入侵防御之snort配置

写在前面

完成了最难的安装步骤后，配置snort稍显简单。但是网上的很多教程复杂的很，一些原因甚至完全没有说明白，我甚至怀疑这些人是否真的装了snort…
所有的科学规律都是简洁和美的，我认为就算是计算机科学也不例外，学习越深入越是发现所有学科和哲学的关联。哲学注重理性，而理性则看重逻辑和基于经验的推演，目前我认为物理学是理性后者的延申，而计算机科学是逻辑运用的极致，所以我也认为此系统的配置应该是简洁的。
本次配置学习到的经验就是–认真阅读错误原因，不要一报错就ctrl v到百度去问，网上参差不齐的教程可能反而会带着你兜圈子。
##STEP ONE–下载规则库
下载snort规则库，链接如下：
snort规则库下载
snort作为一个开源免费软件，安装步骤繁琐一点，下载需要注册个账号算得了啥。

登录后即可下载，然后将下载的文件移动到snort安装目录下并执行下面的解压代码直接运行即可。
sudo snort -de -l logs/ -c etc/snort.conf
前面的community rules似乎并没有什么用，没安装也不影响正常运行。

此时将snort以IDS模式打开运行你会发现并不能顺利执行。在网上查询之后我认可了其他人的说法，这是snort本身的bug，一些文件在snort.conf配置文件中有了路径，但是下载的源码和规则库中却并没有，导致无法运行，下面是我们的第二步，完善文件路径。

STEP TWO–文件路径完善

黑白名单建立

snort以IDS模式运行之后会遇到的第一个错误大概会是white_list.rules相关的，如果英文还可以的话可能会看出来这应该是白名单，那么相对应的肯定也会有黑名单的错误–black_list.rules，网上一种行之有效的方法就是打开snort.conf文件注释掉其中white_list.rules和black_list.rules相关的代码，这种方法可能确实有效，但同时也意味着阉割了snort的黑白名单功能，所以我自己找到了一种稍微进阶一点的方法。
报的错大意是找不到黑白名单的文件，而在snort.conf文件中可以看到系统找寻的路径是在rules文件夹下，所以在rules文件夹内新建white_list.rules和black_list.rules即可，而以后如果要使用黑白名单的功能时只需对这两个文件进行写入即可。

警报文件建立

完成之后我们再次运行snort会发现，还是无法成功运行，这次的错误大概是无法定位logs文件，同样也是文件夹缺失的错误。此文件用于snort -l 时对检测到的信息进行输出时的存储，根据报错就可以看出logs文件夹应该是在snort文件目录下，新建logs文件夹即可。
然后输入sudo snort -de -l logs/ -c etc/snort.conf得到如下图的界面说明配置成功

SUM UP

1.官网下载snapshot规则库–需注册账号
2.到snort安装文件夹下解压
3.在rules文件下新建white_list.rules文件和black_list.rules
4.在snort安装文件下新建logs文件夹