web-dev-qa-db-ja.com

Snort:ルールファイルを開けません

これが初めてのスノートです。そして、私はそれを実行させることができません。私は このチュートリアル に正確に従いました。そして、私はFedora 21を持っています。

これはsnort -c /etc/snort/snort.conf -v -i enp0s3からの出力です。

Running in IDS mode

--== Initializing Snort ==--
Initializing Output Plugins!
Initializing Preprocessors!
Initializing Plug-ins!
Parsing Rules file "/etc/snort/snort.conf"
PortVar 'HTTP_PORTS' defined :  [ 80:81 311 383 591 593 901 1220 1414 1741 1830 2301 2381 2809 3037 3128 3702 4343 4848 5250 6988 7000:7001 7144:7145 7510 7777 7779 8000 8008 8014 8028 8080 8085 8088 8090 8118 8123 8180:8181 8243 8280 8300 8800 8888 8899 9000 9060 9080 9090:9091 9443 9999 11371 34443:34444 41080 50002 55555 ]
PortVar 'SHELLCODE_PORTS' defined :  [ 0:79 81:65535 ]
PortVar 'Oracle_PORTS' defined :  [ 1024:65535 ]
PortVar 'SSH_PORTS' defined :  [ 22 ]
PortVar 'FTP_PORTS' defined :  [ 21 2100 3535 ]
PortVar 'SIP_PORTS' defined :  [ 5060:5061 5600 ]
PortVar 'FILE_DATA_PORTS' defined :  [ 80:81 110 143 311 383 591 593 901 1220 1414 1741 1830 2301 2381 2809 3037 3128 3702 4343 4848 5250 6988 7000:7001 7144:7145 7510 7777 7779 8000 8008 8014 8028 8080 8085 8088 8090 8118 8123 8180:8181 8243 8280 8300 8800 8888 8899 9000 9060 9080 9090:9091 9443 9999 11371 34443:34444 41080 50002 55555 ]
PortVar 'GTP_PORTS' defined :  [ 2123 2152 3386 ]
Detection:
   Search-Method = AC-Full-Q
    Split Any/Any group = enabled
    Search-Method-Optimizations = enabled
    Maximum pattern length = 20
ERROR: /etc/snort//etc/snort/rules/app-detect.rules(0) Unable to open rules file "/etc/snort//etc/snort/rules/app-detect.rules": No such file or directory.

Fatal Error, Quitting..

問題はログの最後にあります。それは深刻なようには見えませんが、私はそれを理解することができません。これがsnort.confで編集したセクションです。

var RULE_PATH /etc/snort/rules
var SO_RULE_PATH /etc/snort/so_rules
var PREPROC_RULE_PATH /etc/snort/preproc_rules

# If you are using reputation preprocessor set these
# Currently there is a bug with relative paths, they are relative to where snort is
# not relative to snort.conf like the above variables
# This is completely inconsistent with how other vars work, BUG 89986
# Set the absolute path appropriately
var WHITE_LIST_PATH /etc/snort/rules
var BLACK_LIST_PATH /etc/snort/rules

私が思うルールは問題を引き起こしています:

include $RULE_PATH/app-detect.rules
snort
2
MadeOfAir

パス変数を編集して相対にした:

var RULE_PATH rules
var SO_RULE_PATH so_rules
var PREPROC_RULE_PATH preproc_rules

および ルールをダウンロード 、それらを/etc/snort/rules/に抽出しました。

2
MadeOfAir

らしい

/etc/snort//etc/snort/

これはダブルパス構成であり、Snortファイアウォールの何が問題かを調査しています。

  • $ RULE_PATHが2つあるかどうかを確認するか、グローバル変数でない場合は/ etc/snort /を削除してみてください。
1
Mega

試すことができる1つのオプションは、問題を引き起こすルールへのパスにコメントを付けることです。 app-detect.rulesを含む行にコメントを付けると、snortを実行するとエラーが変更され、別のルールパスを参照します。それらの前に「#」を追加することにより、これらすべてを手動でコメント化するか、次のコード行を使用できます。

Sudo sed -i "s/include \$RULE\_PATH/#include \$RULE\_PATH/" /etc/snort/snort.conf
0
Denisa