[Comm] snort

[Comm] snort

["Антон"]

Почему snort в /var/log/snort не создает файл alerts
а подкаталоги какие-то делает?

Я его запускал по разному:
snort -v -d -e -i eth0 -h 10.0.0.0/24 -A fast
snort -v -d -e -i eth0 -h 10.0.0.0/24 -A full
snort -v -d -e -i eth0 -h 10.0.0.0/24
snort -v -d -e -i eth0 -h 10.0.0.0/24 -A fast -l /var/log/snort

Как его запустить в режиме определения атак, чтобы он в alerts писал?

Re: [Comm] snort

[Nick S. Grechukh]

В сообщении от Среда 17 Март 2004 09:46 Антон написал(a):
> Почему snort в /var/log/snort не создает файл alerts
> а подкаталоги какие-то делает?
>
> Я его запускал по разному:
> snort -v -d -e -i eth0 -h 10.0.0.0/24 -A fast
> snort -v -d -e -i eth0 -h 10.0.0.0/24 -A full
> snort -v -d -e -i eth0 -h 10.0.0.0/24
> snort -v -d -e -i eth0 -h 10.0.0.0/24 -A fast -l /var/log/snort
>
> Как его запустить в режиме определения атак, чтобы он в alerts писал?

service snortd start ?

Re: [Comm] snort

[sh]

Антон пишет:

>Почему snort в /var/log/snort не создает файл alerts
>а подкаталоги какие-то делает?
>
>Я его запускал по разному:
>snort -v -d -e -i eth0 -h 10.0.0.0/24 -A fast
>snort -v -d -e -i eth0 -h 10.0.0.0/24 -A full
>snort -v -d -e -i eth0 -h 10.0.0.0/24
>snort -v -d -e -i eth0 -h 10.0.0.0/24 -A fast -l /var/log/snort
>
>Как его запустить в режиме определения атак, чтобы он в alerts писал?
>_______________________________________________
>Community mailing list
>Community@altlinux.ru
>http://www.altlinux.ru/mailman/listinfo/community
>
>
>  
>
Приветствую, вообще мне рпмка из сизифуса не очень понравилась, т.к. у 
нее не оч прально выставлены зависимости. когда я ее поставил все ок, но 
снорт не работал просто напросто т.к. нехватало опеределенных пакетов.
Проблему решил оч просто взял тар бол и стал собирать ну оно мне и 
сказало все что ему нужно =)
и самое главное на сайте www.snort.org есть просто великолепный мануал 
по настройке снорта в pdf -е там на примере ред хэта 7.3 но разницы никакой,
тама с центром управления всем этим делом с консолью администрирования 
вощем просто супер всем советую!

Re: [Comm] snort

[Andrey Rahmatullin]

[-- Attachment #1: Type: text/plain, Size: 564 bytes --]

On Wed, Mar 17, 2004 at 02:06:43PM +0300, sh wrote:
>Приветствую, вообще мне рпмка из сизифуса не очень понравилась, т.к. у 
>нее не оч прально выставлены зависимости. когда я ее поставил все ок, но 
>снорт не работал просто напросто т.к. нехватало опеределенных пакетов.

А конкретно?

-- 
WBR, wRAR (ALT Linux Team)

Заносите ["нерадивого"] maintainer'а в blacklist и не пользуйтесь пакетами
его сборки до тех пор, пока положение дел не изменится.  Я активно пользуюсь
этим рецптом, может быть, потому я не страдаю от обновлений из Сизифа?
		-- ldv in sisyphus@

[-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --]

Re: [Comm] snort

[sh]

Andrey Rahmatullin пишет:

> On Wed, Mar 17, 2004 at 02:06:43PM +0300, sh wrote:
>
>> Приветствую, вообще мне рпмка из сизифуса не очень понравилась, т.к. 
>> у нее не оч прально выставлены зависимости. когда я ее поставил все 
>> ок, но снорт не работал просто напросто т.к. нехватало опеределенных 
>> пакетов.
>
>
> А конкретно?
>
>------------------------------------------------------------------------
>
>_______________________________________________
>Community mailing list
>Community@altlinux.ru
>http://www.altlinux.ru/mailman/listinfo/community
>
да в этом я лоханулся, я забыл переписать что было неоходимо, исправлюсь 
в понедельнирк смогу список вывесить, и еще ./configure --with-mysql это 
оч важный параметр т.к. поддержка базы ну очень полезна, я к сожедению 
не могу щас дать линк на т.н. acid это пакет пхп скриптов который 
обрабатывает всю статистику снорта ну берет ее из mysql,  одним словом 
администрирование сервера с такой системой это просто сказка все 
наглядно красиво и понятно очень рекомендую
з.ы. в понедельник обязательно вышлю поправленные зависимости (в 
варианте АЛМ 2.2 + сизиф...)
С уважением егор.

Re[2]: [Comm] snort

[Alexander Leschinsky]

Hello sh,

   On Wed, 17 Mar 2004 23:27:52 +0300 (18.03.2004 1:27 my local time),
   received Thursday, March 18, 2004 at 17:05:07,
   you wrote about "[Comm] snort"
   at least in part:

> да в этом я лоханулся,
Брателло, конкретно облажался ты значительно раньше... В качестве домашнего
задания:
- сделать "apt-cache search snort"
- медитация над stdout
- размышления на тему "какими словами мне извиниться перед мэйнейнером,
  за то, что пурги нагнал"

snort-mysql+flexresp достойно работает "из коробки", полировка там
только по вкусу, если вдруг стукнуло в голову

RTFM, dude!
-- 
without regards,
 Alexander Leschinsky

Re: [Comm] snort

[sh]

Alexander Leschinsky пишет:

>Hello sh,
>
>   On Wed, 17 Mar 2004 23:27:52 +0300 (18.03.2004 1:27 my local time),
>   received Thursday, March 18, 2004 at 17:05:07,
>   you wrote about "[Comm] snort"
>   at least in part:
>
>  
>
>>да в этом я лоханулся,
>>    
>>
>Брателло, конкретно облажался ты значительно раньше... В качестве домашнего
>задания:
>- сделать "apt-cache search snort"
>- медитация над stdout
>- размышления на тему "какими словами мне извиниться перед мэйнейнером,
>  за то, что пурги нагнал"
>
>snort-mysql+flexresp достойно работает "из коробки", полировка там
>только по вкусу, если вдруг стукнуло в голову
>
>RTFM, dude!
>  
>
"из коробки" снорт с mysql неработает так что ненада ля ля ..... кто тут 
еще пургу гонит
в коробочной версии отсутствует поддержка базы,  и то что неверно 
зависисмости стоят а точнее их просто нету это не моя проблема....
я между прочем в культурной форме и без наездов об это написал... мда..

[Comm] Re: snort

[Денис Смирнов]

On Thu, Mar 18, 2004 at 06:32:04PM +0300, sh wrote:

 s> "из коробки" снорт с mysql неработает так что ненада ля ля ..... кто тут 
 s> еще пургу гонит
 s> в коробочной версии отсутствует поддержка базы,  и то что неверно 
 s> зависисмости стоят а точнее их просто нету это не моя проблема....

На сколько будем спорить что это не так? ;) Сейчас мы с тобой поспорим, и
невнимание к документации и чужим постингам быстро станет твоей проблемой
:)

-- 
С уважением, Денис

http://freesource.info

Re: [Comm] Re: snort

[sh]

Денис Смирнов пишет:

>On Thu, Mar 18, 2004 at 06:32:04PM +0300, sh wrote:
>
> s> "из коробки" снорт с mysql неработает так что ненада ля ля ..... кто тут 
> s> еще пургу гонит
> s> в коробочной версии отсутствует поддержка базы,  и то что неверно 
> s> зависисмости стоят а точнее их просто нету это не моя проблема....
>
>На сколько будем спорить что это не так? ;) Сейчас мы с тобой поспорим, и
>невнимание к документации и чужим постингам быстро станет твоей проблемой
>:)
>
>  
>
что за детский сад..... поспорим..... кто спорит тот сам знаеш чего не стоит
2.1.0. 100% неверно составлены зависимости, у с базой он не поднимался 
не вкакую.
не реально детский сад...   всеравно что со стенкой ..комунити мда...
лучше жевать чем говорить....

Re: [Comm] Re: snort

[Andrey Rahmatullin]

[-- Attachment #1: Type: text/plain, Size: 291 bytes --]

On Fri, Mar 19, 2004 at 02:36:33PM +0300, sh wrote:
>2.1.0. 100% неверно составлены зависимости,
Конкретику плиз. "неверно составлены" не канает. Я уже говорил.

>лучше жевать чем говорить....
Угу.

-- 
WBR, wRAR (ALT Linux Team)

Ну если хочется - кто же запретит? ;-)
		-- rider in devel@

[-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --]

Re: [Comm] snort

[Serhii Hlodin]

>>>>> "s" == sh  writes:

 s> "из коробки" снорт с mysql неработает так что ненада ля ля ..... кто
 s> тут еще пургу гонит в коробочной версии отсутствует поддержка базы,

 А более конкретные претензии?

$ apt-cache search snort
snort - An intrusion detection system
snort-bloat - Snort with MySQL, PostgreSQL supports and Flexible Response
snort-contrib - Scripts/files which are not part of snort
snort-mysql+flexresp - Snort with MySQL support and Flexible Response
snort-mysql - Snort with MySQL support
snort-odbc+flexresp - Snort with unixODBC support and Flexible Response
snort-odbc - Snort with unixODBC support
snort-plain+flexresp - Snort (plain) with Flexible Response
snort-postgresql+flexresp - Snort with PostgreSQL support and Flexible Response
snort-postgresql - Snort with PostgreSQL support

$ apt-cache depends snort-mysql
snort-mysql-2.1.0-alt1
  Требует: snort = 2.1.0
  Для установки требует: </bin/sh>
    sh-2.05b-alt6
  Для установки требует: </bin/sh>
    sh-2.05b-alt6
  Требует: <libc.so.6>
    glibc-core-6:2.2.6-alt0.11
  Требует: <libc.so.6(GLIBC_2.0)>
    glibc-core-6:2.2.6-alt0.11
  Требует: <libc.so.6(GLIBC_2.1)>
    glibc-core-6:2.2.6-alt0.11
  Требует: <libc.so.6(GLIBC_2.2.5)>
    glibc-core-6:2.2.6-alt0.11
  Требует: <libcrypt.so.1>
    glibc-core-6:2.2.6-alt0.11
  Требует: <libcrypto.so.0>
    libssl-0.9.6l-alt1
  Требует: <libm.so.6>
    glibc-core-6:2.2.6-alt0.11
  Требует: <libmysqlclient.so.12>
    libMySQL-4.0.18-alt1
  Требует: <libnsl.so.1>
    glibc-core-6:2.2.6-alt0.11
  Требует: <libpcap.so.0.8>
    libpcap0.8-2:0.8.1-alt3
  Требует: <libpcre.so.3>
    libpcre3-4.5-alt1
  Требует: <libprelude.so.0>
    libprelude-0.8.8-alt4
  Требует: <libpthread.so.0>
    glibc-core-6:2.2.6-alt0.11
  Требует: <libpthread.so.0(GLIBC_2.0)>
    glibc-core-6:2.2.6-alt0.11
  Требует: <libssl.so.0>
    libssl-0.9.6l-alt1
  Требует: <libz.so.1>
    zlib-1.2.1.1-alt1

$ rpm -ql snort-2.1.0-alt1.i586.rpm |fgrep -i mysql
/etc/snort/mysql.rules
/usr/share/doc/snort-2.1.0/create_mysql

 s> и то что неверно зависисмости стоят а точнее их просто нету это не
 s> моя проблема....  я между прочем в культурной форме и без наездов об
 s> это написал... мда..

 Каких зависимостей не хватает? На что? Пожалуйста, более конкретные
 примеры.

-- 
With best regards,
                Serhii Hlodin

Re: [Comm] snort

[SH]

здравствуйте, из всего что вы написали все верно только нехватает 2х пакетов, к сожелению в данный момент не могу назвать какие именно.
>>>>>> "s" == sh  writes:
>
> s> "из коробки" снорт с mysql неработает так что ненада ля ля ..... кто
> s> тут еще пургу гонит в коробочной версии отсутствует поддержка базы,
>
> А более конкретные претензии?
>
>$ apt-cache search snort
>snort - An intrusion detection system
>snort-bloat - Snort with MySQL, PostgreSQL supports and Flexible Response
>snort-contrib - Scripts/files which are not part of snort
>snort-mysql+flexresp - Snort with MySQL support and Flexible Response
>snort-mysql - Snort with MySQL support
>snort-odbc+flexresp - Snort with unixODBC support and Flexible Response
>snort-odbc - Snort with unixODBC support
>snort-plain+flexresp - Snort (plain) with Flexible Response
>snort-postgresql+flexresp - Snort with PostgreSQL support and Flexible Response
>snort-postgresql - Snort with PostgreSQL support
>
>$ apt-cache depends snort-mysql
>snort-mysql-2.1.0-alt1
>  Требует: snort = 2.1.0
>  Для установки требует: </bin/sh>
>    sh-2.05b-alt6
>  Для установки требует: </bin/sh>
>    sh-2.05b-alt6
>  Требует: <libc.so.6>
>    glibc-core-6:2.2.6-alt0.11
>  Требует: <libc.so.6(GLIBC_2.0)>
>    glibc-core-6:2.2.6-alt0.11
>  Требует: <libc.so.6(GLIBC_2.1)>
>    glibc-core-6:2.2.6-alt0.11
>  Требует: <libc.so.6(GLIBC_2.2.5)>
>    glibc-core-6:2.2.6-alt0.11
>  Требует: <libcrypt.so.1>
>    glibc-core-6:2.2.6-alt0.11
>  Требует: <libcrypto.so.0>
>    libssl-0.9.6l-alt1
>  Требует: <libm.so.6>
>    glibc-core-6:2.2.6-alt0.11
>  Требует: <libmysqlclient.so.12>
>    libMySQL-4.0.18-alt1
>  Требует: <libnsl.so.1>
>    glibc-core-6:2.2.6-alt0.11
>  Требует: <libpcap.so.0.8>
>    libpcap0.8-2:0.8.1-alt3
>  Требует: <libpcre.so.3>
>    libpcre3-4.5-alt1
>  Требует: <libprelude.so.0>
>    libprelude-0.8.8-alt4
>  Требует: <libpthread.so.0>
>    glibc-core-6:2.2.6-alt0.11
>  Требует: <libpthread.so.0(GLIBC_2.0)>
>    glibc-core-6:2.2.6-alt0.11
>  Требует: <libssl.so.0>
>    libssl-0.9.6l-alt1
>  Требует: <libz.so.1>
>    zlib-1.2.1.1-alt1
>
>$ rpm -ql snort-2.1.0-alt1.i586.rpm |fgrep -i mysql
>/etc/snort/mysql.rules
>/usr/share/doc/snort-2.1.0/create_mysql
>
> s> и то что неверно зависисмости стоят а точнее их просто нету это не
> s> моя проблема....  я между прочем в культурной форме и без наездов об
> s> это написал... мда..
>
> Каких зависимостей не хватает? На что? Пожалуйста, более конкретные
> примеры.
>
>-- 
>With best regards,
>                Serhii Hlodin


-- 
---

Re: [Comm] snort

[Serhii Hlodin]

>>>>> "S" == SH  writes:

 S> здравствуйте, из всего что вы написали все верно только нехватает 2х
 S> пакетов, к сожелению в данный момент не могу назвать какие именно.

 Я был бы очень рад, если бы Вы вспомнили, каких именно пакетов не
 хватает.

-- 
With best regards,
                Serhii Hlodin