Trên hệ thống Linux, Snort bắt đầu lắng nghe đến lưu lượng mạng tên giao diện Ethernet eth0. Nhiều người chạy Snort trên các máy đa-giao diện. Nếu ta muốn chạy Snort để lắng nghe đến những giao diện khác, ta phải chỉ định nó trên dòng lệnh sử dụng lựa chọn –i. Dòng lệnh dưới đây bắt đầu Snort để lắng nghe đến giao diện mạng
eth1.
snort -c /opt/snort/etc/snort.conf –i eth1
Trong trường hợp tự động startup và shutdown, ta phải thay đổi script
/etc/init.d/snortd để Snort chạy trên giao diện mình muốn ngay khi khởi động.
3.2.6.Tự động startup và shutdown
Ta có thể cấu hình Snort để tự động start khi boot và stop khi hệ thống shutdown. Trong Linux, ta phải làm trên đoạn mã trong thư mục /etc/init.d. Một đường liên kết đến đoạn mã startup có thể được tạo trong thư mục /etc/rc3.d và shutdown nằm trong
/etc/rc2/d, /etc/rc1.d và /etc/rc0.d. Một file script điển hình /etc/init.d/snortd nằm trong gói Snort RPM sau đây:
[root@conformix]# cat /etc/init.d/snortd #!/bin/sh
#
# snortd Start/Stop the snort IDS daemon. #
# chkconfig: 2345 40 60
# description: snort is a lightweight network intrusion # detection tool that
# currently detects more than 1100 host and
network
# vulnerabilities, portscans, backdoors, and more.
#
# - initial version #
# July 08, 2000 Dave Wreski <dave@guardiandigital.com>
# - added snort user/group
# - support for 1.6.2
# July 31, 2000 Wim Vandersmissen <wim@bofh.st>
# - added chroot support
# Source function library. . /etc/rc.d/init.d/functions
# Specify your network interface here INTERFACE=eth0
# See how we were called. case "$1" in
start)
Nếu ta đang tạo một script startup/shutdown khi ta biên dịch Snort, ta phải thay đổi đường dẫn để những file Snort lưu giữ sự cài đặt của ta. Đoạn script ở đây làm việc rất tốt:
echo -n "Starting snort: " cd /var/log/snort
daemon /usr/sbin/snort -A fast -b -l /var/log/snort \ –d -D -i $INTERFACE -c /etc/snort/snort.conf
touch /var/lock/subsys/snort
echo
;; stop)
echo -n "Stopping snort: " killproc snort rm -f /var/lock/subsys/snort echo ;; restart) $0 stop $0 start ;; status)
status snort ;;
*)
echo "Usage: $0 {start|stop|restart|status}" exit 1
esac exit 0
[root@conformix /root]#
File tương tự được sử dụng để start và stop Snort. Ở phần đầu tiên trong tên của file liên kết xác định nếu Snort sẽ start và stop trong một mức chạy riêng. Đường liên kết file startup khởi động cùng với file startup S.A là /etc/rc3.d/S50snort, đây thực sự là file nối kết với file /etc/init.d/snortd. Tương tự cho shutdown, nó khởi động cùng với K.For, ta có thể tạo file /etc/rc2.d/K50snort. Deamon khởi tạo sẽ tự động start Snort khi hệ thống này chuyển lên chạy ở mức 3 và sẽ stop khi hệ thống xuống mức 2.
Ta có thể start và stop Snort bằng cách tạo bằng tay thì tốt hơn. 2 dòng này dùng để start và stop Snort.
/etc/init.d/snortd start /etc/init.d/snortd stop
Phải nhớ là script và liên kết của nó nằm trong thư mục thích hợp có thể khác tên nhau. Tên của liên kết đến toàn bộ script phụ thuộc hoàn toàn trong suốt quá trình startup/shutdown. Nếu ta sử dụng một file RPM, các đường liên kết này sẽ tạo trong suốt quá trình cài đặt gói.
