Назад | Перейти на главную страницу

настройка snort 2.9.x с barnyard2

Эти инструкции по использованию устарели, а также программное обеспечение, на котором они работают, не обновлено до версии PHP5.5. Я сделал несколько хаков с ACID и ADODB, чтобы часть графического интерфейса работала. Я следовал этому руководству, чтобы настроить barnyard2 http://sathisharthars.wordpress.com/2014/05/03/configuring-snort-with-barnyard-snortreport-acid-in-ubuntu-14-04/ Я пытался следовать другим руководствам, но не смог успешно запустить snort и barnayrd и заставить ACID gui работать с какими-либо результатами. https://www.google.co.uk/search?q=start+snort+with+barnyard2&ie=utf-8&oe=utf-8&aq=t&rls=org.mozilla:en-US:official&client=firefox-a&channel=sb&gfe_rd= cr & ei = yPXMU7OvCKfY8gfn2IGADQ

Проблемы, с которыми я сталкиваюсь с фырканьем

  /usr/local/bin/snort -D -u snort -g snort -c /etc/snort/snort.conf -i eth0 /usr/local/bin/barnyard2 -c /etc/snort/etc/barnyard2.conf -d /var/log/snort -f snort.u2 -w /var/log/snort/barnyard2.waldo -D

строка выше не работает с опцией w

  FATAL ERROR: Invalid option: w.

Если я выйду, я получу следующую ошибку

  FATAL ERROR: /etc/snort/etc/barnyard2.conf(27) Unknown config directive: reference_file.

Я не могу начать нюхать.

Я запускаю barnyard2 и вижу следующую ошибку в файлах журнала

barnyard2 -c /etc/snort/etc/barnyard2.conf -f merged.log

WARNING: Ignoring corrupt/truncated waldofile '/var/log/snort/barnyard2.waldo'
Jul 21 12:04:18 website-dev barnyard2: ERROR: Unable to open directory '' (No such file or directory)
Jul 21 12:04:18 website-dev barnyard2: ERROR: Unable to find the next spool file!

Мне удалось сделать загрузку ACID на apache после небольшого взлома, чтобы сделать его совместимым с php5.5

  rpm -ivh libdnet-debuginfo-1.12-6.el6.x86_64.rpm
  cd /usr/local/src
  wget https://www.snort.org/downloads/snort/snort-2.9.6.2.tar.gz
  wget https://www.snort.org/downloads/snort/daq-2.0.2.tar.gz

  # install daq
  tar -zxvf daq-2.0.2.tar.gz
  cd daq-2.0.2
  ./configure
  make
  make install
  cd /usr/local/lib
  ldconfig -v /usr/local/lib

  # install snort
  cd /usr/local/src/snort-2.9.6.2
  ./configure --enable-sourcefire
  make
  make install
  cd /usr/local/lib
  ldconfig -v /usr/local/lib

  cd /etc
  mkdir -p snort
  cd snort
  cp /usr/local/src/snort-2.9.6.2/etc/* .
  # get latest rule set
  wget https://www.snort.org/downloads/registered/snortrules-snapshot-2962.tar.gz
  tar -zxvf snortrules-snapshot-2962.tar.gz
  cp ./etc/* .
  touch /etc/snort/rules/white_list.rules /etc/snort/rules/black_list.rules

  #configure
  groupadd -g 40000 snort
  useradd snort -u 40000 -d /var/log/snort -s /sbin/nologin -c SNORT_IDS -g snort
  chown -R snort:snort *
  chown -R snort:snort /var/log/snort
  • изменить snort.conf
  • ** var RULE_PATH / etc / snort / rules
  • ** ipvar HOME_NET 192.168.1.0/24
  • ** ipvar EXTERNAL_NET! $ HOME_NET
  • ** var SO_RULE_PATH / etc / snort / so_rules
  • ** var PREPROC_RULE_PATH / etc / snort / preproc_rules
  • ** var WHITE_LIST_PATH / etc / snort / rules
  • ** var BLACK_LIST_PATH / etc / snort / rules
  • настроить

         cd /usr/local/src
         chown -R snort:snort *
         chmod -R 700 *
         chown -R snort:snort snort_dynamicsrc
         chmod -R 700 snort_dynamicsrc
         cd /usr/local/lib
         chown -R snort:snort snort*
         chown -R snort:snort pkgconfig
         chmod -R 700 snort*
         chmod -R 700 pkgconfig
         chown -R snort:snort daq-modules-config
         chown -R snort:snort u2*
         chmod -R 700 daq-modules-config
         chmod 700 u2*
         cd /etc
         chown -R snort:snort snort
         chmod -R 700 snort
         mkdir -p /usr/local/lib/snort_dynamicrules
         chown -R snort:snort /usr/local/lib/snort_dynamicrules
         chmod -R 700 /usr/local/lib/snort_dynamicrules
    
  • получить сценарий запуска из https://www.snort.org/documents

  • необходимо отредактировать конфигурацию для stream5, чтобы избавиться от предупреждений, так как существует ограничение в 1 МБ http://manual.snort.org/node17.html#SECTION00322600000000000000

    snort -q -u snort -g snort -c /etc/snort/snort.conf -i ens34 -D

  • увеличить RX на интерфейсе http://www.gamelinux.org/?page_id=284

    ethtool -G Ens34 RX 4096

    • для использования с графическим интерфейсом '' Snorby '' ' https://snorby.org/