Hallo!
Habe mir MySQL und Snort nach der Anleitung von HangLoose auf harry.homelinux.org installiert.
Hat nach ein wenig nachdenken auch (fast) alles geklappt;)

DENN:
Im letzten Schrit - also beim starten von snort mittels
snort -T -u snort -g snort -i ppp0 -c /etc/snort/snort.conf
bekomme ich den Fehler:
database: mysql_error: Acess denied for user: 'ids@localhost' (Using password: YES)
Fatal Error, Quitting

Ich habe jedoch dem Benutzer ids mittels
grant CREATE,INSERT,SELECT,DELETE,UPDATE on snortdb.* to ids@localhost IDENTIFIED BY "passwort"; Rechte gegeben.

Bin allerdings in Sachen Datenbank bis auf das Buch das neben mir liegt nicht sehr bewandert...
Hoffe jemand kann mir helfen.

Verständnishalber:
Sehe ich es richtig das ich Snort als Benutzer "snort" benutze und "snort" sein gefiltertes Material an den Datenbankbenutzer "ids" schickt?

mfg
cane

moin moin


Hat nach ein wenig nachdenken auch (fast) alles geklappt ;)

was für probleme gab es denn? immer her mit den verbesserungsvorschlägen. ich bin nicht so der *howto schreiber* ;).



Sehe ich es richtig das ich Snort als Benutzer "snort" benutze und "snort" sein gefiltertes Material an den Datenbankbenutzer "ids" schickt?

ja das ist richtig. snort läuft aus sicherheitsgründen nur mit den nötigsten rechten. der benutzer "snort" und der mysql-user "ids" sind zwei unterschiedliche paar schuhe.


database: mysql_error: Acess denied for user: 'ids@localhost' (Using password: YES)
Fatal Error, Quitting

du hast hier "password" aber schon gegen das passwort, welches du für "ids" vorgesehen hast, ausgetauscht?

grant CREATE,INSERT,SELECT,DELETE,UPDATE on snortdb.* to ids@localhost IDENTIFIED BY "passwort";

und das passwort welches du hier vergeben hast, stimmt auch mit dem passwort in der snort.conf überein?


Gruß HL

Hallo Hang!
Hattest Recht - habs zwar selber verstanden mit den verschiedenen Usern aber trotzdem das falsche Passwort in die snort.conf eingetragen:rolleyes:

Jetzt bekomm ich aber noch eine mir unverständliche Meldung...
unable to open rule file: classification.config or /etc/snort/classifikation.config

Meine rules (und somit auch besagte classifikation.config) sind aber -wie ich in der snort.conf auch richtig eingegeben habe:
var RULE_PATH /etc/snort/rules
da zu finden:confused:

ich glaub nicht das ich eine andere Variable übersehen hab...
Zur Not werd ich die rules einfach eine Verzeichnisebene höher kopieren - dann würds ja passen...

Lieber würd ich aber wissen woran es liegt.

Zu Deinem HowTo:
Ich finde es gut gelungen - soll heißen hab im gesammten deutschsprachigen Netz nur ein ähnliches gefunden - und das ging nicht auf ACID ein.

Einzige Ergänzung:
Man sollte man das Erstellen von anonymen mySQL Benutzern verhindern - oder hab ich das übersehen?

So mein Cappucino ist kalt:( aber dafür hoffe ich auf Hilfe

cane

hi


Meine rules (und somit auch besagte classifikation.config) sind aber -wie ich in der snort.conf auch richtig eingegeben habe:
var RULE_PATH /etc/snort/rules
da zu finden

ändere mal den RULE_PATH auf => /etc/snort


oder liegen deine rules tatsächlich unter /etc/snort/rules?



Einzige Ergänzung:
Man sollte man das Erstellen von anonymen mySQL Benutzern verhindern - oder hab ich das übersehen?

ich weiß jetzt nicht ganz genau auf was du hinaus willst. in der urspünglichen fassung hatte ich dem user "ids" zu viele rechte an der snortdb gegeben. siehe auch die rote ergänzung, dort werden dem user ids die unnötigen rechte wieder entzogen.


Gruß HL

oder liegen deine rules tatsächlich unter /etc/snort/rules?
Richtig - genau wie's in der Variable steht...

Wenn bis heut Abend keiner weiß wo der Fehler liegt verschiebe ich die Rules eine Ordnerebene nach oben - wenn auch ungern ;-)



ich weiß jetzt nicht ganz genau auf was du hinaus willst. in der urspünglichen fassung hatte ich dem user "ids" zu viele rechte an der snortdb gegeben. siehe auch die rote ergänzung, dort werden dem user ids die unnötigen rechte wieder entzogen.

Das habe ich gelesen.
Ich meine damit (habs noch nicht probiert) dass sich theoretisch auch ein anonymer Benutzer an der Datenbank anmelden kann.
Ist aber nur ne Vermutung...
Schau's mir heut Abend noch mal an - muß leider erst noch was anderes erledigen...

cane

hm, wenn die rules tatsächlich unter /etc/snort/rules liegen und auch die classifikation.config in dem verzeichnis liegt, sollte er die eigentlich finden. ist das eigentlich die 2.0er version? bei mir liegen die regeln nämlich unter /etc/snort und die 2.0er hatte ich noch nicht im einsatz.





Ich meine damit (habs noch nicht probiert) dass sich theoretisch auch ein anonymer Benutzer an der Datenbank anmelden kann. Ist aber nur ne Vermutung... Schau's mir heut Abend noch mal an - muß leider erst noch was anderes erledigen...

das sollte eigentlich nicht möglich sein. ich bin aber auch nicht so der db-spezi ;).


Gruß HL

ist das eigentlich die 2.0er version? bei mir liegen die regeln nämlich unter /etc/snort und die 2.0er hatte ich noch nicht im einsatz.

Nein, meine Version ist 1.9.1
Die hab ich genommen weil die 2er "angeblich" ein weniger umfangreiches Ruleset nutzt...

hi

also ich hab auch snort 1.9.1 am laufen, bzw. hatte. bei snort 1.9.1 gab es mal ein sicherheitsproblem, einen buffer overflow wenn ich mich nicht irre. deshalb habe ich es erstmal deaktiviert, weil ich noch nicht zum updaten gekommen bin.


auf jedenfall liegen bei mir die rules unter /etc/snort. kopier sie doch mal probehalber, wie du schon erwähntest, eine ebene höher.


Die hab ich genommen weil die 2er "angeblich" ein weniger umfangreiches Ruleset nutzt...

das ruleset hab ich mir noch nicht angesehen. allerdings sind auch bei der 1.9er version viele regeln bei, die der *normalsterbliche* eh nicht braucht.


Gruß HL

Hab mir Snort letzte Woche erst gezogen - denke daher der Bug ist gepatched.

Komm hier trotzdem nicht wirklich vorran:(

Der neueste Fehler beim Hochfahren von Snort ist:
[b]ERROR => Undefined variable name: (/etc/snort/exploit.rules:20): SMTP_SERVERS
Fatal Error, Quitting.. [b]

Ich werd mir das alles noch mal in Ruhe anschauen...

cu Hang

cane

moin

der fehler läßt sich recht leicht erklären. da du keinen SMTP server hast, hast du natürlich auch nicht die variable SMTP_SERVERS in der snort.conf gesetzt.

lösung des problems => öffne die datei exploit.rules und kommentiere alle zeilen in denen was mit SMTP vorkommt mit einer # aus.


ps: das gleiche spiel wirst du wahrscheinlich auch noch mit anderen rule-files machen müssen.


Gruß HL

Danke Hang...

Na dann werd ich mal loslegen...
Hätten die Programmierer aber doch sicher besser regeln können - ging warscheinlich nicht da dann alle leute die selber rules schreiben sich ätten umstellen müssen. Naja was überleg ich überhaupt...

Ich leg mal los...

mfg
cane

hi

ich finde die *gruppierung* der rules eigentlich ganz gut. man hätte die exploitrules natürlich auch noch aufsplitten können, was aber nicht unbedingt sinnvoll gewesen wäre. ist aber nur meine persönliche meinung ;)


Gruß HL

Ich meinte auch eher das snort doch durchaus so programmiert werden könnte das es erkennt das die Variable SMTP... in der snort.conf auskommentiert ist und dann die anderen SMTP... Variablen in den einzelnen Rulesets erst gar nicht berücksichtigt...

mfg
cane

das wäre allerdings ganz praktisch. kannst ja mal ne mail an die entwickler schicken.


Gruß HL