10.5. 启动后删除权限¶
目前, libcap-ng
启动后删除Suricata上的权限需要。对于libcap,请参阅status of feature request number#276--libcap support For droping privileges。
大多数分配都有 libcap-ng
在他们的仓库里。
要从上游下载libcap ng的当前版本,请参阅http://people.redhat.com/sgrub/libcap-ng/changelog
wget http://people.redhat.com/sgrubb/libcap-ng/libcap-ng-0.7.8.tar.gz
tar -xzvf libcap-ng-0.7.8.tar.gz
cd libcap-ng-0.7.8
./configure
make
make install
为您的特定设置下载、配置、编译和安装Suricata。参见 安装 .根据您的环境,您可能需要在配置步骤中添加--with-libpcap-ng-libraries和--with-libpcap-ng-includes选项。例如:
./configure --with-libcap_ng-libraries=/usr/local/lib \
--with-libcap_ng-includes=/usr/local/include
现在,当您运行suricata时,告诉它您希望它在启动后以什么用户和/或组的形式运行,并使用--user和--group选项。例如:(假设为“suri”用户和组):
suricata -D -i eth0 --user=suri --group=suri
您还需要确保设置了用户/组权限,以便Suricata仍然可以写入其日志文件,这些文件通常位于/var/log/Suricata中。
mkdir -p /var/log/suricata
chown -R root:suri /var/log/suricata
chmod -R 775 /var/log/suricata