PLD-doc/book/pl_book__uslugi/pl_uslugi__snort.sec
ciesiel
cvs w pld-linux.org
Pon, 11 Paź 2004, 17:26:44 CEST
Author: ciesiel
Date: Mon Oct 11 15:26:41 2004
New Revision: 4745
Modified:
PLD-doc/book/pl_book__uslugi/pl_uslugi__snort.sec
Log:
- obciecie screenow
Modified: PLD-doc/book/pl_book__uslugi/pl_uslugi__snort.sec
==============================================================================
--- PLD-doc/book/pl_book__uslugi/pl_uslugi__snort.sec (original)
+++ PLD-doc/book/pl_book__uslugi/pl_uslugi__snort.sec Mon Oct 11 15:26:41 2004
@@ -47,12 +47,16 @@
Dodajemy tabele w taki sam sposób dla obu baz.
</para>
<screen># gzip -d /usr/share/doc/snort-{wersja}/create_mysql.gz
-# mysql -D snort_log -u mysql -p < /usr/share/doc/snort-{wersja}/create_mysql
+# mysql -D snort_log -u mysql -p < \
+ /usr/share/doc/snort-{wersja}/create_mysql
# gzip -d /usr/share/doc/acid-{wersja}/create_acid_tbls_mysql.sql.gz
-# mysql -D snort_log -u mysql -p < /usr/share/doc/acid-{wersja}/create_acid_tbls_mysql.sql
+# mysql -D snort_log -u mysql -p < \
+ /usr/share/doc/acid-{wersja}/create_acid_tbls_mysql.sql
-# mysql -D snort_archive -u mysql -p < /usr/share/doc/snort-{wersja}/create_mysql
-# mysql -D snort_archive -u mysql -p < /usr/share/doc/acid-{wersja}/create_acid_tbls_mysql.sql</screen>
+# mysql -D snort_archive -u mysql -p < \
+ /usr/share/doc/snort-{wersja}/create_mysql
+# mysql -D snort_archive -u mysql -p < \
+ /usr/share/doc/acid-{wersja}/create_acid_tbls_mysql.sql</screen>
<para>
Następnie (najprościej przy użyciu popularnego narzędzia
<productname>phpMyAdmin</productname>) tworzymy użytkownika i nadajemy mu prawa dla
@@ -185,7 +189,8 @@
<option>config</option> (pełna
ich lista znajduję się w dokumentacji):
</para>
- <screen># wybor interfejsu do nasłuchu (jeden demon Snorta moze obslugiwac tylko jeden interfejs sieciowy)
+ <screen># wybor interfejsu do nasłuchu (jeden demon Snorta moze
+# obslugiwac tylko jeden interfejs sieciowy)
config interface: eth0</screen>
<para>
Druga część głównego pliku konfiguracyjnego, zawiera
@@ -202,12 +207,14 @@
<para>
<emphasis role="strong">Stream4, Stream4_reassemble:</emphasis>
</para>
- <screen># disable_evasion_alerts - brak alarmow przy nakladaniu sie pakietow TCP,
-# detect_scans - detektor prob cichego skanowania,
+ <screen># disable_evasion_alerts - brak alarmow przy nakladaniu sie
+#pakietow TCP, detect_scans - detektor prob cichego skanowania,
# detect_state_problems - detektor nienaturalnego zachowania
# pakietow.
-preprocessor stream4: disable_evasion_alerts detect_scans detect_state_problems
-# both - skladanie sesji TCP w obu kierunkach pomiedzy klientem i serwerem,
+preprocessor stream4: disable_evasion_alerts \
+ detect_scans detect_state_problems
+# both - skladanie sesji TCP w obu kierunkach pomiedzy
+# klientem i serwerem,
# ports - lista portow, na ktorych ma dzialac reasemblacja.
preprocessor stream4_reassemble: both ports [ 21 25 80 143 110 ]</screen>
<para>
@@ -241,7 +248,8 @@
preprocessor bo
preprocessor telnet_decode
preprocessor arpspoof
-preprocessor arpspoof_detect_host: adresy_IP przypisane_do_nich_adresy_MAC
+preprocessor arpspoof_detect_host: adresy_IP \
+ przypisane_do_nich_adresy_MAC
# console . wyswietlanie statystyk na ekranie,
# flow i events . statystyki badanego ruchu i ilosci dopasowanych
# regul,
@@ -286,7 +294,8 @@
output alert_syslog: LOG_ALER
}
# Przykladowa regula:
-czerwony_alarm $HOME_NET any -> $HOME_NET 6667 (msg:"Internal IRC Server";)</screen>
+czerwony_alarm $HOME_NET any -> $HOME_NET 6667 (msg:"Internal \
+ IRC Server";)</screen>
<para>
Czwarta, ostatnia część, głównego pliku konfiguracyjnego,
zawiera odniesienia do zestawów reguł i wcześniej już
@@ -302,7 +311,8 @@
include $RULE_PATH/rpc.rules
include $RULE_PATH/dos.rules
(...)
-# dodatkowy zestaw regul Bleeding Snort - http://www.bleedingsnort.com
+# dodatkowy zestaw regul Bleeding Snort -
+# http://www.bleedingsnort.com
include $RULE_PATH/bleeding.rules
include threshold.conf</screen>
<para>
@@ -554,7 +564,8 @@
aktualizacji jeśli pojawia się coś nowego:
</para>
<screen>TMP=`mktemp /tmp/oinkmaster.XXXXXXXX` &&
-(/usr/local/bin/oinkmaster.pl -o /etc/snort/rules/ -q > $TMP 2>&1;
+(/usr/local/bin/oinkmaster.pl -o /etc/snort/rules/ \
+ -q > $TMP 2>&1;
if [ -s $TMP ]; then mail -s "Update Snort Rules" root w twoja_domena < $TMP; fi;
rm $TMP)
@@ -562,8 +573,8 @@
TMP=`mktemp /tmp/oinkmaster.XXXXXXXX` &&
(/usr/local/bin/oinkmaster.pl -o /etc/snort/rules/ -q -u \
http://www.bleedingsnort.com/bleeding.rules.tar.gz > $TMP 2>&1;
-if [ -s $TMP ]; then mail -s "Update Bleeding Rules" root w twoja_domena < \
-$TMP; fi; rm $TMP)
+if [ -s $TMP ]; then mail -s "Update Bleeding Rules" \
+ root w twoja_domena < $TMP; fi; rm $TMP)
/etc/rc.d/init.d/snort restart</screen>
<para>
@@ -951,7 +962,8 @@
przejęciem danego pakietu. Użytkownik może także sformułować
własny komunikat, np.:
</para>
- <screen>log tcp $EXTERNAL_NET -> $HOME_NET 110 ("msg: Proba polaczenia z pop3";)</screen>
+ <screen>log tcp $EXTERNAL_NET -> $HOME_NET 110 \
+ ("msg: Proba polaczenia z pop3";)</screen>
<para>
Podjęte działania nie muszą być ograniczone do pojedynczej
czynności. Średnik separuje deklaracje poszczególnych działań,
@@ -960,7 +972,8 @@
podejrzanego ciągu znaków generowany jest odpowiedni
komunikat:
</para>
- <screen>alert tcp any any -> 192.168.1.0/24 80 (content: "/cgi-bin/phf"; msg: "PHF probe!";)</screen>
+ <screen>alert tcp any any -> 192.168.1.0/24 80 (content: "/cgi-bin/phf"; \
+ msg: "PHF probe!";)</screen>
<para>
Opcji <option>content</option> można użyć nawet kilka razy w jednej regule.
Pozwala to na wyszukiwanie wielu różnych ciągów znaków w
Więcej informacji o liście dyskusyjnej pld-doc