[FUG-BR] Configuracao do Snort

Thiago Formagi thiago em porttal.com.br
Ter Jan 1 14:02:31 BRST 2002 

 Quando vc starta o snort o q aparece no log /var/log/messages...?
Tente baixa as rules do snort... http://www.snort.org/dl/rules/
Se não me engano o snort instalado via ports, não baixa as rules pra ele...
Crie um /etc/snort/rules e descompacte...
Edite seu snort.conf com as politicas que vc quer q o snort check... mais 
não esqueça de colocar o patch das rules no snort.conf no
( var RULE_PATH /etc/snort/rules ).
Restarte o snort e veja os log do /var/log/messages...

att
[]'s

> Ola', bom dia.
> Algum administrador que ja trabalhe com Snort, poderia estar me auxiliando 
> para uma melhor configuracao.
> Instalei o Snort via ports, editei o arquivo /usr/local/etc/snort.conf, e 
> apenas descomentei a linha
> include $RULE_PATH/chat.rules, e a linha que gera o arquivo snort.stats.
> Porem ele inicia com alguns "INACTIVE".
> ==============================================
> Stream4 config:
>    Stateful inspection: ACTIVE
>    Session statistics: INACTIVE
>    Session timeout: 30 seconds
>    Session memory cap: 8388608 bytes
>    State alerts: INACTIVE
>    Evasion alerts: INACTIVE
>    Scan alerts: INACTIVE
>    Log Flushed Streams: INACTIVE
>    MinTTL: 1
>    TTL Limit: 5
>    Async Link: 0
>    State Protection: 0
>    Self preservation threshold: 50
>    Self preservation period: 90
>    Suspend threshold: 200
>    Suspend period: 30
> Stream4_reassemble config:
>    Server reassembly: INACTIVE
>    Client reassembly: ACTIVE
>    Reassembler alerts: ACTIVE
>    Zero out flushed packets: INACTIVE
> =============================================
> Se alguem tiver como me passar algumas dicas, para um melhor 
> uso/desempenho do snort.
> Estou inciando snort da seguinte forma.
>
> #snort &
>
> Obrigado.
>
>
> _______________________________________________________________
> Para enviar um novo email para a lista: freebsd em fug.com.br
> Sair da Lista: http://mail.fug.com.br/mailman/listinfo/freebsd_fug.com.br
> Historico: http://www4.fugspbr.org/lista/html/FUG-BR/
> 


_______________________________________________________________
Para enviar um novo email para a lista: freebsd em fug.com.br
Sair da Lista: http://mail.fug.com.br/mailman/listinfo/freebsd_fug.com.br
Historico: http://www4.fugspbr.org/lista/html/FUG-BR/

Mais detalhes sobre a lista de discussão freebsd