Я пытался заставить работать snort IDS, но у меня возникли некоторые трудности. Когда я запускаю snort -c /etc/snort/snort.conf -l /var /log /snort, я продолжаю получать эту ошибку.
Инициализация цепочек правил ... Предупреждение: /etc/snort/rules/dos.rules(42) => порог (как правило) устарел; используйте вместо обнаружения_filter. ОШИБКА: /etc/snort/rules/community-virus.rules(19) =>!любое не допускается
Любая помощь будет принята с благодарностью.
Предупреждение: /etc/snort/rules/dos.rules(42) => порог (как правило) устарел
Просто предупреждение. Это должно все еще работать, но в будущем это правило может перестать работать как написано.
ОШИБКА: /etc/snort/rules/community-virus.rules(19) =>!любое не допускается
У вас есть правила, использующие переменную, которая отрицается. В новой установке это часто наблюдается, когда вам не удается установить диапазон для $ HOME_NET в вашем snort.conf. По умолчанию установлено:
ipvar HOME_NET any
Так что, если правило использует !$HOME_NET (что делают многие правила VRT) snort выдает ошибку. Разрешение может быть так же просто, как настройка подсети для домашней сети. Например:
ipvar HOME_NET 192.168.1.1/24
Можете ли вы вставить следующие строки из ваших файлов правил? Похоже, что есть проблемы в строках 42 и 19 (соответственно).
линии 30-50 от dos.rules
строки 10-30 от community-virus.rules
