如何设定一个安全的log服务器(2)

首先，我们需要更改一下 /etc/snort/snort.conf 具体需要参照您自己的机器来设定。

#设定 log 存放的地方

config logdir: /var/log/snort

#设定网路

var HOME_NET 192.168.1.0/24

var EXTERNAL_NET any

var SMTP ?$HOME_NET

var HTTP_SERVERS ?$HOME_NET

var SQL_SERVERS ?$HOME_NET

var DNS_SERVERS 192.168.1.250/32

var RULE_PATH ./

#设定 preprocessors

preprocessor frag2

preprocessor stream4: detect_scans

preprocessor stream4_reassemblt

preprocessor portscan: ?$HOME_NET 4 3 portscan.log

#设定 output

output database: log， mysql， user=root

dbname-snort host=localhost

#rules

alert tcp ?$HOME_NET 7161 -> ?$EXTERNAL_NET any

(msg: "MISC Cisco Catalyst Remote Access";

flags: SA; reference:arachnids， 129;

reference:cve， CVE-1999-0430;

classtype:bad-unknow; sid:513; rev:1;)

#设定 patch ， 这些都是些附加的 rules 的文件

include ?$RULE_PATH/bad-traffic.rules

include ?$RULE_PATH/exploit.rules

include ?$RULE_PATH/scan.rules

include ?$RULE_PATH/ftp.rules

#这些 rule 其实还有很多.您可以自己去写，也可以找人家写好的下载拿来用.

现在让我们把 snort 跑起来∶

snort -c /etc/snort/snort.conf -D -i eth0

现在 snort NIDS 的模式跑起来了. 在 default 的情况下∶

alerts 会放在 /var/log/snort/alert 中

port-scanning 会放在 /var/log/snort/portscan.log

当您真正跑 NIDS 的时侯，需要把 snort 以 daemon 的模式来跑. 如果您安装的是 rpm 的东西，那么 rpm 文件中已经包含了一个 snortd 的文件，并且会帮您安装在 /etc/rc.d/init.d/ 下面. 当您设定好 snort 的 configure 文件以后，只要用 chkconfig 把 snortd 打开就可以了：

加入 snortd

chkconfig --add snortd

打开 snortd

chkconfig snortd on

或者

chkconfig --level 3 snortd on

这里的 level 请自行更改到您所跑的 runlevel

您可以用 cat /etc/inittab | grep id 来看自己在哪个runlevel 上面。