Snort 2.9.0.5: variabili FILE_DATA_PORTS e SIP_SERVERS sconosciute

Creato il 31 gennaio 2012 da Nightfly

Questa mattina mi sono accorto che su tutte le mie macchine snort era stoppato. Provando a lanciare un service restart il risultato era sempre lo stesso: fail.

Indi per cui ho deciso di visualizzare l'output del syslog per capire cosa diavolo stava succedendo.

Per farla breve, mi sono beccato una sfilza di errori del tipo:

FATAL ERROR: /etc/snort//rules/specific-threats.rules(946) Undefined variable name: SIP_SERVERS

FATAL ERROR: /etc/snort//rules/specific-threats.rules(766) Undefined variable name: FILE_DATA_PORTS.

Ok, mi sono detto, mancano le suddette variabili nel file di configurazione, alla fine è un problema banale e di facile soluzione. Quindi, ho aperto in scrittura il file /etc/snort/snort.conf ed ho aggiunto le seguenti direttive:

portvar FILE_DATA_PORTS [$HTTP_PORTS]

subito dopo la dichiarazione della variabile $HTTP_PORTS, e

var SIP_SERVERS $HOME_NET

Dopo aver fatto ciò, ho riavviato il demone digitando

nightfly@nightbox:~$ sudo service snort restart
e tutto è tornato a funzionare alla grande.

Bye.