moin moin

der betreff sagt es ja schon. ich möchte, das snort schon beim hochfahren des servers gestartet wird. meine distri ist übrigens suse 8.0
allerdings erhalte ich beim hochfahren folgende fehlermeldung:


Failed services in runlevel 3: snort

folgendes hab ich bis jetzt gemacht:

1.user und group snort erstellt, besitzen keine logingshell


2.startscript in etc/init.d/snort mit folgendem inhalt erstellt:

#!/bin/bash

#aufruf von snort im runlevel 3

snort -u snort -q snort -D -d -b -s -c /etc/snort.conf -l /var/log/snort


3. dieses script mit den (hoffentlich :)) richtigen rechten versehen

> ls -l /etc/init.d/snort
-rwxr-xr-- 1 snort snort 119 Aug 21 12:28 /etc/init.d/snort


4. einen link nach /etc/init.d/rc3.d gesetzt

ln -s /etc/init.d/snort /etc/init.d/rc3.d/S99snort



Gruß HangLoose:)

hi

einen fehler hab ich schon gefunden und zwar im script. die snort.conf liegt nicht unter /etc sondern unter /etc/snort

funzt allerdings immer noch nicht :confused:


HangLoose:)

hi

noch ne fehlermeldung:

Aug 21 16:07:48 linux-server snort: ERROR: OpenPcap() FSM compilation failed: parse error
Aug 21 16:07:48 linux-server snort: FATAL ERROR: PCAP command: snort


die libpcap ist aber drauf, falls das mit der fehlermeldung gemeint ist.


HangLoose:)

Netzwerkkarte angegeben.
Die Fehlermeldung koennte darauf hindeuten, dass Snort das Interfaces nicht oeffnen kann. Vielleicht hilf auch der Parameter -i Interface.

T;o)Mes

hi tomes

sorry, das ich mich jetzt erst melde. bin vorhin erst nach hause gekommen und mußte deinen tip gleich mal testen :). am interface lag es aber nicht.

ich habe snort noch mal neu installiert und siehe da,
suse liefert ein eigenes startskript mit, welches nach der installation im rootverz. liegt.

diese script habe ich nach /etc/init.d verschoben und anschließend nach /etc/init.d/rc3.d verlinkt und siehe da es funzt :)

allerdings läuft das ganze momentan noch mit root-rechten, muß ich also noch ändern.


Gruß HangLoose:)

Mannomann,

das ist harter Tobak!

Du hast auf der SuSE 8.0 snort von den CDs installiert und dann ein neues Skript /etc/init.d/snort erstellt?
Ist Dir dabei denn gar nicht aufgefallen, dass genau dort schon das Startskript abgelegt war und Du es somit überschrieben hast?

Und nach der nochmaligen Installation von snort lag dann das Startskript im root-Verzeichnis? Das glaubst Du selbst nicht, oder?

Übrigens: Das Einhängen der Startskripte für installierte Netzwerkdienste in die Runlevel kannst Du bequem über den YaST2-Runleveleditor machen oder auf der Kommandozeile mittels "insserv <Dienstbezeichnung"; von Hand linken ist da überflüssig.

Harry

moin Harry

ja ja die *feierabendadmins* :D



Du hast auf der SuSE 8.0 snort von den CDs installiert und dann ein neues Skript /etc/init.d/snort erstellt?Ist Dir dabei denn gar nicht aufgefallen, dass genau dort schon das Startskript abgelegt war und Du es somit überschrieben hast?



ehrlich gesagt nein, sonst hätte ich es wohl kaum durch mein *popeliges* ersetzt ;)
das problem war, das ich snort schon vor ein paar tagen installiert hatte. aber dann nicht mehr die zeit hatte, mich weiter damit zu beschäftigen. vorgestern habe ich dann ein wenig *gegoogelt* und auch ne kleine anleitung zu snort gefunden und der gute mann startet sein snort mit einem startscript. ich also mit joe den *einzeiler* geschrieben und unter /etc/init.d gespeichert und schon war das suse-dingens weg.



Und nach der nochmaligen Installation von snort lag dann das Startskript im root-Verzeichnis? Das glaubst Du selbst nicht, oder?

hm, ganz so sicher bin ich mir da jetzt auch nicht mehr. ich weiß bloß, das ich vor der neuinstallation, meinen *einzeiler* ins root-verz. geschoben habe und nach der installation lag da die suse-version. sicher bin ich mir da aber nicht.




Übrigens: Das Einhängen der Startskripte für installierte Netzwerkdienste in die Runlevel kannst Du bequem über den YaST2-Runleveleditor machen oder auf der Kommandozeile mittels "insserv <Dienstbezeichnung"; von Hand linken ist da überflüssig.

danke für den tip :)


bei der gelegenheit, ich hätte da noch ein 2 kleine fragen

ich habe irgendwo in einer newsgroup gelesen, das es sinnvoller ist, snort nicht auf dem firewall/router laufen zu lassen. ist es möglich, das snort auf einem client läuft und quasi an der netzwerkkarte des servers zum lan hin *lauscht*. ich brauch keine anleitung. ich möchte nur wissen, ob es sich lohnt danach zu suchen.

2.frage

das hat jetzt nichts mit snort zu tun. auf dem router läuft kein X. ich suche schon seit tagen nach ner möglichkeit, ein runtergeladenes programm vom client zum router *zu schaffen*, ohne jetzt gleich nen ftp-server aufzusetzen. oder alternativ nen ftp-server von zum bsp. freshmeat. wenn ich in den mc freshmeat.net eingebe, kommt ne fehlermeldung.


Gruß HangLoose:)

Hallo,


Original geschrieben von HangLoose
moin Harry

ja ja die *feierabendadmins* :D

Jo :cool:



hm, ganz so sicher bin ich mir da jetzt auch nicht mehr. ich weiß bloß, das ich vor der neuinstallation, meinen *einzeiler* ins root-verz. geschoben habe und nach der installation lag da die suse-version. sicher bin ich mir da aber nicht.

Soso - erwischt! :D


[B]bei der gelegenheit, ich hätte da noch ein 2 kleine fragen

ich habe irgendwo in einer newsgroup gelesen, das es sinnvoller ist, snort nicht auf dem firewall/router laufen zu lassen. ist es möglich, das snort auf einem client läuft und quasi an der netzwerkkarte des servers zum lan hin *lauscht*. ich brauch keine anleitung. ich möchte nur wissen, ob es sich lohnt danach zu suchen.

Das wird sicher mögich sein. Ich habe snort bisher noch nie eingesetzt, aber er wird Dein Interface sicherlich in den Promiscous-Mode schalten, d.h. er kann alles aufzeichnen, was an Deiner Netzwerkkarte an Traffic vorbeisaust.
Du mußt dann nur dafür sorgen, dass auch der gesamte Traffic des Segmentes an dieser Karte vorbeihuscht, ohne dass der snort-Host direkt adressiert wird. Als Lösung bietet sich in diesem Segment der Einsatz eines normalen Hub (kein switching Hub! oder wie diese Dinger seit neuestem genannt werden) für alls Hosts an.

2.frage

das hat jetzt nichts mit snort zu tun. auf dem router läuft kein X. ich suche schon seit tagen nach ner möglichkeit, ein runtergeladenes programm vom client zum router *zu schaffen*, ohne jetzt gleich nen ftp-server aufzusetzen. oder alternativ nen ftp-server von zum bsp. freshmeat. wenn ich in den mc freshmeat.net eingebe, kommt ne fehlermeldung.


Für die Datenübertragung zwischen Deinen Hosts nimmst Du scp. Das setzt auf dem Server jeweils nur den sshd voraus und der läuft auf den meisten Systemen.
Für einen FTP-Download aus dem Internet kannst Du beispielsweise lynx oder besser den w3m nehmen; der zaubert Dir für HTTP sogar bunte Bildchen in die Konsole ;)

Harry

Hi Harry


thx :)


scp muß ich mal ausprobieren. mit lynx hab ich es schon versucht, haute irgendwie nicht hin.


Gruß HangLoose:)

moin moin

@harry

danke nochmal für den scp-tip, geht wunderbar :)

jetzt habe ich aber doch nochmal ne dumme frage. ich krieg es einfach nicht gebacken, snort als snort-user zu starten, das ganze läuft immer noch mit root-rechten.

ein aufruf von snort mittels

snort -D -u snort -g snort -i ppp0 -c /etc/snort/snort.conf

bringt leider nicht das gewünschte ergebnis :confused:

muß ich eventuell noch die rechte unter /usr/sbin/snort oder am startscript ändern?

ps: user -> snort und group -> snort sind vorhanden


Gruß HangLoose

ohne der -D Option. Mit Ctrl - C kann du wieder abbrechen falls er doch starten sollte. Ist einfach gut fuer die Fehler suche ;-)
Ich schaetzte mal das /var/log/snort/alert nicht vom user SNORT geoefnet werden kann. Die Rechte am Script sind unerhaeblich, da das Script ja ROOT ausfuehrt.

T;o)Mes

Moin Tomes

*treffer, versenkt* :):)

es lag genau an den rechten von /var/log/snort

ich hab das verzeichnis user/group snort *geschenkt* und nun läuft es.

danke nochmal :)


Gruß HangLoose