Document

Algumas partes do resultado da instalação (representadas pelas linhas contendo [...]) foram suprimidas por questão de tamanho. Ao final da execução do comando, o Snort estará instalado e executando. Durante a instalação será perguntado o endereço da rede local, que corresponderá ao parâmetro HOME_NET. Esse parâmetro é importante, pois o tráfego que não se originar ou tiver como destino essa rede será ignorado pelo Snort.

Caso queira monitorar todo o tráfego que passa pela interface de captura do IDS, configure HOME_NET como 0.0.0.0/0.

Com o Snort instalado, podemos verificar se está em execução utilizando o comando ps no Linux:


                Jksobue:/var/log/snort# ps aux | grep snort

                snort     3305 26.6 58.1 174664 149108 ?       
S<s  03:54   5:11 / usr/sbin/snort -m 027
 -D -d -l /var/log/snort -u snort -g snort
 -c / etc/snort/snort.conf -S
 HOME_NET=[172.16.1.0/24] -i eth0



        Verifique que uma série de parâmetros é repassada para o Snort automaticamente, por conta da instalação do Snort no Debian (Ubuntu). Os principais serão descritos a seguir.

        Caso tenha interesse em outros parâmetros do Snort, o comando man snort apresenta uma descrição de todos os  parâmetros existentes.

        Alguns desses parâmetros podem ser ajustados no arquivo /etc/default/snort. Para controlar a execução do serviço do Snort, podemos utilizar os seguintes comandos:

        
            /etc/init.d/snort stop – encerra o Snort.
            /etc/init.d/snort start – inicia o Snort.
            /etc/init.d/snort restart – reinicia o Snort (aplica mudanças no arquivo de configuração).
        

        
            Parâmetros     
            
                -D: modo daemon, executa o Snort como um serviço, de modo que ele ficará em constante execução até que seu processo seja finalizado.
                -d: instrui o Snort a incluir os dados da camada de aplicação no pacote que será registrado.
                -l: indica o diretório onde os logs do Snort serão armazenados. No acaso, o diretório /var/log/snort conterá os registros de alertas e pacotes.
                -u: indica o usuário que será utilizado para executar o Snort. Conforme o princípio do menor privilégio, não se recomenda que o Snort seja executado com direitos de administrador (root).
                -g: indica o grupo utilizado para executar o processo do Snort.
                -c: indica o caminho do arquivo de configuração.
                -S: variável=valor ajusta a variável para o valor definido. Permite alteração em linha de comando de parâmetros do arquivo de configuração. Na execução acima, o parâmetro está ajustando a variável HOME_NET para o valor 172.16.1.0/24, definido durante a instalação.
                -i: indica a interface que será utilizada para a captura de tráfego.
            

            
                
                    X
                
            
        
        
        Copyright © 2014 AIEC.