Fondamentalmente ho configurato il mio Snort e funziona bene con le regole della community. Gli avvisi arrivano perfettamente quando si esegue una scansione NMAP e altri test.
Il problema è che dopo aver installato la versione registrata delle regole usando oinkmaster, non ricevo alcun avviso. Ho aggiunto le regole con il loro percorso nel file snort.conf.
Lo stato sembra corretto:
● snort.service - LSB: snort
Loaded: loaded (/etc/init.d/snort)
Active: active (running) since Mon 2016-08-29 15:34:37 EDT; 2min 41s ago
Process: 6846 ExecStop=/etc/init.d/snort stop (code=exited, status=0/SUCCESS)
Process: 6893 ExecStart=/etc/init.d/snort start (code=exited, status=0/SUCCESS)
CGroup: /system.slice/snort.service
└─6913 snort -i eth1 -c /etc/snort/snort.conf -s -D
Aug 29 15:34:37 IDS snort[6913]: Preprocessor Object: SF_SDF Version 1.1 <Build 1>
Aug 29 15:34:37 IDS snort[6913]: Preprocessor Object: SF_DNP3 Version 1.1 <Build 1>
Aug 29 15:34:37 IDS snort[6913]: Preprocessor Object: SF_SIP Version 1.1 <Build 1>
Aug 29 15:34:37 IDS snort[6913]: Preprocessor Object: SF_POP Version 1.0 <Build 1>
Aug 29 15:34:37 IDS snort[6913]: Preprocessor Object: SF_SSLPP Version 1.1 <Build 4>
Aug 29 15:34:37 IDS snort[6913]: Preprocessor Object: SF_REPUTATION Version 1.1 <Build 1>
Aug 29 15:34:37 IDS snort[6913]: Preprocessor Object: SF_SMTP Version 1.1 <Build 9>
Aug 29 15:34:37 IDS snort[6913]: Preprocessor Object: SF_GTP Version 1.1 <Build 1>
Aug 29 15:34:37 IDS snort[6913]: Preprocessor Object: SF_IMAP Version 1.0 <Build 1>
Aug 29 15:34:37 IDS snort[6913]: Commencing packet processing (pid=6913)
Non ho modificato nulla, tranne l'aggiunta delle regole usando oinkmaster. Se eseguo il rollback, funziona bene con le regole della community.
Qualcuno ha qualche idea? Scusa per essere così poco specifico, ma sono un po 'perso qui.