Всем добрый вечер!
1. Установил Snort+Barnyard2+PolledPork+Base. Правила PulledPork бесплатные качает, с коробки матюкается на всё жутко. Проблема в том, что я не могу найти эти базовые правила и отредактировать их, т.к. Base не показывает его sid, по msg тоже найти не получается.
В конфиге PulledPork:
#If you are running any rules in your local.rules file, we need to
# know about them to properly build a sid-msg.map that will contain your
# local.rules metadata (msg) information. You can specify other rules
# files that are local to your system here by adding a comma and more paths...
# remember that the FULL path must be specified for EACH value.
# local_rules=/path/to/these.rules,/path/to/those.rules
local_rules=/etc/snort/rules/local.rules
Получается что что правила пуледпорк пишет в
/etc/snort/rules/local.rules.
Но к сожалению, в этом файле я не могу могу найти Алерт по msg, а sid Base и вовсе не показывает (есть ID, но он левый какой-то, для одинаковых Алертов разный).
2. И второй момент, когда пуледпорк обновляет правила, он скорее всего заменяет файл с правмилами? (хоть это и не логично), тогда смысла в их редактировании и нет, как собственно и в их самих, скорее всего я ошибаюсь.