Tente baixa as rules do snort... http://www.snort.org/dl/rules/
Se não me engano o snort instalado via ports, não baixa as rules pra ele...
Crie um /etc/snort/rules e descompacte...
Edite seu snort.conf com as politicas que vc quer q o snort check... mais não esqueça de colocar o patch das rules no snort.conf no
( var RULE_PATH /etc/snort/rules ).
Restarte o snort e veja os log do /var/log/messages...
att []'s
Ola', bom dia.
Algum administrador que ja trabalhe com Snort, poderia estar me auxiliando para uma melhor configuracao.
Instalei o Snort via ports, editei o arquivo /usr/local/etc/snort.conf, e apenas descomentei a linha
include $RULE_PATH/chat.rules, e a linha que gera o arquivo snort.stats.
Porem ele inicia com alguns "INACTIVE".
==============================================
Stream4 config:
Stateful inspection: ACTIVE
Session statistics: INACTIVE
Session timeout: 30 seconds
Session memory cap: 8388608 bytes
State alerts: INACTIVE
Evasion alerts: INACTIVE
Scan alerts: INACTIVE
Log Flushed Streams: INACTIVE
MinTTL: 1
TTL Limit: 5
Async Link: 0
State Protection: 0
Self preservation threshold: 50
Self preservation period: 90
Suspend threshold: 200
Suspend period: 30
Stream4_reassemble config:
Server reassembly: INACTIVE
Client reassembly: ACTIVE
Reassembler alerts: ACTIVE
Zero out flushed packets: INACTIVE
=============================================
Se alguem tiver como me passar algumas dicas, para um melhor uso/desempenho do snort.
Estou inciando snort da seguinte forma.
#snort &
Obrigado.
_______________________________________________________________ Para enviar um novo email para a lista: freebsd@fug.com.br Sair da Lista: http://mail.fug.com.br/mailman/listinfo/freebsd_fug.com.br Historico: http://www4.fugspbr.org/lista/html/FUG-BR/
_______________________________________________________________ Para enviar um novo email para a lista: freebsd@fug.com.br Sair da Lista: http://mail.fug.com.br/mailman/listinfo/freebsd_fug.com.br Historico: http://www4.fugspbr.org/lista/html/FUG-BR/
