Project

General

Profile

Tâche #18095

Scénario #16520: Mettre à disposition les paquets de la suite ELK pour EOLE 2.6

Mettre à disposition un paquet suricata (tâche bonus)

Added by Joël Cuissinat over 3 years ago. Updated about 3 years ago.

Status:
Fermé
Priority:
Normal
Start date:
11/25/2016
Due date:
% Done:

10%

Estimated time:
4.00 h
Spent time:
Remaining (hours):
0.0

History

#1 Updated by Joël Cuissinat over 3 years ago

  • Subject changed from Mettre à disposition un paquet suricata to Mettre à disposition un paquet suricata (tâche bonus)

#2 Updated by Gérald Schwartzmann over 3 years ago

#Suricata 3.2 is out

#4 Updated by Gérald Schwartzmann about 3 years ago

  • Remaining (hours) changed from 4.0 to 3.5

Suricata (Stable) version is 3.2.1 released February 15, 2017.

PPA : https://launchpad.net/~oisf/+archive/ubuntu/suricata-stable

wget http://ppa.launchpad.net/oisf/suricata-stable/ubuntu/pool/main/s/suricata/suricata_3.2.1-0ubuntu2_amd64.deb

root@eolebase:~# dpkg -i suricata_3.2.1-0ubuntu2_amd64.deb 
Sélection du paquet suricata précédemment désélectionné.
(Lecture de la base de données... 111926 fichiers et répertoires déjà installés.)
Préparation du dépaquetage de suricata_3.2.1-0ubuntu2_amd64.deb ...
Dépaquetage de suricata (3.2.1-0ubuntu2) ...
dpkg: des problèmes de dépendances empêchent la configuration de suricata :
 suricata dépend de libhiredis0.13 (>= 0.13.1) ; cependant :
  Le paquet libhiredis0.13 n'est pas installé.
 suricata dépend de libhtp1 ; cependant :
  Le paquet libhtp1 n'est pas installé.
 suricata dépend de libjansson4 (>= 2.2) ; cependant :
  Le paquet libjansson4 n'est pas installé.
 suricata dépend de libluajit-5.1-2 ; cependant :
  Le paquet libluajit-5.1-2 n'est pas installé.
 suricata dépend de libnetfilter-queue1 ; cependant :
  Le paquet libnetfilter-queue1 n'est pas installé.
 suricata dépend de libluajit-5.1-common ; cependant :
  Le paquet libluajit-5.1-common n'est pas installé.
 suricata dépend de libluajit-5.1-dev ; cependant :
  Le paquet libluajit-5.1-dev n'est pas installé.

dpkg: erreur de traitement du paquet suricata (--install) :
 problèmes de dépendances - laissé non configuré
Traitement des actions différées (« triggers ») pour ureadahead (0.100.0-19) ...
Traitement des actions différées (« triggers ») pour systemd (229-4ubuntu16) ...
Traitement des actions différées (« triggers ») pour man-db (2.7.5-1) ...
Des erreurs ont été rencontrées pendant l'exécution :
 suricata
root@eolebase:~#

Tous les paquets sont dans la distro :

root@eolebase:~# rm /etc/apt/sources.list.d/oisf-ubuntu-suricata-stable-xenial.list 
rm : supprimer fichier '/etc/apt/sources.list.d/oisf-ubuntu-suricata-stable-xenial.list' ? y
root@eolebase:~# apt-get update
Atteint:1 http://test-eole.ac-dijon.fr/eole eole-2.6.1 InRelease
Atteint:2 http://eole.ac-dijon.fr/ubuntu xenial InRelease             
Atteint:3 http://eole.ac-dijon.fr/ubuntu xenial-security InRelease    
Atteint:4 http://test-eole.ac-dijon.fr/eole eole-2.6.1-security InRelease
Atteint:5 http://test-eole.ac-dijon.fr/eole eole-2.6.1-updates InRelease
Atteint:6 http://eole.ac-dijon.fr/ubuntu xenial-updates InRelease     
Atteint:7 http://test-eole.ac-dijon.fr/eole eole-2.6.1-proposed-updates InRelease
Lecture des listes de paquets... Fait                                 
root@eolebase:~# apt-cache search libhiredis0.13
libhiredis0.13 - Bibliothèque client C minimaliste pour Redis
root@eolebase:~# apt-cache search libhtp1
libhtp1 - HTTP normalizer and parser library
root@eolebase:~# apt-cache search libjansson4
libjansson4 - C library for encoding, decoding and manipulating JSON data
root@eolebase:~# apt-cache search libluajit-5.1-2
libluajit-5.1-2 - Just in time compiler for Lua - library version
root@eolebase:~# apt-cache search libnetfilter-queue1
libnetfilter-queue-dev - Development files for libnetfilter-queue1
libnetfilter-queue1 - Netfilter netlink-queue library
libnetfilter-queue1-dbg - Debugging symbols for libnetfilter-queue1
root@eolebase:~# apt-cache search libluajit-5.1-common
libluajit-5.1-common - Just in time compiler for Lua - common files
root@eolebase:~# apt-cache search libluajit-5.1-dev
libluajit-5.1-dev - Just in time compiler for Lua - development files
root@eolebase:~# 

# apt-get install libhiredis0.13 libhtp1 libjansson4 libluajit-5.1-2 libnetfilter-queue1 libluajit-5.1-common libluajit-5.1-dev
root@eolebase:~# dpkg -i suricata_3.2.1-0ubuntu2_amd64.deb
(Lecture de la base de données... 112044 fichiers et répertoires déjà installés.)
Préparation du dépaquetage de suricata_3.2.1-0ubuntu2_amd64.deb ...
Dépaquetage de suricata (3.2.1-0ubuntu2) sur (3.2.1-0ubuntu2) ...
Paramétrage de suricata (3.2.1-0ubuntu2) ...
Download and install the latest Emerging Threats Open ruleset \n
Downloading...
Latest ET Open rule set deployed in /etc/suricata/rules !
Traitement des actions différées (« triggers ») pour ureadahead (0.100.0-19) ...
Traitement des actions différées (« triggers ») pour systemd (229-4ubuntu16) ...
Traitement des actions différées (« triggers ») pour man-db (2.7.5-1) ...
root@eolebase:~#

#5 Updated by Gérald Schwartzmann about 3 years ago

  • % Done changed from 0 to 10

#6 Updated by Gérald Schwartzmann about 3 years ago

Refaire le tutos du hackathon :
http://pcll.ac-dijon.fr/eole/hackathon-compte-rendu-du-groupe-ameliorer-la-securite-des-reseaux-avec-suricata/

Après configuration :


root@eolebase:/etc/suricata# tail /var/log/suricata/suricata-start.log 
/usr/bin/suricata: error while loading shared libraries: libhtp-0.5.23.so.1: cannot open shared object file: No such file or directory
root@eolebase:/etc/suricata#

wget http://ppa.launchpad.net/oisf/suricata-stable/ubuntu/pool/main/h/htp/libhtp1_0.5.x.201701112248~ubuntu16.04.1_amd64.deb

Génération du eve.json OK

# tail -f /var/log/suricata/eve.json

service suricata restart

root@eolebase:~# tail /var/log/suricata/suricata-start.log 
29/3/2017 -- 12:24:33 - <Config> - 'default' server has 'request-body-minimal-inspect-size' set to 33882 and 'request-body-inspect-window' set to 4053 after randomization.
29/3/2017 -- 12:24:33 - <Config> - 'default' server has 'response-body-minimal-inspect-size' set to 42119 and 'response-body-inspect-window' set to 16872 after randomization.
29/3/2017 -- 12:24:33 - <Config> - DNS request flood protection level: 500
29/3/2017 -- 12:24:33 - <Config> - DNS per flow memcap (state-memcap): 524288
29/3/2017 -- 12:24:33 - <Config> - DNS global memcap: 16777216
29/3/2017 -- 12:24:33 - <Config> - Protocol detection and parser disabled for modbus protocol.
29/3/2017 -- 12:24:33 - <Config> - Protocol detection and parser disabled for enip protocol.
29/3/2017 -- 12:24:33 - <Config> - Protocol detection and parser disabled for DNP3.
29/3/2017 -- 12:24:33 - <Info> - Found an MTU of 1500 for 'ens4'
29/3/2017 -- 12:24:33 - <Info> - Found an MTU of 1500 for 'ens4'
root@eolebase:~#

#7 Updated by Gérald Schwartzmann about 3 years ago

  • Remaining (hours) changed from 3.5 to 3.0

#8 Updated by Gérald Schwartzmann about 3 years ago

Pour vérifier la configuration de Logstash il est possible de l’exécuter manuellement en précisant le fichier de configuration :

# /usr/share/logstash/bin/logstash -f /etc/logstash/conf.d/01-eole-input.conf

#10 Updated by Gérald Schwartzmann about 3 years ago

This version of Kibana requires Elasticsearch v5.3.0 on all nodes. I found the following incompatible nodes in your cluster: v5.2.2 @ 192.168.0.24:9200 (192.168.0.24) :

wget https://artifacts.elastic.co/downloads/kibana/kibana-5.2.2-amd64.deb

#11 Updated by Gérald Schwartzmann about 3 years ago

  • Remaining (hours) changed from 3.0 to 2.0

#12 Updated by Gérald Schwartzmann about 3 years ago

  • Status changed from Nouveau to En cours

#13 Updated by Gérald Schwartzmann about 3 years ago

  • Assigned To set to Gérald Schwartzmann

#14 Updated by Scrum Master about 3 years ago

  • Status changed from En cours to Résolu

#15 Updated by Gérald Schwartzmann about 3 years ago

  • Status changed from Résolu to Fermé
  • Remaining (hours) changed from 2.0 to 0.0

Also available in: Atom PDF