高级搜索|网站地图|TAG标签RSS订阅[设为首页] [加入收藏]

搜索

热门标签:

当前位置: > Ubuntu >

在 Ubuntu 15.04 中如何安装和使用 Snort(3)

时间:2016-04-08 00:43来源:linux.it.net.cn 作者:IT

Snort的规则和配置

从源码安装的snort还需要设置规则和配置,因此我们需要复制规则和配置到/etc/snort下面。我们已经创建了单独的bash脚本来用于设置规则和配置。它会设置下面这些snort设置。

  • 在linux中创建用于snort IDS服务的snort用户。
  • 在/etc下面创建snort的配置文件和文件夹。
  • 权限设置并从源代码的etc目录中复制数据。
  • 从snort文件中移除规则中的#(注释符号)。

 



    
	
  1. 
		#!/bin/bash#
    2. 
	
  2. 
		# snort源代码的路径
    3. 
	
  3. 
		snort_src="/home/test/Downloads/snort-2.9.7.3"
    4. 
	
  4. 
		echo "adding group and user for snort..."
    5. 
	
  5. 
		groupadd snort &> /dev/null
    6. 
	
  6. 
		useradd snort -r -s /sbin/nologin -d /var/log/snort -c snort_idps -g snort &> /dev/null#snort configuration
    7. 
	
  7. 
		echo "Configuring snort..."mkdir -p /etc/snort
    8. 
	
  8. 
		mkdir -p /etc/snort/rules
    9. 
	
  9. 
		touch /etc/snort/rules/black_list.rules
    10. 
	
  10. 
		touch /etc/snort/rules/white_list.rules
    11. 
	
  11. 
		touch /etc/snort/rules/local.rules
    12. 
	
  12. 
		mkdir /etc/snort/preproc_rules
    13. 
	
  13. 
		mkdir /var/log/snort
    14. 
	
  14. 
		mkdir -p /usr/local/lib/snort_dynamicrules
    15. 
	
  15. 
		chmod -R 775 /etc/snort
    16. 
	
  16. 
		chmod -R 775 /var/log/snort
    17. 
	
  17. 
		chmod -R 775 /usr/local/lib/snort_dynamicrules
    18. 
	
  18. 
		chown -R snort:snort /etc/snort
    19. 
	
  19. 
		chown -R snort:snort /var/log/snort
    20. 
	
  20. 
		chown -R snort:snort /usr/local/lib/snort_dynamicrules
    21. 
	
  21. 
		###copy configuration and rules from etc directory under source code of snort
    22. 
	
  22. 
		echo "copying from snort source to /etc/snort ....."
    23. 
	
  23. 
		echo $snort_src
    24. 
	
  24. 
		echo "-------------"
    25. 
	
  25. 
		cp $snort_src/etc/*.conf* /etc/snort
    26. 
	
  26. 
		cp $snort_src/etc/*.map /etc/snort##enable rules
    27. 
	
  27. 
		sed -i 's/include \$RULE\_PATH/#include \$RULE\_PATH/' /etc/snort/snort.conf
    28. 
	
  28. 
		echo "---DONE---"
    29. 




	改变脚本中的snort源目录路径并运行。下面是成功的输出。



	running script



	running script



	上面的脚本从snort源中复制下面的文件和文件夹到/etc/snort配置文件中



	files copied



	files copied



	snort的配置非常复杂,要让IDS能正常工作需要进行下面必要的修改。




    
	
  1. 
		ipvar HOME_NET 192.168.1.0/24 # LAN side
    2. 






	 




    
	
  1. 
		ipvar EXTERNAL_NET !$HOME_NET # WAN side
    2. 




	veriable set



	veriable set




    
	
  1. 
		var RULE_PATH /etc/snort/rules # snort signature path
    2. 
	
  2. 
		var SO_RULE_PATH /etc/snort/so_rules #rules in shared libraries
    3. 
	
  3. 
		var PREPROC_RULE_PATH /etc/snort/preproc_rules # Preproces path
    4. 
	
  4. 
		var WHITE_LIST_PATH /etc/snort/rules # dont scan
    5. 
	
  5. 
		var BLACK_LIST_PATH /etc/snort/rules # Must scan
    6. 




	main path



	main path




    
	
  1. 
		include $RULE_PATH/local.rules # file for custom rules
    2. 




	移除ftp.rules、exploit.rules前面的注释符号(#)。



	path rules



	path rules



	现在下载社区规则并解压到/etc/snort/rules。启用snort.conf中的社区及紧急威胁规则。



	wget_rules



	wget_rules



	community rules



	community rules



	进行了上面的更改后,运行下面的命令来检验配置文件。




    
	
  1. 
		# snort -T -c /etc/snort/snort.conf
    2. 




	snort running



	snort running



	总结



	本篇中,我们关注了开源IDPS系统snort在Ubuntu上的安装和配置。通常它用于监控事件,然而它可以被配置成用于网络保护的在线模式。snort规则可以在离线模式中可以使用pcap捕获文件进行测试和分析


      (责任编辑:IT)		
    

   




 





 




  
  

   
  



  



  



  
 ------分隔线---------------------------- 

  

   

    
   

   
   
  

  
 

 
  




 
 

  

   

    
栏目列表

    

     
    
      
     

    

   

  

  

  

   

    
推荐内容

    

     
    

   

  

  
  

   

    
热点内容

    

     
    

   

  

  

 

 







	
    

    


免责申明 -
 
版权申明

	
 
		
Copyright © 2014 - 2022 IT网 版权所有   www.it.net.cn    IT网.com    IT网.cn
 Linux学习