Suricata Ошибка при запуске SC_ERR_NO_MD5_SUPPORT

Question

Я использую Suricata 4.0.4, я хочу проверить md5 файлов с этим правилом:

alert http any any -> any any (msg:"FILE MD5 Check against Malware Patrol blacklist"; filemd5: /root/2018.md5.txt; sid:10203040; rev:1;)

, но после запуска suricata он говорит:

<Error> - [ERRCODE: SC_ERR_NO_MD5_SUPPORT(209)] - no MD5 calculation support built in, needed for filemd5 keyword

Есть предложения?

Answer 1

Для меня на CentOS 7.5 помогли эти шаги:

1. Установить пакеты (для CentOS было 'yum install ...'):

   • nss-util
   • nss-util-devel
   • nss-devel
   • nspr-devel
   • nspr

2. Переконфигурируйте и переустановите Suricata с этими библиотеками:

   • ./configure --with-libnss-libraries=/usr/lib --with-libnss-includes=/usr/include/nss/ --with-libnspr-libraries=/usr/lib --with-libnspr-includes=/usr/include/nspr
   • make clean
   • make
   • sudo make install-full

3. Запустите Suricata: /usr/local/bin/suricata -c /usr/local/etc/suricata/suricata.yaml -i eth0

Также помните, чтобы не забыть ключевое слово " filestore; "в вашем правиле - без него оповещения не могут быть перехвачены!

Пример: alert http any any -> any any (msg:"FILE MD5 Check against Malware Patrol blacklist"; filemd5: /root/2018.md5.txt; filestore; sid:10203040; rev:1;)