# make install

программа копируется в директорию /usr/local/bin, устанавливается man. После того как программа установлена, наступает самый интересный, а может, и самый муторный момент – конфигурация и создание правил, от корректности задания которых будет зависеть – будут ли ловиться те или иные атаки или нет. Цитата из раздела про sendmail в [33, стр. 718] гласит: «Если вы увидите человека, который начинает создание конфигурационного файла с пустой страницы в текстовом редакторе, можете с чистой совестью звонить в 03... Не имеет никакого смысла создавать этот файл с нуля (особенно если учесть его сложность) – гораздо проще изменить существующий. Только не забудьте сделать перед этим его копию!» То же самое можно сказать и про конфигурационный файл Snort – snort.conf. Конечно, он несколько проще его вышеупомянутого собрата, но незначительно. Готовый файл имеется в директории etc (/progi/snort-2.0.2/etc/snort.conf). Имя и размещение для файла конфигурации нигде не определены, однако де-факто файл называется snort.conf и размещать мы его будем в директории /etc/snort, которую необходимо создать. Далее в директории /etc/snort создадим поддиректорию rules, позже мы туда поместим правила. Правила мы также возьмём готовые и рассмотрим парочку правил, чтобы было ясно, как они создаются, на случай, если нам придётся их править и писать свои правила. Готовые правила можно взять из дистрибутива, однако они могут несколько отставать от жизни. Поэтому лучше брать ежедневно обновляемые правила на сайте Snort в разделе download: http://www.snort.org/dl/rules/snortrules-stable.tar.gz. Они подходят как для версий 1.9.x, так и для всех версий 2.0.x на момент написания статьи. Вопросы автоматического скачивания и обновления правил в этой статье мы рассматривать не будем. Также во всех файлах с правилами имеется шаблон файла конфигурации. Из файла с последними правилами или из дистрибутива переписываем все файлы с расширением .rules в директорию /etc/snort/rules, а оставшиеся несколько файлов в /etc/snort:

n  classification.config

n  generators

n  gen-msg.map

n  Makefile.am

n  reference.config

n  sid

n  sid-msg.map

n  snort.conf

Не все файлы нам нужны, и необязательно правила писать в отдельную директорию, просто мне кажется, что так будет удобнее, когда «мухи отдельно, котлеты отдельно».