng quên dùng pass “HIEUAI_PAGESPEED” để được giảm 20% trọn đời hosting business và wp hosting, quả code này còn được tặng 1 lần tối ưu pagespeed nữa nhé, ưu đãi chắc cũng phải nhất nhì thị trường luôn.
#SEO #Vietnix #hieuai

Website
Trước khi tối ưu
Sau khi tối ưu

Chỉ số tăng trưởng

Điểm Desktop

100 (+43)

Điểm Mobile

100 (+74)

Core Web Vitals

Passed

Lĩnh vực

AI