PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : scanlogd



CEROG
03.09.02, 19:17
Hallo zusammen,

ich möchte bei mir scanlogd laufen lassen.
Leider kommt beim Booten, die Meldung, daß "nids_init" nicht definiert ist.
Mit dieser Meldung kann ich nichts anfangen, da die Dokumentation ausgesprochen dürftig ist.

Wer kann mir sagen, was ich in /sbin/scanlogd einfügen muß, damit scanlogd arbeitet?

Viele Grüße,
CEROG

tomes
03.09.02, 20:03
sollte mit dem Paket Libnids definiert werden. Hast du das installiert ?
http://www.packetfactory.net/Projects/Libnids/
Da ich noch nicht mit scanlogd gearbeitet habe, koennte es moeglich sein das du den ganzen NIDS brauchst !?
scanlogd soll ja auch Portscan erkennen, also auch sone Art IDS.

Such doch mal swatch. Ist besser, aber nicht bei jeder Distrubition dabei.
Irgenwie ist mein Link fuer die Sourcen tod. -->

Hab gefunden.Hatt sich geandert ;-))) hier jetzt:
http://www.oit.ucsb.edu/~eta/swatch/

rpm gibt es hier:
http://rpmfind.net/linux/rpm2html/search.php?query=Swatch&submit=Search+...

T;o)Mes

Matzetronic
04.09.02, 02:41
hmm,

meiner erfahrung nach is scanlogd nich so toll......
würde eher Snort (http://www.snort.org) empfehlen.

mfg,
matze

CEROG
06.09.02, 05:24
Hallo,

ich habe versucht, scanlogd selbst zu kompilieren, in der Hoffnung den Fehler zu beseitigen. Die Quellen hab ich von www.openwall.com/scanlogd.
Leider wird dann das Programm nicht gefunden.

wer weiß hier weiter?

Viele Grüße,
CEROG

tomes
06.09.02, 08:02
dass das *prog* nch in dem Ordner liegt in dem es kompiliert wurde und dieser Ordner nicht in deinem PATH liegt ?
Da es im Makefile keine INSTALL gibt und somit auch nicht irgendwo hin kopiert wird !

T;o)Mes

CEROG
13.09.02, 04:46
Hallo zusammen.

Trotz Neukompilierung bekomme ich scanlogd nicht zum Laufen.

Im Boot-log habe ich folgenden Eintrag gefunden:
<notice>/etc/init.d/rc5.d/S12scanlogd start
Starting service scanlogd done

<notice>startproc: execve (/usr/sbin/scanlogd) [ /usr/sbin/scanlogd ],
[ PWD=/ HOSTNAME=linux CONSOLE=/dev/console PREVLEVEL=N AUTOBOOT=YES REDIRECT=/dev/tty1 MACHTYPE=i386-suse-linux LINES=25 SHLVL=2 COLUMNS=80 BOOT_IMAGE=linux SHELL=/bin/bash HOSTTYPE=i386 OSTYPE=linux
HOME=/ TERM=linux PATH=/sbin:/bin:/usr/sbin:/usr/bin RUNLEVEL=5 INIT_VERSION=sysvinit-2.82 _=/sbin/startproc DAEMON=/usr/sbin/scanlogd ]
<notice>'/etc/init.d/rc5.d/S12scanlogd start' exits with status 0

Es scheint so zu sein, daß scanlogd zwar anläuft, dann aber aus irgendeinem Grund bzw, von irgendweinem Prozeß gestoppt wird.

Leider habe ich diesen Grund /diesen Prozeß noch nicht gefunden.

Wer weiß noch ne Möglichkeit?

Viele Grüße,
CEROG

tomes
13.09.02, 08:41
folgendes:
1. Neue Gruppe anlegen --> scanlogd
2. Neuen User anlegen --> scanlogd
beide sollten uebereinstimmende GID UID haben.
Dann erst make linux !!!

Oder um scanlogd als root, oder einen anderen User zum laufen zu bekommen, folgendes:
editiere die File params.h, ist gut auskommentiert.
In Zeile 17 z.B. wird der User angegeben unterdem der Daemon gestartet werden kann.
Da kann man noch ein paar Sachen aendern, wenn man will.

T;o)Mes

CEROG
15.09.02, 17:45
Hallo Tomes,

jetzt läufts.

Danke für deine Hilfe

Viele Grüße,
CEROG

Beatmaster
20.09.02, 01:38
Portsentry (http://www.psionic.com/products/portsentry.html) isst auch recht cool!

Ich habe mir extra noch ein kleines Perlscript (http://www.buchzik.de/forum/read.php?f=4&i=11&t=11) dazu geschnitzt, um Leute/Hosts nicht dauerhaft zu verbannen:

Gleich nachdem eine neue Regel in den iptables gesetzt wurde, wird ein at-command erzeugt, der selbige in zwei Monaten auch wieder löscht!

Auf Dauer werden es nämlich recht viele Einträge in den iptables ... :mad:

Michael