服务器 Gind.cn
  1. 服务器 Gind.cn
  3. Snort:无法打开规则文件
Intereting Posts
将rpm命令转换为dpkg Nagios check_tcp ESTABLISHED连接 没有yum或gcc的linux安装 Exchange 2010非现场归档,Active Directory Server 2003工作stream程选项 通过SSH访问Supermicro IPMI 一旦VMKernel NIC连接到组,ESXi就不能将新VM添加到端口组 能够将Server 2003计算机join到2012 R2域中? 是否可以在多个aws ec2实例之间共享单个实例configuration文件? DNS安全和.com AD域名,如果有人蹲在我的公共.com域名上,对我的AD域名有什么危险 为特定IP的所有程序和端口打开Windows 2008防火墙的风险有多大? 如何强制或redirect到Nginx的SSL? 使用nc将文件从Docker容器发送到主机:为什么host nc太早closures连接? 在Windows Server上压缩和复制大文件? ipv6,静态的一些目的地,其余的dynamic 使用ATI Rage XL从Centos3升级到Centos5后出现X11性能问题

Snort:无法打开规则文件

这是我第一次用snort。 而我不能让它运行。 我完全按照这个教程 。 我有fedora 21

这是snort的输出-c /etc/snort/snort.conf -v -i enp0s3

Running in IDS mode --== Initializing Snort ==-- Initializing Output Plugins! Initializing Preprocessors! Initializing Plug-ins! Parsing Rules file "/etc/snort/snort.conf" PortVar 'HTTP_PORTS' defined : [ 80:81 311 383 591 593 901 1220 1414 1741 1830 2301 2381 2809 3037 3128 3702 4343 4848 5250 6988 7000:7001 7144:7145 7510 7777 7779 8000 8008 8014 8028 8080 8085 8088 8090 8118 8123 8180:8181 8243 8280 8300 8800 8888 8899 9000 9060 9080 9090:9091 9443 9999 11371 34443:34444 41080 50002 55555 ] PortVar 'SHELLCODE_PORTS' defined : [ 0:79 81:65535 ] PortVar 'ORACLE_PORTS' defined : [ 1024:65535 ] PortVar 'SSH_PORTS' defined : [ 22 ] PortVar 'FTP_PORTS' defined : [ 21 2100 3535 ] PortVar 'SIP_PORTS' defined : [ 5060:5061 5600 ] PortVar 'FILE_DATA_PORTS' defined : [ 80:81 110 143 311 383 591 593 901 1220 1414 1741 1830 2301 2381 2809 3037 3128 3702 4343 4848 5250 6988 7000:7001 7144:7145 7510 7777 7779 8000 8008 8014 8028 8080 8085 8088 8090 8118 8123 8180:8181 8243 8280 8300 8800 8888 8899 9000 9060 9080 9090:9091 9443 9999 11371 34443:34444 41080 50002 55555 ] PortVar 'GTP_PORTS' defined : [ 2123 2152 3386 ] Detection: Search-Method = AC-Full-Q Split Any/Any group = enabled Search-Method-Optimizations = enabled Maximum pattern length = 20 ERROR: /etc/snort//etc/snort/rules/app-detect.rules(0) Unable to open rules file "/etc/snort//etc/snort/rules/app-detect.rules": No such file or directory. Fatal Error, Quitting..

问题是在日志的结尾。 这看起来不是很严肃,但是我弄不明白。 以下是我在snort.conf中编辑的部分: 

 var RULE_PATH /etc/snort/rules var SO_RULE_PATH /etc/snort/so_rules var PREPROC_RULE_PATH /etc/snort/preproc_rules # If you are using reputation preprocessor set these # Currently there is a bug with relative paths, they are relative to where snort is # not relative to snort.conf like the above variables # This is completely inconsistent with how other vars work, BUG 89986 # Set the absolute path appropriately var WHITE_LIST_PATH /etc/snort/rules var BLACK_LIST_PATH /etc/snort/rules

我认为这个规则导致了这个问题: 

 include $RULE_PATH/app-detect.rules

我编辑了pathvariables使它们相对: 

 var RULE_PATH rules var SO_RULE_PATH so_rules var PREPROC_RULE_PATH preproc_rules

并下载了规则 ,将它们提取到/etc/snort/rules/ ,现在它可以工作。

似乎

/etc/snort//etc/snort/

这是一个双pathconfiguration,这是什么问题的Snort防火墙。

  • 尝试检查是否存在双重$ RULE_PATH或尝试删除/ etc / snort /如果这不是全局variables。