Suricata Installation · 4 min read · Sep 24, 2025

So installieren Sie Suricata IDS auf Ubuntu 24.04 Server

Suricata ist ein Open-Source-IDS (Intrusion Detection System) und IPS (Intrusion Prevention System), das von OSIF (Open Infosec Foundation) entwickelt wurde. Es kann den Netzwerkverkehr überwachen und untersuchen und jedes Paket verarbeiten, um bösartige Netzwerkaktivitäten zu erkennen. Sie können Protokollereignisse einrichten, Alarme auslösen und sogar den Verkehr bei verdächtigen Netzwerkaktivitäten blockieren.

Dieses Tutorial zeigt Ihnen, wie Sie Suricata IDS auf dem Ubuntu 24.04-Server installieren. Sie werden Suricata installieren und konfigurieren, ET-Signaturen und -Regeln herunterladen und dann Suricata im Hintergrund als systemd-Dienst starten.

Voraussetzungen

Um mit diesem Leitfaden zu beginnen, stellen Sie sicher, dass Sie Folgendes haben:

  • Einen Ubuntu 24.04-Server.
  • Einen Nicht-Root-Benutzer mit Administratorrechten.

Installation aus dem Quellcode

In diesem Abschnitt lernen Sie, wie Sie Suricata aus dem Quellcode installieren, indem Sie es manuell auf Ihrem System kompilieren. Zuvor installieren Sie die Paketabhängigkeiten für die Kompilierung von Suricata.

Zuerst führen Sie den folgenden Befehl aus, um Ihr Ubuntu-Paket-Index zu aktualisieren und die Build-Abhängigkeiten zu installieren. Geben Sie ‘ Y ‘ ein, um die Installation zu bestätigen.

sudo apt update  
sudo apt install autoconf automake build-essential cargo \  
cbindgen libjansson-dev libpcap-dev libcap-ng-dev libmagic-dev liblz4-dev libpcre2-dev libtool \  
libyaml-dev make pkg-config rustc zlib1g-dev

install deps

Gehen Sie nun in das Verzeichnis ‘ /usr/src ‘ und führen Sie den folgenden Befehl aus, um den Suricata-Quellcode herunterzuladen und zu extrahieren.

cd /usr/src
wget https://www.openinfosecfoundation.org/download/suricata-7.0.6.tar.gz  
tar -xf suricata-7.0.6.tar.gz

Gehen Sie in das Verzeichnis ‘ suricata-7.0.6 ‘ und konfigurieren Sie die Suricata-Kompilierung mit folgendem Befehl. Damit richten Sie die Suricata-Binärdatei im Verzeichnis ‘ /usr/bin ‘, die Suricata-Konfiguration im Verzeichnis ‘ /etc/suricata ‘ und das Datenverzeichnis im Verzeichnis ‘ /var/lib/suricata ‘ ein.

cd suricata-7.0.6/  
./configure --enable-nfqueue --prefix=/usr --sysconfdir=/etc --localstatedir=/var

configure suricata compile

Nachdem der Prozess abgeschlossen ist, kopieren und installieren Sie Suricata mit dem folgenden Befehl.

sudo make && sudo make install-full

Sobald die Installation abgeschlossen ist, sehen Sie Folgendes:

compile and install-full

Führen Sie zuletzt den folgenden Befehl aus, um die ‘ suricata ‘ Binärdatei zu finden und ihre Version zu überprüfen.

which suricata  
suricata --build-info

Im folgenden Ausgabe sehen Sie, dass Suricata ‘ 7.0.6 ‘ im Verzeichnis ‘ /usr/bin/suricata ‘ installiert ist.

check version

Installation über PPA-Repository

Wenn Sie Suricata über APT installieren möchten, müssen Sie das Suricata-PPA-Repository zu Ihrem Ubuntu-System hinzufügen. Stellen Sie außerdem sicher, dass das Paket ‘ software-properties ‘ installiert ist.

Fügen Sie das PPA-Repository für Suricata mit folgendem Befehl hinzu:

sudo add-apt-repository ppa:oisf/suricata-stable

add ppa

Aktualisieren Sie nun Ihr Ubuntu-Paket-Index-Repository und installieren Sie Suricata mit dem folgenden ‘ apt ‘ Befehl.

sudo apt update  
sudo apt install suricata

Geben Sie ‘ Y ‘ ein, um mit der Installation fortzufahren.

update install

Nachdem die Installation abgeschlossen ist, überprüfen Sie die Suricata-Binärdatei und ihre Version mit dem folgenden Befehl.

which suricata  
suricata --build-info

Sie können unten sehen, dass Suricata 7.0.6 über den APT-Paketmanager installiert ist.

check version

Führen Sie zuletzt den folgenden Befehl aus, um den ‘ suricata ‘ Dienst zu aktivieren und zu stoppen. Sie müssen Suricata beenden, bevor Sie es konfigurieren.

sudo systemctl enable suricata  
sudo systemctl stop suricata

stop service

Konfigurieren von Suricata

In diesem Abschnitt konfigurieren Sie Suricata, um die Netzwerkschnittstelle zu überwachen. Suricata wird bösartigen Verkehr auf der Zielschnittstelle erfassen.

Öffnen Sie die Standard-Suricata-Konfiguration ‘ /etc/suricata/suricata.yaml ‘ mit dem ‘ nano ‘ Editor.

sudo nano /etc/suricata/suricata.yaml

Wenn Sie ein lokales Netzwerk verwenden, fügen Sie Ihr Heimnetzwerk-Subnetz zu den Variablen ‘ HOME_NET ‘ und ‘ EXTERNAL_NET ‘ hinzu.

HOME_NET: "[192.168.5.0/24]"  
...  
EXTERNAL_NET: "!$HOME_NET"

Ändern Sie im Abschnitt ‘ af-packet ‘ die Standard- ‘ interface ‘ auf Ihre Zielschnittstelle. In diesem Beispiel werden wir die Schnittstelle ‘ enp0s3 ‘ mit Suricata überwachen.

af-packet:  
 - interface: enp0s3

Fügen Sie die Option ‘ detect-engine ‘ mit ‘ rule-reload: true ‘ hinzu, um das Live-Regel-Reloading zu aktivieren.

detect-engine:  
 - rule-reload: true

Wenn Sie fertig sind, speichern Sie die Datei und beenden Sie den Editor.

Aktualisieren der Suricata-Regelsätze

Bevor Sie Suricata starten und ausführen, müssen Sie die Suricata-Signaturen und -Regeln herunterladen und aktualisieren. Dies kann über das Dienstprogramm ‘suricata-update’ erfolgen.

Führen Sie den folgenden ‘ suricata-update ‘ Befehl aus, um die Suricata ET-Regeln herunterzuladen und zu aktualisieren. Suricata wird nicht gestartet, wenn ET-Regeln fehlen.

sudo suricata-update

Die Suricata-Regeln werden in die Datei ‘ /var/lib/suricata/suricata.rules ‘ wie folgt geschrieben:

update rules

testing

Sie können die Quellen der Regeln mit dem folgenden Befehl überprüfen:

sudo suricata-update list-sources

Ausführen von Suricata

Jetzt, da Sie Suricata konfiguriert und die ET-Regeln heruntergeladen und aktualisiert haben, werden Sie die Suricata-Regeln testen und dann den ‘suricata’ Dienst starten und überprüfen.

Um die Suricata-Regeln zu testen, führen Sie den folgenden ‘ suricata ‘ Befehl aus. Dies verarbeitet die verfügbaren Regeln in der Datei ‘ /var/lib/suricata/suricata.rules ‘.

sudo suricata -T -c /etc/suricata/suricata.yaml -v

Wenn kein Fehler auftritt, erhalten Sie eine Ausgabe ‘ suricata: Die bereitgestellte Konfiguration wurde erfolgreich geladen.

test suricata

Führen Sie nun den folgenden Befehl aus, um den ‘suricata’ Dienst im Hintergrund zu starten und zu überprüfen.

sudo systemctl start suricata  
sudo systemctl status suricata

In der folgenden Ausgabe sehen Sie, dass der ‘ suricata ‘ Dienst läuft.

verify service

Fazit

Herzlichen Glückwunsch! Sie haben die Installation von Suricata IDS auf dem Ubuntu 24.04-Server abgeschlossen. Sie haben zwei Methoden gelernt, um Suricata zu installieren, indem Sie manuell aus dem Quellcode und über den APT-Paketmanager installieren. Sie haben auch gelernt, wie man Suricata konfiguriert, Suricata-Signaturen und -Regeln aktualisiert und Suricata-Regeln testet.

Share: X/Twitter LinkedIn
#Suricata Installation

Erhalte neue Beiträge in deinem Posteingang.

Kein Spam. Jederzeit abmelden.