Здравствуйте! Поставил себе на машину snort из testing (v 2.0.0-3.1)... Но он не работает. Не работал и 1.8. Даже сканирование портов не определял... И такое чувство, что только у меня одного во всем мире была такая проблема -- ни одного следа в Google по этой теме...
Все, что я сделал -- это установил apt-get'ом snort из testing и произвел минимальную настройку с помощью debconf (эта настройка сохранилась в snort.debian.conf). Еще раскомментировал пару строк в snort.conf (касательно правил). При запуске (snort -c /etc/snort/snort.conf -m 027 -S "HOME_NET=any" -l /var/log/snort -d -u snort -g snort -i eth0 -o) программа выдает сообщения об ходе загрузки правил и начинает слушать (интерфейс eth0, как и ожидается). Однако: Сканирование портов с помощью nmap (-sS, -sT) ни к чему не приводит (нигде в логах ничего не видно...). Проба древним (2001-11-29) эксплоитом apache тоже. Соответственно, ежедневные доклады snort пусты... Пинги она вообще не детектирует, то есть в результатах сессии рядом с ICMP стоит 0... Iptables тут ни при чем -- он и сканирование позволяет, и пинги и много еще чего -- я тут еще особо не утруждал себя пока... Помогите, как мне с этой проблемой справиться? Что нужно еще настраивать? Где есть какое-то подобие мини-HOWTO по настройке snort на Debian? Есть ли хорошая альтернатива snort-у? Всего хороего, -- [:::::::::::::: Andrei Sosnin ]-------[*]) [:::::::::: http://zzx.dyn.ee ]----[*]) [it:all:depends:on:your:vision]--[*])
