Repository 32bit  Forum
Repository 64bit  Wiki

Installazione di Snort(tm) su Slackware 10.0

Da Slacky.eu.
Versione delle 16:42, 16 set 2006, autore: Gohanz (Discussione | contributi)

(diff) ← Versione meno recente | Versione attuale (diff) | Versione più recente → (diff)


Indice

Installazione di Snort 2.2.0 su SlackWare 10.0 Mini-Howto

Perchè questo Howto

Questo brevissimo testo nasce dal fatto che ho trovato una sostanziale discrepanza tra l'installazione descritta nel documento INSTALL, contenuto nella directory snort-2.2.0/etc e ciò che il comando make install realmente fa. A fine installazione non vengono create le directory /etc/snort e /var/long, inoltre non sono installati alcuni file fondamentali per il funzionamento di Snort in modalità Packed Logger e NIDS. Un simile comportamento di make install potrebbe essere attribuito a tre fattori:

  1. Ho letto in modo incompleto la documentazione di installazione;
  1. L'ignoranza di particolari procedure;
  1. Si vogliono preservare rules e configurazioni preesistenti.

Io avvaloro la terza, chiunque può mandarmi una e-mail che avalli uno o entrambi gli altri punti. Detto più del dovuto, passiamo a descrivere il procedimento di installazione.

Cosa ho fatto di tanto speciale

A dire il vero il mio operato non ha nulla di speciale, si tratta solo di creare directory mancanti e trasferire dei file in alcune di esse. Dopo aver scaricato da http://www.snort.org il file snort-2.2.0.tar.gz e assunto le vesti di root ho dato il seguente comando: 

tar -zxvpf snort-2.2.0.tar.gz

(-p per preservare permessi e propietario dei file estratti)

Per la compilazione ho seguito fedelmente ciò che è scritto nel file INSTALL, cioè: 

cd snort-2.2.0

./configure

make

make check

make install

Se si ha necessità di rimuovere i file binari, i file oggetto ed i file creati dal configure nella directory contente i sorgenti, magari per una nuova installazione su di una architettura differente usare i comandi: 

make clean

make distclean

Completata la procedura di installazione -almeno sul mio computer- Snort funziona solo in modalità Sniffer. Per poterlo usare anche nelle altre due modalità ho dovuto operare così: 

mkdir /var/log/snort

mkdir /etc/snort

mkdir /etc/snort/rules

cp ./etc/* /etc/snort

cp ./rules/* /etc/snort/rules

L'uso grezzo del comando cp comporta il trasferimento di alcuni file superflui che ho rimosso con: 

rm /etc/snort/Makefil*

rm /etc/snort/rules/Makefil*

In questo modo sono riuscito a rendere funzionante Snort in modalità NIDS e Packed Logger, dico quasi perchè sono state necessarie delle modifiche nel file etc/snort/snort.conf per rendere Snort completamente operativo.

Modifiche al file snort.conf

Nonostante il lavoro fin qui fatto, continuavo a non riuscire ad utilizzare Snort in modalità NIDS: lo "stderr" del programma diceva di non riuscire a trovare i "rules"

Estratto da "http://www.slacky.eu/wikislack/index.php?title=Installazione_di_Snort(tm)_su_Slackware_10.0&oldid=2690"
Strumenti personali
Namespace

Varianti