Encore un problème avec snort

par **Gandalf** » 17 Mars 2005 01:33

Bonjour à tous, snort me donne encore du fil à retordre ! Quand je démarre le MNF il est en echec :

Mar 17 01:20:14 mnf snort: FATAL ERROR: OpenPcap() device ppp0 open: ^Iioctl: No such device
mar 17 01:20:14 mnf snortd: snort startup failed
Un service snortd status me donne toujours ce message à la c.... : snort mort mais le ss-système reste vérouillé ( à vos traductions :cry:

)

Si je rédémarre le service tout se passse correctement :

Mar 17 00:21:51 mnf CROND[5105]: (root) CMD ( /usr/share/msec/promisc_check.sh)
Mar 17 00:22:00 mnf CROND[5445]: (root) CMD ( /usr/share/msec/promisc_check.sh)
mar 17 00:22:04 mnf snortd: snort shutdown failed
Mar 17 00:22:05 mnf kernel: device ppp0 entered promiscuous mode
Mar 17 00:22:05 mnf snort: Initializing daemon mode
mar 17 00:22:05 mnf snortd: snort startup succeeded
Mar 17 00:22:05 mnf snort: PID path stat checked out ok, PID path set to /var/run/
Mar 17 00:22:05 mnf snort: Writing PID "5625" to file "/var/run//snort_ppp0.pid"
Mar 17 00:22:05 mnf snort: http_decode arguments:
Mar 17 00:22:05 mnf snort: Unicode decoding
Mar 17 00:22:05 mnf snort: IIS alternate Unicode decoding
Mar 17 00:22:05 mnf snort: IIS double encoding vuln
Mar 17 00:22:05 mnf snort: Flip backslash to slash
Mar 17 00:22:05 mnf snort: Include additional whitespace separators
Mar 17 00:22:05 mnf snort: Ports to decode http on: 80
Mar 17 00:22:05 mnf snort: rpc_decode arguments:
Mar 17 00:22:05 mnf snort: Ports to decode RPC on: 111 32771
Mar 17 00:22:05 mnf snort: alert_fragments: INACTIVE
Mar 17 00:22:05 mnf snort: alert_large_fragments: ACTIVE
Mar 17 00:22:05 mnf snort: alert_incomplete: ACTIVE
Mar 17 00:22:05 mnf snort: alert_multiple_requests: ACTIVE
Mar 17 00:22:05 mnf snort: telnet_decode arguments:
Mar 17 00:22:05 mnf snort: Ports to decode telnet on: 21 23 25 119
Mar 17 00:22:07 mnf snort: Snort initialization completed successfully

Je ne comprends plus bien ! Faut-il que je fasse un script qui relance snort une deuxième fois ?

Je suis preneur de toutes les idées, merci à vous !

par **micjack** » 17 Mars 2005 01:56

Salut,

Y'aurrait pas un truc du genre ou ton snort demarrerait avant ppp ? Cela expliquerait que cela fonctionne en mode console, une fois que les interfaces reseau soient chargées, entre autre ppp.

Je ne connait pas la MNF, je ne sait donc pas ou elle gere ses script de demarrages..
En general sur une distrib Linux c'est dans /etc/rc3.d ou /etc/rc.d/rc3.d ..

Verifie donc, si N° de demarrage de snort n'est pas trop tot (serrait etonnant ) Ou alors, ppp qui prend du retard à monter, manquerait peut etre un sleep de x secondes dans le script.. (connait pas ton modem, son firmware, si dhcp)

Je suppose donc, que c'est un script pas au bon moment ou manquerait retard sur ppp...

par **Gandalf** » 17 Mars 2005 10:04

Merci Micjack, c'est une explication possible je vais regarder de ce côté là !

par **Jacques-** » 17 Mars 2005 12:38

C'est même probablement la bonne explication vu le message (OpenPcap() device ppp0 open: ^Iioctl: No such device) que te lance snort.
Le principe de démarrage pour la MNF est celui du système V, donc des liens dans les dossiers /etc/rcX.d ou X est le runlevel choisi (en l'occurence 3 pour la MNF).
Et il suffit de faire un ls pour avoir les scripts exécutés dans l'ordre de lancement (les Kxx d'abord pour tuer les services, puis les Sxx pour démarrer les services).
Les scripts sont dans /etc/rc.d/init.d ou /etc/init.d en réalité.
tu peux essayer déjà de renommer le lien en S55snortd pour faire un test et relancer ta machine.
Si tout se passe bien, à priori il peut rester à cette place (c'est à dire après ipsec, ntpd). Pour rendre la modification définitive, il faut modifier la ligne chkconfig dans le script. Elle indique les niveaux de démarrage concernés par le script et la valeur du lien Start (SXX) et Stop (KXX).

Jacques

par **Gandalf** » 17 Mars 2005 18:59

Ouah ouh merci Jacques ! J'avoue que je n'ai pas bien saisi toute ton explication, mais je vais voir ça ce soir ! ( pas compris les Kxx + Sxx :shock:

)

En tout cas merci encore !

par **micjack** » 17 Mars 2005 19:38

Je vois que c'est la meme chose sur une MNF...Donc, effectivement, les scripts se trouvent dans /etc/rc.d/init.d

Ces derniers se lancerons par des liens symboliques se trouvant dans /etc/rc.d/rc1.d ...jusqu'à rc6.d
Sans serveur x, le system s'arrete au runlevel 3 et aurra executé les Sxx se trouvant dans rc3.d

Donc, pour lancer un script se trouvant dans init.d ...Il faut un lien symbolique de init.d vers rc3.d

Par exemple
/etc/rc.d/init.d/snortd ----> /etc/rc.d/rc3.d/S55snortd (pour reprendre l'exemple de Jacques)

Le script serra pris en compte une fois les Sxx inferieur passés.. Genre S12syslog, S30spamassassin, S54sshd, puis S55snortd ...S99rc.local...Donc par ordre d'execution numerique.

D'ou ma question de savoir si snort ne demarre pas avant ppp, et dans ce cas il est possible de changer son N° d'ordre... S56snortd, S57, S58 ...etc

Et les Kxx servent à Killer le process pour un arret propre de la machine, ils sont pris dans l'ordre numerique comme pour les Sxx

Aussi /etc/rc.d/rc3.d/K55snortd ---> Snort est ignoré au demarrage

Pour créer un lien, je n'utilise pas par contre chkconfig, mais "ln" et cela fonctionne sans probleme.
ln -s /etc/rc.d/init.d/script /etc/rc.d/rc3.d/S56script

PS: Pour les Sxx, Kxx: imagine toi que c'est des fichiers bat...
Les liens symboliques des raccourcis..

par **Jacques-** » 18 Mars 2005 00:03

Par défaut, snort est en S40, c'est pour cela que je lui suggère de le placer en S55, ça laisse démarrer quelques services avant, sans risque pour snort (à mon avis) et permettra à sa connexion PPP de démarrer.

Juste une remarque, les scripts en Kxx sont toujours exécutés dans un runlevel précis. Ils ne se font pas quand on arrête le runlevel 3 par exemple mais quand on y rentre.
Au boot, si le RL choisi est 3, tous les scripts en Kxx puis en Sxx sont exécutés dans /etc/rc3.d
Au reboot, ce sont ceux du rc6.d qui sont exécutés, et à l'arrêt ceux de rc0.d

De cette façon, le système peut arrêter les tâches incompatibles avec le nouveau RL et relancer que ce qui est nécessaire. Ca change de windows où il y a pas moyen d'arrêter un programme facilement (ou d'en lancer un autre) lors de l'arrêt du système.

Jacques

par **Gandalf** » 18 Mars 2005 10:13

Messieurs Merci beaucoup de ces explications, quel plaisir de pouvoir comprendre ainsi !

par **Jacques-** » 18 Mars 2005 10:24

Petit lien pour mieux comprendre le principe de démarrage d'une machine X86 sous linux (pour le bios et le boot), et de toutes les autres ensuite pour les distributions utilisant le systemV (pas debian entre autre) :

http://www.europe.redhat.com/documentat ... ocess.php3

Bonne lecture

Jacques

Encore un problème avec snort

Encore un problème avec snort

Qui est en ligne ?