Snort & Debian

[SkOrPiOn`87]

Ciao,

Sto cercando di installare snort ed alcuni tools seguendo la guida a di html http://sicurezza.html.it/articoli/ar...i=34&npagina=3 il problema è che sono rimasto bloccato a questi 2 passi:


Passo 4:

# nel file /etc/sysconfig/
impostare

INTERFACE=eth0
CONF=/etc/snort/snort.conf
USER=snort
GROUP=snort
PASS_FIRST=0
LOGDIR=/var/log/snort
#ALERTMODE=fast
# ATTENZIONE !!! il settaggio indicato sopra è fondamentale
# per utlizzare snort con mysql.
# Si raccomanda di accertarsi che questa riga sia commentata
DUMP_APP=1
BINARY_LOG=1
NO_PACKET_LOG=0


Pass 5:

# nel file /etc/init.d/snortd
verificare la riga

# chkconfig: 235 xx yy
e confrontarla con quella presente in /etc/init.d/mysqld

# chkconfig: - 78 12
modificare snortd in modo che il secondo numero (xx) sia superiore al 78 di mysqld e il terzo (yy) sia inferiore a 12.
Ciò serve a fare in modo che snort parta dopo il server mysqld e si fermi prima, altrimenti si verificheranno errori.

I problemi sono:
1)/etc/sysconfig/ Non eiste su debian, quindi che cosa devo fare al posto di quel passo?

2) chkconfig non è presente sulla mia debian...

Grazie mille

[Caleb]

apt-get install snort pareva brutto?

[SkOrPiOn`87]

codice:

Oct  5 15:22:16 arrakis kernel: eth0: Promiscuous mode enabled.
Oct  5 15:22:16 arrakis kernel: device eth0 entered promiscuous mode
Oct  5 15:22:16 arrakis snort: Initializing daemon mode 
Oct  5 15:22:16 arrakis snort: PID path stat checked out ok, PID path set to /var/run/ 
Oct  5 15:22:16 arrakis snort: Writing PID "5795" to file "/var/run//snort_eth0.pid" 
Oct  5 15:22:16 arrakis snort: Parsing Rules file /etc/snort/snort.conf 
Oct  5 15:22:16 arrakis snort: ,-----------[Flow Config]---------------------- 
Oct  5 15:22:16 arrakis snort: | Stats Interval:  0 
Oct  5 15:22:16 arrakis snort: | Hash Method:     2 
Oct  5 15:22:16 arrakis snort: | Memcap:          10485760 
Oct  5 15:22:16 arrakis snort: | Rows  :          4099 
Oct  5 15:22:16 arrakis snort: | Overhead Bytes:  16400(%0.16) 
Oct  5 15:22:16 arrakis snort: `---------------------------------------------- 
Oct  5 15:22:16 arrakis snort: HttpInspect Config: 
Oct  5 15:22:16 arrakis snort:     GLOBAL CONFIG 
Oct  5 15:22:16 arrakis snort:       Max Pipeline Requests:    0 
Oct  5 15:22:16 arrakis snort:       Inspection Type:          STATELESS 
Oct  5 15:22:16 arrakis snort:       Detect Proxy Usage:       NO 
Oct  5 15:22:16 arrakis snort:       IIS Unicode Map Filename: /etc/snort/unicode.map 
Oct  5 15:22:16 arrakis snort:       IIS Unicode Map Codepage: 1252 
Oct  5 15:22:16 arrakis snort:     DEFAULT SERVER CONFIG: 
Oct  5 15:22:16 arrakis snort:       Ports: 80 8080 8180  
Oct  5 15:22:16 arrakis snort:       Flow Depth: 300 
Oct  5 15:22:16 arrakis snort:       Max Chunk Length: 500000 
Oct  5 15:22:16 arrakis snort:       Inspect Pipeline Requests: YES 
Oct  5 15:22:16 arrakis snort:       URI Discovery Strict Mode: NO 
Oct  5 15:22:16 arrakis snort:       Allow Proxy Usage: NO 
Oct  5 15:22:16 arrakis snort:       Disable Alerting: NO 
Oct  5 15:22:16 arrakis snort:       Oversize Dir Length: 500 
Oct  5 15:22:16 arrakis snort:       Only inspect URI: NO 
Oct  5 15:22:16 arrakis snort:       Ascii: YES alert: NO 
Oct  5 15:22:16 arrakis snort:       Double Decoding: YES alert: YES 
Oct  5 15:22:16 arrakis snort:       %U Encoding: YES alert: YES 
Oct  5 15:22:16 arrakis snort:       Bare Byte: YES alert: YES 
Oct  5 15:22:16 arrakis snort:       Base36: OFF 
Oct  5 15:22:16 arrakis snort:       UTF 8: OFF 
Oct  5 15:22:16 arrakis snort:       IIS Unicode: YES alert: YES 
Oct  5 15:22:16 arrakis snort:       Multiple Slash: YES alert: NO 
Oct  5 15:22:16 arrakis snort:       IIS Backslash: YES alert: NO 
Oct  5 15:22:16 arrakis snort:       Directory Traversal: YES alert: NO 
Oct  5 15:22:16 arrakis snort:       Web Root Traversal: YES alert: YES 
Oct  5 15:22:16 arrakis snort:       Apache WhiteSpace: YES alert: NO 
Oct  5 15:22:16 arrakis snort:       IIS Delimiter: YES alert: NO 
Oct  5 15:22:16 arrakis snort:       IIS Unicode Map: GLOBAL IIS UNICODE MAP CONFIG 
Oct  5 15:22:16 arrakis snort:       Non-RFC Compliant Characters: NONE 
Oct  5 15:22:16 arrakis snort: rpc_decode arguments: 
Oct  5 15:22:16 arrakis snort:     Ports to decode RPC on: 111 32771  
Oct  5 15:22:16 arrakis snort:     alert_fragments: INACTIVE 
Oct  5 15:22:16 arrakis snort:     alert_large_fragments: ACTIVE 
Oct  5 15:22:16 arrakis snort:     alert_incomplete: ACTIVE 
Oct  5 15:22:16 arrakis snort:     alert_multiple_requests: ACTIVE 
Oct  5 15:22:17 arrakis snort: telnet_decode arguments: 
Oct  5 15:22:17 arrakis snort:     Ports to decode telnet on: 21 23 25 119  
Oct  5 15:22:17 arrakis snort: Portscan Detection Config: 
Oct  5 15:22:17 arrakis snort:     Detect Protocols:  TCP UDP ICMP IP 
Oct  5 15:22:17 arrakis snort:     Detect Scan Type:  portscan portsweep decoy_portscan distributed_portscan 
Oct  5 15:22:17 arrakis snort:     Sensitivity Level: Low 
Oct  5 15:22:17 arrakis snort:     Memcap (in bytes): 10000000 
Oct  5 15:22:17 arrakis snort:     Number of Nodes:   36900 
Oct  5 15:22:17 arrakis snort:  
Oct  5 15:25:26 arrakis snort: FATAL ERROR: database: mysql_error: Can't connect to MySQL server on 'arrakis' (110) 
Oct  5 15:25:26 arrakis kernel: device eth0 left promiscuous mode

Però adesso ho questo errore mysql_error: Can't connect to MySQL server on 'arrakis' (110)...

Non c'è modo di scoprire il motivo? user sbagliato? passwrd o cosa?

[SkOrPiOn`87]

Originariamente inviato da Caleb
apt-get install snort pareva brutto?

No, infatti ho usato proprio quello però volevo controllare che tutto fosse ok, infatti lo è e quel passaggio l'ho potuto saltare, solo che ho problemi con il database

[l.golinelli]

Devi creare il db per snort in mysql e mettere nel file di config di snort tutte le direttive per mysql (db, user, pass, host)

Ciao!

[tog1]

se non sei un manico di mysql buttati su phpmyadmin e fai prima