Installazione di Snort(tm) su Slackware 10.0 - Cronologia

Conraid: ha spostato Installazione di Snort(tm) su Slackware a Installazione di Snort(tm) su Slackware 10.0

2011-04-22T12:56:04Z

ha spostato Installazione di Snort(tm) su Slackware a Installazione di Snort(tm) su Slackware 10.0

Conraid il 12:55, 22 apr 2011

2011-04-22T12:55:48Z

Gohanz il 14:55, 16 set 2006

2006-09-16T14:55:27Z

Gohanz il 14:42, 16 set 2006

2006-09-16T14:42:53Z

Nuova pagina

[[Category:Scritti misti]]

= Installazione di Snort 2.2.0 su SlackWare 10.0 Mini-Howto =

= Perchè questo Howto =

Questo brevissimo testo nasce dal fatto che ho trovato una sostanziale discrepanza tra l'installazione descritta nel documento '''INSTALL''', contenuto nella directory snort-2.2.0/etc e ciò che il comando '''make install''' realmente fa.
A fine installazione non vengono create le directory /etc/snort e /var/long, inoltre non sono installati alcuni file fondamentali per il funzionamento di Snort in modalità '''Packed Logger''' e '''NIDS'''. Un simile comportamento di '''make install''' potrebbe essere attribuito a tre fattori:

# Ho letto in modo incompleto la documentazione di installazione;

# L'ignoranza di particolari procedure;

# Si vogliono preservare rules e configurazioni preesistenti.

Io avvaloro la terza, chiunque può mandarmi una e-mail che avalli uno o entrambi gli altri punti.
Detto più del dovuto, passiamo a descrivere il procedimento di installazione.

= Cosa ho fatto di tanto speciale =

A dire il vero il mio operato non ha nulla di speciale, si tratta solo di creare directory mancanti e trasferire dei file in alcune di esse.
Dopo aver scaricato da http://www.snort.org il file '''snort-2.2.0.tar.gz''' e assunto le vesti di ''root
'' ho dato il seguente comando:

<pre>
tar -zxvpf snort-2.2.0.tar.gz
</pre>

(''-p per preservare permessi e propietario dei file estratti'')

Per la compilazione ho seguito fedelmente ciò che è scritto nel file '''INSTALL''', cioè:

<pre>
cd snort-2.2.0

./configure

make

make check

make install
</pre>

Se si ha necessità di rimuovere i file binari, i file oggetto ed i file creati dal ''configure'' nella directory contente i sorgenti, magari per una nuova installazione su di una architettura differente usare i comandi:

<pre>
make clean

make distclean
</pre>

Completata la procedura di installazione -''almeno sul mio computer''- '''Snort''' funziona solo in modalità '''Sniffer'''. Per poterlo usare anche nelle altre due modalità ho dovuto operare così:

<pre>
mkdir /var/log/snort

mkdir /etc/snort

mkdir /etc/snort/rules

cp ./etc/* /etc/snort

cp ./rules/* /etc/snort/rules
</pre>

L'uso grezzo del comando '''cp''' comporta il trasferimento di alcuni file superflui che ho rimosso con:

<pre>
rm /etc/snort/Makefil*

rm /etc/snort/rules/Makefil*
</pre>

In questo modo sono riuscito a rendere funzionante '''Snort''' in modalità '''NIDS''' e ''Packed Logger'', dico quasi perchè sono state necessarie delle modifiche nel file '''etc/snort/snort.conf''' per rendere '''Snort''' completamente operativo.

= Modifiche al file snort.conf =

Nonostante il lavoro fin qui fatto, continuavo a non riuscire ad utilizzare '''Snort''' in modalità '''NIDS''': lo "''stderr''" del programma diceva di non riuscire a trovare i "''rules''"

← Versione meno recente		Versione delle 12:55, 22 apr 2011
Riga 1:		Riga 1:
−	[[Category:Scritti misti]]	+	[[Category:Scritti misti-10]]

← Versione meno recente		Versione delle 14:55, 16 set 2006
Riga 78:		Riga 78:
	= Modifiche al file snort.conf =		= Modifiche al file snort.conf =

−	Nonostante il lavoro fin qui fatto, continuavo a non riuscire ad utilizzare '''Snort''' in modalità '''NIDS''': lo "''stderr''" del programma diceva di non riuscire a trovare i "''rules''"	+	Nonostante il lavoro fin qui fatto, continuavo a non riuscire ad utilizzare '''Snort''' in modalità '''NIDS''': lo "''stderr''" del programma diceva di non riuscire a trovare i "''rules''" che avevo copiato. Ho deciso quindi di operare nel seguente modo:
		+
		+	<pre>
		+	emacs etc/snort/snort.conf
		+	</pre>
		+
		+	Una volta dentro al file di configurazione ho inanzitutto adattato '''RULE_PATH''' alle mie esigenze:
		+
		+	<pre>
		+	var RULE_PATH /etc/snort/rules
		+	</pre>
		+
		+	ed ho scelto le regole che mi servivano commentandole o decommentandole con il solito '''#'''. Ho ritenuto opportuno attivare anche :
		+
		+	<pre>
		+	INCLUDE $RULE_PATH/web.attacks.rules
		+
		+	INCLUDE $RULE_PATH/shellcode.rules
		+	</pre>
		+
		+	Infine (''anche se non strettamente necessario'') ho adattato '''HOME_NET''' alle mie esigenze di rete, in altre parole ho decommentato
		+
		+	<pre>
		+	var HOME_NET 10.0.0.0/24
		+	</pre>
		+
		+	(chiaramente ho usato il subnetting '''IP''' della mia rete casalinga) ed ho commentato
		+
		+	<pre>
		+	var HOME_NET any
		+	</pre>
		+
		+	Tutto qua!
		+
		+	Snort sembra funzionare bene.
		+
		+	<pre>
		+	Autore Giovanni Castiglione
		+
		+	gio_castiglio at aliceposta dot it
		+	</pre>