Archiv verlassen und diese Seite im Standarddesign anzeigen : snort automatisch in runlevel3 starten
moin moin
der betreff sagt es ja schon. ich möchte, das snort schon beim hochfahren des servers gestartet wird. meine distri ist übrigens suse 8.0
allerdings erhalte ich beim hochfahren folgende fehlermeldung:
Failed services in runlevel 3: snort
folgendes hab ich bis jetzt gemacht:
1.user und group snort erstellt, besitzen keine logingshell
2.startscript in etc/init.d/snort mit folgendem inhalt erstellt:
#!/bin/bash
#aufruf von snort im runlevel 3
snort -u snort -q snort -D -d -b -s -c /etc/snort.conf -l /var/log/snort
3. dieses script mit den (hoffentlich :)) richtigen rechten versehen
> ls -l /etc/init.d/snort
-rwxr-xr-- 1 snort snort 119 Aug 21 12:28 /etc/init.d/snort
4. einen link nach /etc/init.d/rc3.d gesetzt
ln -s /etc/init.d/snort /etc/init.d/rc3.d/S99snort
Gruß HangLoose:)
hi
einen fehler hab ich schon gefunden und zwar im script. die snort.conf liegt nicht unter /etc sondern unter /etc/snort
funzt allerdings immer noch nicht :confused:
HangLoose:)
hi
noch ne fehlermeldung:
Aug 21 16:07:48 linux-server snort: ERROR: OpenPcap() FSM compilation failed: parse error
Aug 21 16:07:48 linux-server snort: FATAL ERROR: PCAP command: snort
die libpcap ist aber drauf, falls das mit der fehlermeldung gemeint ist.
HangLoose:)
Netzwerkkarte angegeben.
Die Fehlermeldung koennte darauf hindeuten, dass Snort das Interfaces nicht oeffnen kann. Vielleicht hilf auch der Parameter -i Interface.
T;o)Mes
hi tomes
sorry, das ich mich jetzt erst melde. bin vorhin erst nach hause gekommen und mußte deinen tip gleich mal testen :). am interface lag es aber nicht.
ich habe snort noch mal neu installiert und siehe da,
suse liefert ein eigenes startskript mit, welches nach der installation im rootverz. liegt.
diese script habe ich nach /etc/init.d verschoben und anschließend nach /etc/init.d/rc3.d verlinkt und siehe da es funzt :)
allerdings läuft das ganze momentan noch mit root-rechten, muß ich also noch ändern.
Gruß HangLoose:)
Mannomann,
das ist harter Tobak!
Du hast auf der SuSE 8.0 snort von den CDs installiert und dann ein neues Skript /etc/init.d/snort erstellt?
Ist Dir dabei denn gar nicht aufgefallen, dass genau dort schon das Startskript abgelegt war und Du es somit überschrieben hast?
Und nach der nochmaligen Installation von snort lag dann das Startskript im root-Verzeichnis? Das glaubst Du selbst nicht, oder?
Übrigens: Das Einhängen der Startskripte für installierte Netzwerkdienste in die Runlevel kannst Du bequem über den YaST2-Runleveleditor machen oder auf der Kommandozeile mittels "insserv <Dienstbezeichnung"; von Hand linken ist da überflüssig.
Harry
moin Harry
ja ja die *feierabendadmins* :D
Du hast auf der SuSE 8.0 snort von den CDs installiert und dann ein neues Skript /etc/init.d/snort erstellt?Ist Dir dabei denn gar nicht aufgefallen, dass genau dort schon das Startskript abgelegt war und Du es somit überschrieben hast?
ehrlich gesagt nein, sonst hätte ich es wohl kaum durch mein *popeliges* ersetzt ;)
das problem war, das ich snort schon vor ein paar tagen installiert hatte. aber dann nicht mehr die zeit hatte, mich weiter damit zu beschäftigen. vorgestern habe ich dann ein wenig *gegoogelt* und auch ne kleine anleitung zu snort gefunden und der gute mann startet sein snort mit einem startscript. ich also mit joe den *einzeiler* geschrieben und unter /etc/init.d gespeichert und schon war das suse-dingens weg.
Und nach der nochmaligen Installation von snort lag dann das Startskript im root-Verzeichnis? Das glaubst Du selbst nicht, oder?
hm, ganz so sicher bin ich mir da jetzt auch nicht mehr. ich weiß bloß, das ich vor der neuinstallation, meinen *einzeiler* ins root-verz. geschoben habe und nach der installation lag da die suse-version. sicher bin ich mir da aber nicht.
Übrigens: Das Einhängen der Startskripte für installierte Netzwerkdienste in die Runlevel kannst Du bequem über den YaST2-Runleveleditor machen oder auf der Kommandozeile mittels "insserv <Dienstbezeichnung"; von Hand linken ist da überflüssig.
danke für den tip :)
bei der gelegenheit, ich hätte da noch ein 2 kleine fragen
ich habe irgendwo in einer newsgroup gelesen, das es sinnvoller ist, snort nicht auf dem firewall/router laufen zu lassen. ist es möglich, das snort auf einem client läuft und quasi an der netzwerkkarte des servers zum lan hin *lauscht*. ich brauch keine anleitung. ich möchte nur wissen, ob es sich lohnt danach zu suchen.
2.frage
das hat jetzt nichts mit snort zu tun. auf dem router läuft kein X. ich suche schon seit tagen nach ner möglichkeit, ein runtergeladenes programm vom client zum router *zu schaffen*, ohne jetzt gleich nen ftp-server aufzusetzen. oder alternativ nen ftp-server von zum bsp. freshmeat. wenn ich in den mc freshmeat.net eingebe, kommt ne fehlermeldung.
Gruß HangLoose:)
Hallo,
Original geschrieben von HangLoose
moin Harry
ja ja die *feierabendadmins* :D
Jo :cool:
hm, ganz so sicher bin ich mir da jetzt auch nicht mehr. ich weiß bloß, das ich vor der neuinstallation, meinen *einzeiler* ins root-verz. geschoben habe und nach der installation lag da die suse-version. sicher bin ich mir da aber nicht.
Soso - erwischt! :D
[B]bei der gelegenheit, ich hätte da noch ein 2 kleine fragen
ich habe irgendwo in einer newsgroup gelesen, das es sinnvoller ist, snort nicht auf dem firewall/router laufen zu lassen. ist es möglich, das snort auf einem client läuft und quasi an der netzwerkkarte des servers zum lan hin *lauscht*. ich brauch keine anleitung. ich möchte nur wissen, ob es sich lohnt danach zu suchen.
Das wird sicher mögich sein. Ich habe snort bisher noch nie eingesetzt, aber er wird Dein Interface sicherlich in den Promiscous-Mode schalten, d.h. er kann alles aufzeichnen, was an Deiner Netzwerkkarte an Traffic vorbeisaust.
Du mußt dann nur dafür sorgen, dass auch der gesamte Traffic des Segmentes an dieser Karte vorbeihuscht, ohne dass der snort-Host direkt adressiert wird. Als Lösung bietet sich in diesem Segment der Einsatz eines normalen Hub (kein switching Hub! oder wie diese Dinger seit neuestem genannt werden) für alls Hosts an.
2.frage
das hat jetzt nichts mit snort zu tun. auf dem router läuft kein X. ich suche schon seit tagen nach ner möglichkeit, ein runtergeladenes programm vom client zum router *zu schaffen*, ohne jetzt gleich nen ftp-server aufzusetzen. oder alternativ nen ftp-server von zum bsp. freshmeat. wenn ich in den mc freshmeat.net eingebe, kommt ne fehlermeldung.
Für die Datenübertragung zwischen Deinen Hosts nimmst Du scp. Das setzt auf dem Server jeweils nur den sshd voraus und der läuft auf den meisten Systemen.
Für einen FTP-Download aus dem Internet kannst Du beispielsweise lynx oder besser den w3m nehmen; der zaubert Dir für HTTP sogar bunte Bildchen in die Konsole ;)
Harry
Hi Harry
thx :)
scp muß ich mal ausprobieren. mit lynx hab ich es schon versucht, haute irgendwie nicht hin.
Gruß HangLoose:)
moin moin
@harry
danke nochmal für den scp-tip, geht wunderbar :)
jetzt habe ich aber doch nochmal ne dumme frage. ich krieg es einfach nicht gebacken, snort als snort-user zu starten, das ganze läuft immer noch mit root-rechten.
ein aufruf von snort mittels
snort -D -u snort -g snort -i ppp0 -c /etc/snort/snort.conf
bringt leider nicht das gewünschte ergebnis :confused:
muß ich eventuell noch die rechte unter /usr/sbin/snort oder am startscript ändern?
ps: user -> snort und group -> snort sind vorhanden
Gruß HangLoose
ohne der -D Option. Mit Ctrl - C kann du wieder abbrechen falls er doch starten sollte. Ist einfach gut fuer die Fehler suche ;-)
Ich schaetzte mal das /var/log/snort/alert nicht vom user SNORT geoefnet werden kann. Die Rechte am Script sind unerhaeblich, da das Script ja ROOT ausfuehrt.
T;o)Mes
Moin Tomes
*treffer, versenkt* :):)
es lag genau an den rechten von /var/log/snort
ich hab das verzeichnis user/group snort *geschenkt* und nun läuft es.
danke nochmal :)
Gruß HangLoose
Powered by vBulletin® Version 4.2.5 Copyright ©2024 Adduco Digital e.K. und vBulletin Solutions, Inc. Alle Rechte vorbehalten.