hi zusammen,
ich mache zur zeit eine ausbildung als fachinoramtiker-systemintegration. ich habe die aufgabe ein nids (network intrusion detection system) aufzusetzten. da ich mich mit linux nicht so richtig auskenne, tauchen auch irgendwelche probleme auf, womit ich nichts anfangen kann.
ich habe jetzt für nids snort installiert und kofiguriert. ich denke, dass ich auch alles richtig gemacht habe ( es ist nur meine meinung). als managementkonsole habe ich ACID ( Analysis Console for Intrusion Database) installiert. wenn alles richtig ist, muss acid wie folgt aussehen. (bitte auf links klicken dann auf installation/configuration)

http://www.cert.org/kb/acid/

ich habe z.b. auf DB SETUP seite den "Create ACID AG" knopf geklickt, kam die meldung "done". es heißt für mich alles war ok. aber wenn ich auf "create indexes" klicken, kommen folgende fehlermeldumgen:

Unable to CREATE INDEX for 'signature' : Database ERROR:Table 'snortdb.event' doesn't exist

Unable to CREATE INDEX for 'timestamp' : Database ERROR:Table 'snortdb.event' doesn't exist

oder auf der startseie von acid

The underlying database snortdb@localhost appears to be incomplete/invalid
Database ERROR:Table 'snortdb.iphdr' doesn't exist

It might be an older version. Only alert databases created by Snort 1.7-beta0 or later are supported


obwohl ich die neue version installiert habe. ich weiß wirklich nicht mehr.
ich brauche dringend eure hilfe.

ciao pardes

ich denke, dass ich auch alles richtig gemacht habe ( es ist nur meine meinung). Schön für dich, nur wo ist der Nutzwert für denjenigen der dir helfen soll? Wir wissen nicht, was du gemacht hast. Wie wäre es wenn du beschreibst was du wie nach welcher Anleitung gemacht hast?

Es ist kein Fehler die verwendete Distribution und Installationsart der jewiligen Programme zu nennen (rpm, src, etc.)

ich arbeite mit redhat 8.0 und für nids brauchte ich folgende pakete, die ich auch installiert habe:

acid-0.9.6b23.tar.gz
adodb311.tgz
php-4.2.2-8.0.5.i386.rpm
apache_1.3.27.tar.gz
phplot-4.4.6.tar.gz
barnyard-0.1.0.tar.gz
php-mysql-4.2.2-8.0.5.i386.rpm
snort-1.9.0-1snort.i386.rpm
snort-mysql-1.9.0-1snort.i386.rpm

wenn du mir genua sagen kannst, welches teil ich beschreiben soll. weil ich hier ein buch benutze (Intrusion Detection für Linux-Server von Ralf Spenneberg). das buch geht über 500 seiten.

ciao

Also gelich mal vorweg: In einem Buch stehen eine Menge Dinge die der Problemlösung nicht hilfreich sind (Grundlagen, etc.). Es geht darum, dass man weiss was du bereits unternommen hast und was nicht. Das fängt mit grundlegenden Dingen an wie z. B. Hast du MySQL installiert? Benutzer und Datenbanktabellen angelegt, etc.

siehe auch: http://harry.homelinux.org

moin moin

ich vermute auch, das die snortdb nicht richtig eingerichtet ist. harry's seite scheint momentan down zu sein.

alternativ findest du hier von rabenkind ein gutes HowTo zu snort + acid => http://mondhexe.mine.nu/selfservix/


Gruß HL

Mysql habe ich installiert, dann habe ich mysql daemon gestartet.
Dann habe ich folgende befehle ausgeführt.

$ echot "GRANT DATABASE snortdb;" |mysql -u root -p

dann

$ echo "garnt INSERT, SELECT On snortdb.* to root@localhost;" | mysql snortdb -u root -p
um ein Datenbankschema zu erzeugen (laut buch), habe ich flogendes gemacht.

$ mysql snortdb -u root -p < /var/lib/mysql/snortdb/create_mysql

und dann habe ich in ACID Konfigurationsdatei folgendes geändert

* This information can be gleaned from the Snort database
* output plugin configuration.
*/
$alert_dbname = "snortdb";
$alert_host = "localhost";
$alert_port = "";
$alert_user = "root";
$alert_password = "geheim";

/* Archive DB connection parameters */
$archive_dbname = "snort_archive";
$archive_host = "localhost";
$archive_port = "";
$archive_user = "root";
$archive_password = "geheim";

/* Path to the graphing library
* (Note: DO NOT include a trailing backslash after the directory)
*/
$ChartLib_path = "/pfad/phplot-4.4.6";

/* File format of charts ('png', 'jpeg', 'gif') */
$chart_file_format = "png";

Ich hoffe , habe ich jetzt ein bisschen verständlicher gemacht.

Caio Pardes

Also normalerweise legt man zuerst eine Datenbank und und danach die Benutzerrechte (vielleicht hast du es ja auch in der Reihenfolge gemacht).

Schau bitte mal nach ob:
- Die Datenbank wirklich angelegt wurde
- SNORT Daten in die Datenbank schreibt