Фырканье: Не удалось открыть файл правил
Это - мое первое с фырканьем. И я не могу заставить это работать. Я следовал этому учебному руководству точно. И у меня есть мягкая фетровая шляпа 21.
Вот вывод от-c/etc/snort/snort.conf-v-i enp0s3 фырканья:
Running in IDS mode
--== Initializing Snort ==--
Initializing Output Plugins!
Initializing Preprocessors!
Initializing Plug-ins!
Parsing Rules file "/etc/snort/snort.conf"
PortVar 'HTTP_PORTS' defined : [ 80:81 311 383 591 593 901 1220 1414 1741 1830 2301 2381 2809 3037 3128 3702 4343 4848 5250 6988 7000:7001 7144:7145 7510 7777 7779 8000 8008 8014 8028 8080 8085 8088 8090 8118 8123 8180:8181 8243 8280 8300 8800 8888 8899 9000 9060 9080 9090:9091 9443 9999 11371 34443:34444 41080 50002 55555 ]
PortVar 'SHELLCODE_PORTS' defined : [ 0:79 81:65535 ]
PortVar 'ORACLE_PORTS' defined : [ 1024:65535 ]
PortVar 'SSH_PORTS' defined : [ 22 ]
PortVar 'FTP_PORTS' defined : [ 21 2100 3535 ]
PortVar 'SIP_PORTS' defined : [ 5060:5061 5600 ]
PortVar 'FILE_DATA_PORTS' defined : [ 80:81 110 143 311 383 591 593 901 1220 1414 1741 1830 2301 2381 2809 3037 3128 3702 4343 4848 5250 6988 7000:7001 7144:7145 7510 7777 7779 8000 8008 8014 8028 8080 8085 8088 8090 8118 8123 8180:8181 8243 8280 8300 8800 8888 8899 9000 9060 9080 9090:9091 9443 9999 11371 34443:34444 41080 50002 55555 ]
PortVar 'GTP_PORTS' defined : [ 2123 2152 3386 ]
Detection:
Search-Method = AC-Full-Q
Split Any/Any group = enabled
Search-Method-Optimizations = enabled
Maximum pattern length = 20
ERROR: /etc/snort//etc/snort/rules/app-detect.rules(0) Unable to open rules file "/etc/snort//etc/snort/rules/app-detect.rules": No such file or directory.
Fatal Error, Quitting..
Проблема в конце журнала. Это не походит серьезный, но я не могу понять это. Вот раздел, который я отредактировал в snort.conf:
var RULE_PATH /etc/snort/rules
var SO_RULE_PATH /etc/snort/so_rules
var PREPROC_RULE_PATH /etc/snort/preproc_rules
# If you are using reputation preprocessor set these
# Currently there is a bug with relative paths, they are relative to where snort is
# not relative to snort.conf like the above variables
# This is completely inconsistent with how other vars work, BUG 89986
# Set the absolute path appropriately
var WHITE_LIST_PATH /etc/snort/rules
var BLACK_LIST_PATH /etc/snort/rules
Правило я думаю, вызывает проблему:
include $RULE_PATH/app-detect.rules
Я отредактировал переменные пути, чтобы сделать их относительными:
var RULE_PATH rules
var SO_RULE_PATH so_rules
var PREPROC_RULE_PATH preproc_rules
и загружено правила , распаковал их в / etc / snort / rules / , и теперь он работает.
Кажется
/ etc / snort // etc / snort /
Это конфигурация с двойным путём, вероятно, что не так с брандмауэром Snort.
- Попробуйте проверить, есть ли там двойной $ RULE_PATH или попробуйте удалить / etc / snort /, если это не глобальная переменная.
Один из вариантов, который вы можете попробовать, - это прокомментировать пути к правилам, вызывающим проблемы. Комментирование строки, содержащей app-detect.rules, приведет к тому, что при запуске snort ошибка изменится и будет ссылаться на другой путь правила. Вы можете прокомментировать все это вручную, добавив "#" перед ними или используя эту строку кода:
sudo sed -i "s/include \$RULE\_PATH/#include \$RULE\_PATH/" /etc/snort/snort.conf
Используйте команду на сервере snort
sudo sed -i "s/include \$RULE\_PATH/#include \$RULE\_PATH/" /etc/snort/snort.conf