在前面文章中,基于多种流量检测引擎识别pcap数据包中的威胁,并没有详细的说明dalton的安装。由于dalton提供了脚本./start-dalton.sh ,执行之后会自动的安装各种依赖以及suricata,zeek,snort的容器环境。但是在实际执行的过程中可能会出现如下几类问题:
PCRE错误
该问题的原因是由于suricata最新发布了7.X版本,在安装过程中会出现如下的问题:
checking for pcre2_compile_8 in -lpcre2-8...no
ERRO! pcre library not found,
如果按照错误的提示去执行降级安装pcre8.x版本,安装pcre2-devel,是无法解决问题的。即使更换操作系统, 无论是Ubuntu ,debian还是会出现同样的问题。
问题的根源在于安装suricata-current出现错误,通常情况下docker-compose.yml中关于suricata-current的配置如下:
如果出现错误,将docker-compose.yml中关于suricata-current的配置如下,即切换到6.x的版本:
对应的suricata版本的信息可以在,这里获取。
这样的话可以拉去docker成功,如下图:
Docker环境
由于dalton的安装涉及到docker的拉取,因此需要提前安装docker,docker-compose等应用。
/var目录空间不足
由于dalton所需的docker环境的暗转目录为/var,因此/var的空间需要足够大,不然可能因为空间不足而报错。
以上就是安装dalton过程中的问题记录,希望对你有用。
本文为CSDN村中少年原创文章,未经允许不得转载,博主链接这里。