如何在 OpenWRT 上啟動 Snort？

Question

最近我用 OpenWRT 替換了我的路由器操作系統，並在其上安裝了 snort(2.9)：

opkg install snort

我在/etc/snort/rules/local.rules唯一規則：

alert icmp any any -> [My Router Private IP like : 192.168.0.1] any (msg: "NMAP ping sweep Scan"; dsize:0;sid:10000004; rev: 1;)

問題是當我運行時：

snort -A console -q -c /etc/snort/snort.conf -i br-lan --daq-dir /usr/lib/daq

在命令行中，它是好的，它檢測到某些的Nmap掃描攻擊，並在控制台中寫道警報：

04/12-08:19:50.152690  [**] [1:10000005:2] NMAP TCP Scan [**] [Priority: 0] {TCP} 192.168.0.10:46287 -> 192.168.0.1:22

和日志文件，但是當我通過以下方式啟動服務時：

/etc/init.d/snort start

當我使用相同的 Nmap 命令（ nmap -sX -p22 192.168.0.1 ）時，什么也沒有發生，也沒有創建日志文件。

我的問題是：

1. 為什么服務器沒有運行？ 如果沒有 Systemctl，就無法檢測服務是否一切正常。

2. 為什么我運行 snort 命令時創建的日志是無意義的？ 例如，當我輸入cat /var/log/snort/snort.log.1523473976我得到：

   Z ^8Mvv n6(爈 Ehu @@A3 <

在控制台中。

PS ：1 - cat /etc/init.d/snort ：

#!/bin/sh /etc/rc.common
# Copyright (C) 2015 OpenWrt.org

START=90
STOP=10

USE_PROCD=1
PROG=/usr/bin/snort

validate_snort_section() {
    uci_validate_section snort snort "${1}" \
        'config_file:string' \
        'interface:string'
}

start_service() {
    local config_file interface

    validate_snort_section snort || {
        echo "validation failed"
        return 1
    }

    procd_open_instance
    procd_set_param command $PROG "-c" "$config_file" "-q" "--daq-dir" "/usr/lib/daq/" "-i" "$interface" "-s" "-N"
    procd_set_param file $CONFIGFILE
    procd_set_param respawn
    procd_close_instance
}

stop_service()
{
    service_stop ${PROG}
}

service_triggers()
{
    procd_add_reload_trigger "snort"
    procd_add_validation validate_snort_section
}

2-我實際上是按照此鏈接進行配置的。 但我取消注釋並將config logdir : 設置為/var/log/snort/ 。

（任何幫助將不勝感激）

Answer 1

默認設置為 localhost - lo檢查uci show snort.snort.interface的輸出

您可以使用uci set snort.snort.interface=br-lan更改它重新啟動 snort 以確認它確實采用了新參數 - /etc/init.d/snort restart

您可以在top / htop查看整個命令行 如果一切正常，請將更改保存到 UCI： uci commit而且您的日志是帶有該配置的二進制文件，而不是文本，我將我的日志記錄到 syslog 並將它們發送到遠程 rsyslog 服務器, 在 snort.conf - output alert_syslog: LOG_AUTH LOG_ALERT