Re: snort
Hola,
si no m'equivoque a woody està la 1.9 i a sarge la 2.2, que tenen algunes
diferències importants al fitxer de configuració. No sé com és el fitxer de
configuració per defecte a sarge, però sona a que no té configurats els 'output
plugins'. Prova a executar:
# grep ^output /etc/snort/snort.conf
Pareix que sols tens configurada l'eixida en tcpdump, si vols veure les alertes
als logs:
output alert_syslog: LOG_AUTH LOG_ALERT
Hi han molts bons exemples al mateix fitxer de configuració.
No crec que les regles tinguen res a veure. Sols un dubte, quins errors donava
snort quan no s'iniciava?
Sort,
Jose
Ricard <nut@arrakis.es> va escriure:
> Hola
> Tenia una woody amb l'snort, que funcionava com una seda. Però com no estic
> mai quiet quan convé, vaig actualitzar a sarge, i amb ell la versió d'snort.
> El cas és que la versió anterior em detectava quasi qualsevol cosa que passés
> a la xarxa, i l'actual no s'entera de res. Puc fer un nmap des d'un altre
> ordinador, i no es veu en els logs (que per altra banda, ara són en tcpdump,
> pel que necessito l'ethereal per llegir-los, no com abans que n'hi havia prou
> amb tail) No sóc cap expert, però suposo que alguna cosa puc tocar per que
> funcioni millor, imagino que és cosa de les rules que tinc, les que venen per
> defecte (per cert, n'he hagut de comentar algunes perque l'snort hi trobava
> errors i no s'iniciava.) Algú sap com fer que l'snort sigui més "sensible"?
> Gràcies
> Ricard
>
Reply to:
- References:
- snort
- From: Ricard <nut@arrakis.es>