ALT Linux Community general discussions
 help / color / mirror / Atom feed
* [Comm] SNORT vs PortSentry
@ 2003-04-23  9:58 Пушкин Сергей Алексеевич
  2003-04-23 10:11 ` Andrey Karpov
                   ` (3 more replies)
  0 siblings, 4 replies; 9+ messages in thread
From: Пушкин Сергей Алексеевич @ 2003-04-23  9:58 UTC (permalink / raw)
  To: community

[-- Attachment #1: Type: text/plain, Size: 450 bytes --]


Доброго времени суток...

Кто-нить пользовался SNORT? Ходят упорные слухи, что против него
PortSentry - тупой скриптец (а геморроя я с ним поимел немало). 

Будут какие-нить отзывы?

Для ознакомления:

www.snort.org


-- 
С уважением, Пушкин Сергей aka Stalker
Linux user #302651

UIN: 35113025
JID: stalker@jabber.ru

XMMS шуршит: NIGHTWISH - Walking In The Air (Live)

Плох тот солдат, который не мечтает спать с генералом.

[-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --]

^ permalink raw reply	[flat|nested] 9+ messages in thread

* Re: [Comm] SNORT vs PortSentry
  2003-04-23  9:58 [Comm] SNORT vs PortSentry Пушкин Сергей Алексеевич
@ 2003-04-23 10:11 ` Andrey Karpov
  2003-04-23 11:52 ` Roman Savelyev
                   ` (2 subsequent siblings)
  3 siblings, 0 replies; 9+ messages in thread
From: Andrey Karpov @ 2003-04-23 10:11 UTC (permalink / raw)
  To: Пушкин
	Сергей
	Алексеевич

Wednesday, April 23, 2003, 12:58:11 PM, you wrote:

ПСА> Кто-нить пользовался SNORT? Ходят упорные слухи, что против него
ПСА> PortSentry - тупой скриптец (а геморроя я с ним поимел немало). 

ПСА> Будут какие-нить отзывы?

Hello Сергей,

Активно юзается в составе MandrakeSecurity Single Network Firewall
7.2. Что-то там отлавливает. Надо логи почитать... :)

Best regards,
 Andrey                            mailto:andy@molex.com.ua




^ permalink raw reply	[flat|nested] 9+ messages in thread

* Re: [Comm] SNORT vs PortSentry
  2003-04-23  9:58 [Comm] SNORT vs PortSentry Пушкин Сергей Алексеевич
  2003-04-23 10:11 ` Andrey Karpov
@ 2003-04-23 11:52 ` Roman Savelyev
  2003-04-23 12:05   ` Alexander Bokovoy
  2003-04-23 12:07   ` Пушкин Сергей Алексеевич
  2003-04-23 19:37 ` [Comm] " Konstantin Lepikhov
  2003-04-24 13:27 ` [Comm] " Igor Homyakov
  3 siblings, 2 replies; 9+ messages in thread
From: Roman Savelyev @ 2003-04-23 11:52 UTC (permalink / raw)
  To: community

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

Пушкин Сергей Алексеевич пишет:
| Кто-нить пользовался SNORT? Ходят упорные слухи, что против него
| PortSentry - тупой скриптец (а геморроя я с ним поимел немало).
Именно так.
С каждым релизом ALM я собираю Snort под него :)
До 2.2 передние руки ещё не дошли.
Если надо - мне не жалко, перетолмачу .spec и швырну
| Будут какие-нить отзывы?
Сугубо положительные со всех сторон, но уж больно много логики, на
слабом компе поедание CPU может оказаться чрезмерным.
| Для ознакомления:
| www.snort.org
Спасибо, я и так в курсе :)

- --
Rgds!
Roman Savelyev
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.2.1 (MingW32)
Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org

iD8DBQE+pn59u08PPWJOeNERAtrmAJ9Z2hYmAr6bGoSleAY0i8mAt4p9OwCeO10n
hC1UxsAlWAs5Zh+UksNmxxw=
=jY7d
-----END PGP SIGNATURE-----



^ permalink raw reply	[flat|nested] 9+ messages in thread

* Re: [Comm] SNORT vs PortSentry
  2003-04-23 11:52 ` Roman Savelyev
@ 2003-04-23 12:05   ` Alexander Bokovoy
  2003-04-23 12:07   ` Пушкин Сергей Алексеевич
  1 sibling, 0 replies; 9+ messages in thread
From: Alexander Bokovoy @ 2003-04-23 12:05 UTC (permalink / raw)
  To: community

On Wed, Apr 23, 2003 at 03:52:29PM +0400, Roman Savelyev wrote:
> -----BEGIN PGP SIGNED MESSAGE-----
> Hash: SHA1
> 
> Пушкин Сергей Алексеевич пишет:
> | Кто-нить пользовался SNORT? Ходят упорные слухи, что против него
> | PortSentry - тупой скриптец (а геморроя я с ним поимел немало).
> Именно так.
> С каждым релизом ALM я собираю Snort под него :)
> До 2.2 передние руки ещё не дошли.
> Если надо - мне не жалко, перетолмачу .spec и швырну
Нам он скоро потребуется для одного проекта.
-- 
/ Alexander Bokovoy
---
"I'd love to go out with you, but I'm having all my plants neutered."


^ permalink raw reply	[flat|nested] 9+ messages in thread

* Re: [Comm] SNORT vs PortSentry
  2003-04-23 11:52 ` Roman Savelyev
  2003-04-23 12:05   ` Alexander Bokovoy
@ 2003-04-23 12:07   ` Пушкин Сергей Алексеевич
  2003-04-23 13:48     ` Serhii Hlodin
  1 sibling, 1 reply; 9+ messages in thread
From: Пушкин Сергей Алексеевич @ 2003-04-23 12:07 UTC (permalink / raw)
  To: community

[-- Attachment #1: Type: text/plain, Size: 1053 bytes --]

Однажды, в Wed, 23 Apr 2003 15:52:29 +0400
Roman Savelyev запустил в Инет такого червя:

RS> -----BEGIN PGP SIGNED MESSAGE-----
RS> Hash: SHA1
RS> 
RS> Пушкин Сергей Алексеевич пишет:
RS> | Кто-нить пользовался SNORT? Ходят упорные слухи, что против
RS> | него PortSentry - тупой скриптец (а геморроя я с ним поимел
RS> | немало).
RS> Именно так.
RS> С каждым релизом ALM я собираю Snort под него :)
RS> До 2.2 передние руки ещё не дошли.
RS> Если надо - мне не жалко, перетолмачу .spec и швырну
RS> | Будут какие-нить отзывы?
RS> Сугубо положительные со всех сторон, но уж больно много
RS> логики, на слабом компе поедание CPU может оказаться
RS> чрезмерным.
RS> | Для ознакомления:
RS> | www.snort.org
RS> Спасибо, я и так в курсе :)

Дык может двинуть идею по продвижению в Сизиф?

-- 
С уважением, Пушкин Сергей aka Stalker
Linux user #302651

UIN: 35113025
JID: stalker@jabber.ru

XMMS шуршит: NIGHTWISH - Nymphomaniac Fantasia

Прогресс сделал розетки недоступными большинству детей, - умирают
самые одаренные. 

[-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --]

^ permalink raw reply	[flat|nested] 9+ messages in thread

* Re: [Comm] SNORT vs PortSentry
  2003-04-23 12:07   ` Пушкин Сергей Алексеевич
@ 2003-04-23 13:48     ` Serhii Hlodin
  0 siblings, 0 replies; 9+ messages in thread
From: Serhii Hlodin @ 2003-04-23 13:48 UTC (permalink / raw)
  To: community

>>>>> "ПСА" == Пушкин Сергей Алексеевич writes:

 ПСА> Дык может двинуть идею по продвижению в Сизиф?

 Идея уже "висит" в воздухе. При удачном раскладе (сейчас немного
 занят) -- появится до конца недели.

-- 
With best regards,
                Serhii Hlodin

^ permalink raw reply	[flat|nested] 9+ messages in thread

* [Comm] Re: SNORT vs PortSentry
  2003-04-23  9:58 [Comm] SNORT vs PortSentry Пушкин Сергей Алексеевич
  2003-04-23 10:11 ` Andrey Karpov
  2003-04-23 11:52 ` Roman Savelyev
@ 2003-04-23 19:37 ` Konstantin Lepikhov
  2003-04-24  6:50   ` Roman Savelyev
  2003-04-24 13:27 ` [Comm] " Igor Homyakov
  3 siblings, 1 reply; 9+ messages in thread
From: Konstantin Lepikhov @ 2003-04-23 19:37 UTC (permalink / raw)
  To: community

Hi Пушкин!

Wednesday 23, at 04:58:11 PM you wrote:

> 
> Доброго времени суток...
> 
> Кто-нить пользовался SNORT? Ходят упорные слухи, что против него
> PortSentry - тупой скриптец (а геморроя я с ним поимел немало). 
Ну тогда лучше на snort и не смотрите =)

> 
> Будут какие-нить отзывы?
> 
> Для ознакомления:
> 
> www.snort.org
У них вес разный => бессмыслено их сравнивать, т.к работают они в разных
плоскостях.

-- 
WBR, Konstantin	      chat with ==>ICQ: 109916175
     Lepikhov,	      speak  to ==>JID: lakostis@jabber.org
aka L.A. Kostis       write  to ==>mailto:lakostis@pisem.net.nospam

...The information is like the bank... 			  (c) EC8OR



^ permalink raw reply	[flat|nested] 9+ messages in thread

* Re: [Comm] Re: SNORT vs PortSentry
  2003-04-23 19:37 ` [Comm] " Konstantin Lepikhov
@ 2003-04-24  6:50   ` Roman Savelyev
  0 siblings, 0 replies; 9+ messages in thread
From: Roman Savelyev @ 2003-04-24  6:50 UTC (permalink / raw)
  To: community

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

Konstantin Lepikhov пишет:
| У них вес разный => бессмыслено их сравнивать, т.к работают они в разных
| плоскостях.
Вчера вечером собрал.
Основа - пакет из мандрячьего "Кукера".
Он собирается без проблем, при коррекции

BuildRequires
net-snmp -> libnet
MySql-devel -> libMySql-devel
libpcap0 -> libpcap

С моего последнего пролопачивания Snort я с приятным удивлением
обнаружил, что он изрядно оброс плагинами и контрибуциями.

Мандряковская разбивка на итоговые пакеты с ходу мне не понравилась.
Похоже для Альта кошерно будет сделать подобные, но через механизм
альтернатив. (понятно, что работает _или_ snort-mysql или snort-postgres)

Ну а анализаторы результатов и автообработчики (типа временной
автоблокировки злоумышленника через IPTables) - отдельными пакетами с
зависимостями от той или иной альтернативы.

- --
Rgds!
Roman Savelyev
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.2.1 (MingW32)
Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org

iD8DBQE+p4lPu08PPWJOeNERAv9zAJ4lju0r7McQX58I4dUIhty5iTqC+ACgmVmB
L1F8+nOagw1GiPNusnUbSx8=
=I2TI
-----END PGP SIGNATURE-----



^ permalink raw reply	[flat|nested] 9+ messages in thread

* Re: [Comm] SNORT vs PortSentry
  2003-04-23  9:58 [Comm] SNORT vs PortSentry Пушкин Сергей Алексеевич
                   ` (2 preceding siblings ...)
  2003-04-23 19:37 ` [Comm] " Konstantin Lepikhov
@ 2003-04-24 13:27 ` Igor Homyakov
  3 siblings, 0 replies; 9+ messages in thread
From: Igor Homyakov @ 2003-04-24 13:27 UTC (permalink / raw)
  To: community


* Пушкин Сергей Алексеевич <pushkin @ asdg . ru> [030423 14:03]:

> Доброго времени суток...

> Кто-нить пользовался SNORT? Ходят упорные слухи, что против него
> PortSentry - тупой скриптец (а геморроя я с ним поимел немало). 

> Будут какие-нить отзывы?

Отзывы исключительно положительные, особенно 2.0 -- просто душка.
наконец то сделали так что stream4 перерстал жрать столко CPU ;-)

Собсвенно основная проблема snort как пакета в том что он
цепляет базу статически, то есть выбор БД надо делать при
сборке. Отсюда возникает вопрос как его собирать, в том виде
как он лежит на org (что-то около 6-8 пакетов с разными вариация
ми сборки) делать не хочеться, скорее всего будет 2 пакета
minimal - вообще без базы и 
full - MySQL + SNMP

для PostgreSQL  и flexresp, надо будет пересобирать, устанавливая define.


P.S.
    Клятвенно обещаю залить 2.0 на майские у меня давно работает.
-- 
Igor Homyakov
<homyakov at altlinux dot ru>
http://counter.li.org/cgi-bin/runscript/display-person.cgi?user=190141



^ permalink raw reply	[flat|nested] 9+ messages in thread

end of thread, other threads:[~2003-04-24 13:27 UTC | newest]

Thread overview: 9+ messages (download: mbox.gz / follow: Atom feed)
-- links below jump to the message on this page --
2003-04-23  9:58 [Comm] SNORT vs PortSentry Пушкин Сергей Алексеевич
2003-04-23 10:11 ` Andrey Karpov
2003-04-23 11:52 ` Roman Savelyev
2003-04-23 12:05   ` Alexander Bokovoy
2003-04-23 12:07   ` Пушкин Сергей Алексеевич
2003-04-23 13:48     ` Serhii Hlodin
2003-04-23 19:37 ` [Comm] " Konstantin Lepikhov
2003-04-24  6:50   ` Roman Savelyev
2003-04-24 13:27 ` [Comm] " Igor Homyakov

ALT Linux Community general discussions

This inbox may be cloned and mirrored by anyone:

	git clone --mirror http://lore.altlinux.org/community/0 community/git/0.git

	# If you have public-inbox 1.1+ installed, you may
	# initialize and index your mirror using the following commands:
	public-inbox-init -V2 community community/ http://lore.altlinux.org/community \
		mandrake-russian@linuxteam.iplabs.ru community@lists.altlinux.org community@lists.altlinux.ru community@lists.altlinux.com
	public-inbox-index community

Example config snippet for mirrors.
Newsgroup available over NNTP:
	nntp://lore.altlinux.org/org.altlinux.lists.community


AGPL code for this site: git clone https://public-inbox.org/public-inbox.git