* [Comm] SNORT vs PortSentry
@ 2003-04-23 9:58 Пушкин Сергей Алексеевич
2003-04-23 10:11 ` Andrey Karpov
` (3 more replies)
0 siblings, 4 replies; 9+ messages in thread
From: Пушкин Сергей Алексеевич @ 2003-04-23 9:58 UTC (permalink / raw)
To: community
[-- Attachment #1: Type: text/plain, Size: 450 bytes --]
Доброго времени суток...
Кто-нить пользовался SNORT? Ходят упорные слухи, что против него
PortSentry - тупой скриптец (а геморроя я с ним поимел немало).
Будут какие-нить отзывы?
Для ознакомления:
www.snort.org
--
С уважением, Пушкин Сергей aka Stalker
Linux user #302651
UIN: 35113025
JID: stalker@jabber.ru
XMMS шуршит: NIGHTWISH - Walking In The Air (Live)
Плох тот солдат, который не мечтает спать с генералом.
[-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --]
^ permalink raw reply [flat|nested] 9+ messages in thread
* Re: [Comm] SNORT vs PortSentry
2003-04-23 9:58 [Comm] SNORT vs PortSentry Пушкин Сергей Алексеевич
@ 2003-04-23 10:11 ` Andrey Karpov
2003-04-23 11:52 ` Roman Savelyev
` (2 subsequent siblings)
3 siblings, 0 replies; 9+ messages in thread
From: Andrey Karpov @ 2003-04-23 10:11 UTC (permalink / raw)
To: Пушкин
Сергей
Алексеевич
Wednesday, April 23, 2003, 12:58:11 PM, you wrote:
ПСА> Кто-нить пользовался SNORT? Ходят упорные слухи, что против него
ПСА> PortSentry - тупой скриптец (а геморроя я с ним поимел немало).
ПСА> Будут какие-нить отзывы?
Hello Сергей,
Активно юзается в составе MandrakeSecurity Single Network Firewall
7.2. Что-то там отлавливает. Надо логи почитать... :)
Best regards,
Andrey mailto:andy@molex.com.ua
^ permalink raw reply [flat|nested] 9+ messages in thread
* Re: [Comm] SNORT vs PortSentry
2003-04-23 9:58 [Comm] SNORT vs PortSentry Пушкин Сергей Алексеевич
2003-04-23 10:11 ` Andrey Karpov
@ 2003-04-23 11:52 ` Roman Savelyev
2003-04-23 12:05 ` Alexander Bokovoy
2003-04-23 12:07 ` Пушкин Сергей Алексеевич
2003-04-23 19:37 ` [Comm] " Konstantin Lepikhov
2003-04-24 13:27 ` [Comm] " Igor Homyakov
3 siblings, 2 replies; 9+ messages in thread
From: Roman Savelyev @ 2003-04-23 11:52 UTC (permalink / raw)
To: community
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1
Пушкин Сергей Алексеевич пишет:
| Кто-нить пользовался SNORT? Ходят упорные слухи, что против него
| PortSentry - тупой скриптец (а геморроя я с ним поимел немало).
Именно так.
С каждым релизом ALM я собираю Snort под него :)
До 2.2 передние руки ещё не дошли.
Если надо - мне не жалко, перетолмачу .spec и швырну
| Будут какие-нить отзывы?
Сугубо положительные со всех сторон, но уж больно много логики, на
слабом компе поедание CPU может оказаться чрезмерным.
| Для ознакомления:
| www.snort.org
Спасибо, я и так в курсе :)
- --
Rgds!
Roman Savelyev
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.2.1 (MingW32)
Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org
iD8DBQE+pn59u08PPWJOeNERAtrmAJ9Z2hYmAr6bGoSleAY0i8mAt4p9OwCeO10n
hC1UxsAlWAs5Zh+UksNmxxw=
=jY7d
-----END PGP SIGNATURE-----
^ permalink raw reply [flat|nested] 9+ messages in thread
* Re: [Comm] SNORT vs PortSentry
2003-04-23 11:52 ` Roman Savelyev
@ 2003-04-23 12:05 ` Alexander Bokovoy
2003-04-23 12:07 ` Пушкин Сергей Алексеевич
1 sibling, 0 replies; 9+ messages in thread
From: Alexander Bokovoy @ 2003-04-23 12:05 UTC (permalink / raw)
To: community
On Wed, Apr 23, 2003 at 03:52:29PM +0400, Roman Savelyev wrote:
> -----BEGIN PGP SIGNED MESSAGE-----
> Hash: SHA1
>
> Пушкин Сергей Алексеевич пишет:
> | Кто-нить пользовался SNORT? Ходят упорные слухи, что против него
> | PortSentry - тупой скриптец (а геморроя я с ним поимел немало).
> Именно так.
> С каждым релизом ALM я собираю Snort под него :)
> До 2.2 передние руки ещё не дошли.
> Если надо - мне не жалко, перетолмачу .spec и швырну
Нам он скоро потребуется для одного проекта.
--
/ Alexander Bokovoy
---
"I'd love to go out with you, but I'm having all my plants neutered."
^ permalink raw reply [flat|nested] 9+ messages in thread
* Re: [Comm] SNORT vs PortSentry
2003-04-23 11:52 ` Roman Savelyev
2003-04-23 12:05 ` Alexander Bokovoy
@ 2003-04-23 12:07 ` Пушкин Сергей Алексеевич
2003-04-23 13:48 ` Serhii Hlodin
1 sibling, 1 reply; 9+ messages in thread
From: Пушкин Сергей Алексеевич @ 2003-04-23 12:07 UTC (permalink / raw)
To: community
[-- Attachment #1: Type: text/plain, Size: 1053 bytes --]
Однажды, в Wed, 23 Apr 2003 15:52:29 +0400
Roman Savelyev запустил в Инет такого червя:
RS> -----BEGIN PGP SIGNED MESSAGE-----
RS> Hash: SHA1
RS>
RS> Пушкин Сергей Алексеевич пишет:
RS> | Кто-нить пользовался SNORT? Ходят упорные слухи, что против
RS> | него PortSentry - тупой скриптец (а геморроя я с ним поимел
RS> | немало).
RS> Именно так.
RS> С каждым релизом ALM я собираю Snort под него :)
RS> До 2.2 передние руки ещё не дошли.
RS> Если надо - мне не жалко, перетолмачу .spec и швырну
RS> | Будут какие-нить отзывы?
RS> Сугубо положительные со всех сторон, но уж больно много
RS> логики, на слабом компе поедание CPU может оказаться
RS> чрезмерным.
RS> | Для ознакомления:
RS> | www.snort.org
RS> Спасибо, я и так в курсе :)
Дык может двинуть идею по продвижению в Сизиф?
--
С уважением, Пушкин Сергей aka Stalker
Linux user #302651
UIN: 35113025
JID: stalker@jabber.ru
XMMS шуршит: NIGHTWISH - Nymphomaniac Fantasia
Прогресс сделал розетки недоступными большинству детей, - умирают
самые одаренные.
[-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --]
^ permalink raw reply [flat|nested] 9+ messages in thread
* Re: [Comm] SNORT vs PortSentry
2003-04-23 12:07 ` Пушкин Сергей Алексеевич
@ 2003-04-23 13:48 ` Serhii Hlodin
0 siblings, 0 replies; 9+ messages in thread
From: Serhii Hlodin @ 2003-04-23 13:48 UTC (permalink / raw)
To: community
>>>>> "ПСА" == Пушкин Сергей Алексеевич writes:
ПСА> Дык может двинуть идею по продвижению в Сизиф?
Идея уже "висит" в воздухе. При удачном раскладе (сейчас немного
занят) -- появится до конца недели.
--
With best regards,
Serhii Hlodin
^ permalink raw reply [flat|nested] 9+ messages in thread
* [Comm] Re: SNORT vs PortSentry
2003-04-23 9:58 [Comm] SNORT vs PortSentry Пушкин Сергей Алексеевич
2003-04-23 10:11 ` Andrey Karpov
2003-04-23 11:52 ` Roman Savelyev
@ 2003-04-23 19:37 ` Konstantin Lepikhov
2003-04-24 6:50 ` Roman Savelyev
2003-04-24 13:27 ` [Comm] " Igor Homyakov
3 siblings, 1 reply; 9+ messages in thread
From: Konstantin Lepikhov @ 2003-04-23 19:37 UTC (permalink / raw)
To: community
Hi Пушкин!
Wednesday 23, at 04:58:11 PM you wrote:
>
> Доброго времени суток...
>
> Кто-нить пользовался SNORT? Ходят упорные слухи, что против него
> PortSentry - тупой скриптец (а геморроя я с ним поимел немало).
Ну тогда лучше на snort и не смотрите =)
>
> Будут какие-нить отзывы?
>
> Для ознакомления:
>
> www.snort.org
У них вес разный => бессмыслено их сравнивать, т.к работают они в разных
плоскостях.
--
WBR, Konstantin chat with ==>ICQ: 109916175
Lepikhov, speak to ==>JID: lakostis@jabber.org
aka L.A. Kostis write to ==>mailto:lakostis@pisem.net.nospam
...The information is like the bank... (c) EC8OR
^ permalink raw reply [flat|nested] 9+ messages in thread
* Re: [Comm] Re: SNORT vs PortSentry
2003-04-23 19:37 ` [Comm] " Konstantin Lepikhov
@ 2003-04-24 6:50 ` Roman Savelyev
0 siblings, 0 replies; 9+ messages in thread
From: Roman Savelyev @ 2003-04-24 6:50 UTC (permalink / raw)
To: community
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1
Konstantin Lepikhov пишет:
| У них вес разный => бессмыслено их сравнивать, т.к работают они в разных
| плоскостях.
Вчера вечером собрал.
Основа - пакет из мандрячьего "Кукера".
Он собирается без проблем, при коррекции
BuildRequires
net-snmp -> libnet
MySql-devel -> libMySql-devel
libpcap0 -> libpcap
С моего последнего пролопачивания Snort я с приятным удивлением
обнаружил, что он изрядно оброс плагинами и контрибуциями.
Мандряковская разбивка на итоговые пакеты с ходу мне не понравилась.
Похоже для Альта кошерно будет сделать подобные, но через механизм
альтернатив. (понятно, что работает _или_ snort-mysql или snort-postgres)
Ну а анализаторы результатов и автообработчики (типа временной
автоблокировки злоумышленника через IPTables) - отдельными пакетами с
зависимостями от той или иной альтернативы.
- --
Rgds!
Roman Savelyev
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.2.1 (MingW32)
Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org
iD8DBQE+p4lPu08PPWJOeNERAv9zAJ4lju0r7McQX58I4dUIhty5iTqC+ACgmVmB
L1F8+nOagw1GiPNusnUbSx8=
=I2TI
-----END PGP SIGNATURE-----
^ permalink raw reply [flat|nested] 9+ messages in thread
* Re: [Comm] SNORT vs PortSentry
2003-04-23 9:58 [Comm] SNORT vs PortSentry Пушкин Сергей Алексеевич
` (2 preceding siblings ...)
2003-04-23 19:37 ` [Comm] " Konstantin Lepikhov
@ 2003-04-24 13:27 ` Igor Homyakov
3 siblings, 0 replies; 9+ messages in thread
From: Igor Homyakov @ 2003-04-24 13:27 UTC (permalink / raw)
To: community
* Пушкин Сергей Алексеевич <pushkin @ asdg . ru> [030423 14:03]:
> Доброго времени суток...
> Кто-нить пользовался SNORT? Ходят упорные слухи, что против него
> PortSentry - тупой скриптец (а геморроя я с ним поимел немало).
> Будут какие-нить отзывы?
Отзывы исключительно положительные, особенно 2.0 -- просто душка.
наконец то сделали так что stream4 перерстал жрать столко CPU ;-)
Собсвенно основная проблема snort как пакета в том что он
цепляет базу статически, то есть выбор БД надо делать при
сборке. Отсюда возникает вопрос как его собирать, в том виде
как он лежит на org (что-то около 6-8 пакетов с разными вариация
ми сборки) делать не хочеться, скорее всего будет 2 пакета
minimal - вообще без базы и
full - MySQL + SNMP
для PostgreSQL и flexresp, надо будет пересобирать, устанавливая define.
P.S.
Клятвенно обещаю залить 2.0 на майские у меня давно работает.
--
Igor Homyakov
<homyakov at altlinux dot ru>
http://counter.li.org/cgi-bin/runscript/display-person.cgi?user=190141
^ permalink raw reply [flat|nested] 9+ messages in thread
end of thread, other threads:[~2003-04-24 13:27 UTC | newest]
Thread overview: 9+ messages (download: mbox.gz / follow: Atom feed)
-- links below jump to the message on this page --
2003-04-23 9:58 [Comm] SNORT vs PortSentry Пушкин Сергей Алексеевич
2003-04-23 10:11 ` Andrey Karpov
2003-04-23 11:52 ` Roman Savelyev
2003-04-23 12:05 ` Alexander Bokovoy
2003-04-23 12:07 ` Пушкин Сергей Алексеевич
2003-04-23 13:48 ` Serhii Hlodin
2003-04-23 19:37 ` [Comm] " Konstantin Lepikhov
2003-04-24 6:50 ` Roman Savelyev
2003-04-24 13:27 ` [Comm] " Igor Homyakov
ALT Linux Community general discussions
This inbox may be cloned and mirrored by anyone:
git clone --mirror http://lore.altlinux.org/community/0 community/git/0.git
# If you have public-inbox 1.1+ installed, you may
# initialize and index your mirror using the following commands:
public-inbox-init -V2 community community/ http://lore.altlinux.org/community \
mandrake-russian@linuxteam.iplabs.ru community@lists.altlinux.org community@lists.altlinux.ru community@lists.altlinux.com
public-inbox-index community
Example config snippet for mirrors.
Newsgroup available over NNTP:
nntp://lore.altlinux.org/org.altlinux.lists.community
AGPL code for this site: git clone https://public-inbox.org/public-inbox.git