Опция -с создает файл заново, что нам сейчас и нужно, но при добавлении нового пользователя в уже используемый файл вызывайте htpasswd без нее.

В каталоге /usr/local/SHADOW/filters имеются шесть фильтров, отдельно для каждого протокола, с подробными комментариями внутри: filter.getall.doc, goodhost.filter.doc, icmp.filter.doc, ip.filter.doc, tcp.filter.doc, и udp.filter.doc.

Скрипт find_scan.pl использует файл filter.getall.doc для определения внутренних сетей, fetchem.pl при помощи good host.filter.doc определяет свои mail, web servers и DNS-серверы. После проверки адресов и внесения своих параметров убираем комментарии при помощи скрипта comment_strip.

# /usr/local/SHADOW/comment_strip ip.filter.doc > /usr/local/SHADOW/filters/Site1/ip.filter 

# /usr/local/SHADOW/comment_strip icmp.filter.doc > /usr/local/SHADOW/filters/Site1/icmp.filter  

# /usr/local/SHADOW/comment_strip tcp.filter.doc > /usr/local/SHADOW/filters/Site1/tcp.filter 

# /usr/local/SHADOW/comment_strip udp.filter.doc > /usr/local/SHADOW/filters/Site1/udp.filter 

# /usr/local/SHADOW/comment_strip goodhost.filter.doc > /usr/local/SHADOW/filters/Site1/goodhost.filter 

 #/usr/local/SHADOW/comment_strip filter.getall.doc > /usr/local/SHADOW/filters/Site1/filter.getall

После чего рекомендуется проверить работу фильтров.

# tcpdump -i eth0 -n -F /usr/local/SHADOW/filters/Site1/tcp.filter 

Если не получена ошибка «parse error», то фильтр можно использовать в работе.

Теперь осталось заглянуть в файл /usr/local/SHADOW/etc/shadow.conf, который содержит настройки для конкретной системы. Надо отметить, что появление этого файла в последних версиях SHADOW заметно упростило настройку, теперь многие скрипты берут параметры отсюда. Ранее все параметры приходилось вбивать в каждый файл, что приводило к ошибкам и затрудняло конфигурацию.

Проверьте, чтобы совпадали пути к утилитам и измените IP-адреса и e-mail на реальные. После этого его можно скопировать в /etc или просто создать символическую ссылку.

# ln –s /usr/local/SHADOW/etc/shadow.conf /etc/shadow.conf

На сенсорах файл /etc/shadow.conf не используется, вместо него применяется файл Site.ph, лежащий в /usr/local/SHADOW/sites/. Файл примера, который найдете в этом каталоге, содержит настройки для первого детектора «Outside Network Perimeter» с именем Site1.ph. Для других детекторов параметры $SITE и $SITE_LABEL и имя необходимо изменить, сверившись с /etc/shadow.conf. Кроме того, в переменных $SENSOR, $WEB_SERVER и @LOCAL_IP проставьте нужные параметры. Переменная $SENSOR_DIR=»/LOG», указывает на каталог, куда детекторы будут сохранять собранные данные. Мне показалось, что-то вроде /var/shadow с вынесеным в отдельный дисковый раздел /var будет более правильно.

Теперь осталось проверить наличие всех каталогов, указанных в переменных файлов /etc/shadow.conf на анализаторе и Site1.ph на всех детекторах и изменить пользователя/группу chown –R shadow:shadow, где это потребуется.