一、说明
snort3的规则包有个特点,编号是不变的,比如我下载的snortrules-snapshot-31470.tar.gz,虽然内部规则变化了,但是名字不会变,根据介绍,个人推测原因为,规则在压缩包里是分类的,每个类所有的规则都放在一个文件内,只是规则添加,而大类没变化的,软件的配置文件也不需要修改。如果大类有变化,规则包的名字应该也就有变化了,提醒注意修改配置文件。
软件包的更新频率非常快,大家也不用每次都跟着升级,更新的内容可以看ChangeLog.md。
二、更新步骤
规则的只需将新的规则复制到对应目录内即可,由于已经有了文件,会提示是否覆盖,这里可以使用\cp来直接覆盖不提示。
\cp rules/*.rules /usr/local/snort/rules/
\cp builtins/builtins.rules /usr/local/snort/builtin_rules/
\cp etc/file_magic.lua /usr/local/snort/etc/snort/
再次编译即可看到规则数量有变化。
软件的更新没有update这样类似的命令,把原有的安装包删除,用新的安装包再次执行安装即可。这里要注意2点:1、/usr/local/snort/etc/snort 这个目录下的配置文件要备份,安装完成后再覆盖回来,具体到文件snort.lua snort_defaults.lua custom_tweaks.lua这三个文件是之前配置优化时调整过的,file_magic.lua是从规则更新包里拷贝过来的;2、安装步骤要和原来的步骤一模一样,不要略过一些配置环境变量的命令,不然会报错,snort3_extra也要随主程序一同升级,重新安装。
安装完成后就可以查看版本。
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
