Comece a contar os 15 minutos...

Criar diretório /etc/installsnort (este diretório deve conter todos os binários citados no decorrer do texto).

Instalação do PCRE pelos fontes. Baixar PCRE em:

• http://www.pcre.org/

# tar -xvzf pcre-7.1.tar.gz
# cd pcre-7.1
# ./configure
# make
# make install

Instalação e configuração do snort:

Baixar snort em www.snort.org/dll, versão utilizada (snort-2.6.1.4).

# tar -xvzf snort-2.6.1.4.tar.gz
# cd snort-2.6.1.4
# ./configure --with-mysql (pois iremos utilizar o MySQL)
# make
# make install

Vamos criar o grupo snort para o sistema:

# groupadd snort

Agora criaremos o usuário snort e adicionamos ele ao grupo criado:

# useradd -g snort snort

Vamos criar os diretórios de instalação onde ficarão os arquivos de configuração:

# mkdir /etc/snort
# mkdir /etc/snort/rules
# mkdir /var/log/snort

Temos que mover os arquivos de configuração criados após a instalação para o diretório /etc/snort:

# mv /etc/installsnort/etc /etc/snort

Agora copiamos as rules que serão utilizadas pelo snort para a pasta especifica, localizada em /etc/snort/rules.

OBS.: RULES podem ser baixadas em www.bleedingsnort.com.

Editando nosso snort.conf localizado em /etc/snort. Procure as linhas abaixo e configure para sua realidade:


Localize as linhas que iniciam com o texto abaixo, elas habilitarão quais assinaturas você vai utilizar.