示规则的存储位置,规则用于触发事件.配置代码如下:varRULE_PATH../rules⑻接下来一段内容被注释掉了,是对一些不常见的通信的监测.除非系统中出现了其中的问题或者入侵检测系统耗费资源很小,否则最好不要启用.下面一段是允许为资源有限的系统配置侦测引擎,在本实验中无需改动.配置文件之后的几段用于配置一些功能和设置对某些类型的攻击的侦测,包括碎片攻击(fragmentationattacks)、状态检测(statefulinspection)和流重组(streamreassembly)选项.⑼标注有Step#4的段落包含Snort的输出选项,取消―outputalert_syslog:LOG_AUTHLOG_ALERT‖前的注释.此处无论如何配置都会生成auth.info警告.⑽编辑#2部分动态加载库的路径,这些路径有些需要修改默认项.比如在本实验中,运行Snort时遇到错误,提示了―Unknownruletype:dynamicpreprocessordirectory‖,经查发现是是由于Snort未配置使用动态加载处理机,只需用―#‖注释掉加载处理机相关两行就可以了.⑾最后一段Step#6是规则集.这里有些规则默认为不起作用,如chat.rules是由各种即时消息客户端出发生效的.在行首加入或删除注释符号―#‖就可以指定该行的规则集是否生效.在本实验中一般均默认为生效.4.2测试Snort前面对Snort的配置做的修改,有些配置的修改可能会影响到Snort的正常启动,在将Snort作为入侵检测工具正式启用前,首先要测试Snort工作是否正常:$sudosnort-c/etc/snort/snort.conf如果出现一个用ASCII字符画出的小猪,那么Snort工作就正常了,可以使用Ctrl+C退出;如果Snort异常退出,就需要查明安装软件和修改配置的正确性了.
全文预览
