Ubutu12.04+Snort 2.9.2+mysql (一)
vi /etc/snort/snort.conf當你編輯snort.conf時 , 會看到以下三個rules的路徑 , 跟被取消的模組路徑
/etc/snort/rules
/etc/snort/preproc_rules
/etc/snort/so_rules
#dynamicdetection directory /usr/lib/snort_dynamicrules //開頭#取消
系統裡只有rules , 所以要建立另外兩個跟模組路徑
mkdir /etc/snort/preproc_rules
mkdir /etc/snort/so_rules
mkdir /usr/lib/snort_dynamicrules
因為Snort的版本是2.9.2 , 拿snortrules-snapshot-2931內的模組來用會有問題
wget http://ftp.psu.ac.th/pub/snort/snortrules-snapshot-2920.tar.gz //下載2920的來用
模組的副檔名是.so 不是.rules
tar zxvf snortrules-snapshot-2920.tar.gz
cp /snortrules-snapshot-2920/so_rules/precompiled/Ubuntu-10-04/i386/2.9.2.0/* \ /usr/lib/snort_dynamicrules
//上面兩行是連在一起的 "\"是要空格的符號
//把2.9.2.0裡的.so檔複製到/usr/lib/snort_dynamicrules裡面
規則的部分
透過 oinkmaster 指令是更新 /etc/snort/rules/ 的部分
去官網下載snortrules-snapshot-2931.tar.gz 或snortrules-snapshot-2940.tar.gz
把裡面的 preproc_rules 跟 so_rules 這兩部分的rules
複製到/etc/snort/preproc_rules 跟 /etc/snort/so_rules
測試snort -T -c /etc/snort/snort.conf
把裡面的 preproc_rules 跟 so_rules 這兩部分的rules
複製到/etc/snort/preproc_rules 跟 /etc/snort/so_rules
測試snort -T -c /etc/snort/snort.conf
沒有留言:
張貼留言