Cerox
04.06.06, 21:56
Hallo zusammen,
ich habe hier auf einem Debian 3.1 System snort per apt installiert; das funktioniert auch alles soweit, er loggt usw...
Nun wollte ich mal guardian ausprobieren, der ja die logs in Echtzeit lesen, die IP Adressen eines eventuellen Angreifers extrahieren und dann die IP Adresse mit iptables blockieren soll.
Dazu habe ich die guardian.pl, guardian_block.sh und guardian_unblock.sh in /usr/local/bin kopiert. Die /etc/guardian.conf habe ich angepasst und die guardian.ignore in /etc ebenfalls.
Guardian starte ich mit: ./guardian.pl -c /etc/guardian.conf
OS shows Linux
My ip address and interface are: 192.168.5.5 eth0
Loaded 4 addresses from /etc/guardian.ignore
Becoming a daemon..
Das funktioniert wie man sieht wunderbar.
Die log liegt in /var/log/guardian.log und dort stands anfangs wenn ich einen Angriff auf den Rechner starte, der auch im snort alert-log auftaucht:
Odd.. source = 192.168.5.8, dest = 192.168.5.5. No action done.
Zu dem Zeitpunkt waren die block/unblock-Scripte nicht ganz richtig, da dort noch ipchains eingetragen war; ich habe das jetzt abgeändert - die Scripte sind jetzt funktionstüchtig.
Mein Problem ist nun:
1) In der log taucht bei einem Angriff nichts mehr auf. Dort steht nur noch wann ich guardian starte und beende...
2) Er sperrt folglich auch keine IP-Adressen.
Weiß jemand woran das liegt? Der "Angreifer" steht nicht in der guardian.ignore.
ich habe hier auf einem Debian 3.1 System snort per apt installiert; das funktioniert auch alles soweit, er loggt usw...
Nun wollte ich mal guardian ausprobieren, der ja die logs in Echtzeit lesen, die IP Adressen eines eventuellen Angreifers extrahieren und dann die IP Adresse mit iptables blockieren soll.
Dazu habe ich die guardian.pl, guardian_block.sh und guardian_unblock.sh in /usr/local/bin kopiert. Die /etc/guardian.conf habe ich angepasst und die guardian.ignore in /etc ebenfalls.
Guardian starte ich mit: ./guardian.pl -c /etc/guardian.conf
OS shows Linux
My ip address and interface are: 192.168.5.5 eth0
Loaded 4 addresses from /etc/guardian.ignore
Becoming a daemon..
Das funktioniert wie man sieht wunderbar.
Die log liegt in /var/log/guardian.log und dort stands anfangs wenn ich einen Angriff auf den Rechner starte, der auch im snort alert-log auftaucht:
Odd.. source = 192.168.5.8, dest = 192.168.5.5. No action done.
Zu dem Zeitpunkt waren die block/unblock-Scripte nicht ganz richtig, da dort noch ipchains eingetragen war; ich habe das jetzt abgeändert - die Scripte sind jetzt funktionstüchtig.
Mein Problem ist nun:
1) In der log taucht bei einem Angriff nichts mehr auf. Dort steht nur noch wann ich guardian starte und beende...
2) Er sperrt folglich auch keine IP-Adressen.
Weiß jemand woran das liegt? Der "Angreifer" steht nicht in der guardian.ignore.