snort + acid sur mse 6 : doute sur fonctionnement

[pbordere]

Bonsoir, <BR> <BR>J'ai installé snort-2.0.4-1.i386.rpm + snort-mysql-2.0.4-1.i386.rpm + sme-acid-2.0.0-1ari.noarch.rpm <BR>sur ma mse 6.0. <BR> <BR>Pas de message particulier à l'installation. <IMG SRC="images/smiles/icon_smile.gif"> <BR> <BR>Cependant, "snortd status" me répond 'snortd-mysql est arrêté' !!! <BR>De plus, <!-- BBCode auto-link start --><a href="https://monsite/acid" target="_blank">https://monsite/acid</a><!-- BBCode auto-link end --> indique 'Sensors :0' <BR> <BR>Y aurait il pas un problème ??? <IMG SRC="images/smiles/icon_wink.gif"> <BR> <BR>La lecture de snort.conf montre : <BR>1/ l'IP de la carte réseau vers internet est dans les classes d'adresse de HOME_NET <BR>2/ var EXTERNAL_NET !$HOME_NET <BR>Ce sont les paramêtres non modifiés. <BR> <BR>Quelqu'un a t'il une idée ou une piste de recherche ?

[MasterSleepy]

Salut, <BR> <BR>Comment te connectes-tu à internet, par un modem ethernet ou usb. <BR>Car il y a un adaptation à faire si c'est usb. <BR> <BR>Après démarre le service car il ne le fait pas automatiquement, <BR>vérifie que ça soit le ligne avec snort-mysql qui soit activer adns le script de démarrage. <BR> <BR>A+

[pbordere]

Merci pour ton aide, <BR> <BR>1/ la connexion se fait sur eth1 via un modem cable (ethernet). <BR> <BR>2/ dans le snortd (/etc/init.d) j'ai bien une ligne (sans les #) avec : daemon /usr/sbin/snort-mysql -d -i eth1 -c /etc/snort/snort.conf -D <BR> <BR>un ./snortd start suivi d'un ./snortd status donne snort-mysql est arrêté <BR> <BR>idem pour un lancement direct (sans le daemon car j'ai une "bash : command not found"). <BR> <BR> <IMG SRC="images/smiles/icon_frown.gif"> <BR> <BR> <IMG SRC="images/smiles/icon_bawling.gif">

[Pabze]

As tu résolus ton probléme ?

[pbordere]

NON, je suis toujours demandeur d'un petit coup de main. <BR>

[pbordere]

AU SECOURS ............. <BR> <BR>Quelqu'un aurait il une idée sur la raison de l'arrêt de snort-mysql ? <BR> <BR>Il y a t'il une méthode pour le lancer "à la main " (cf ci dessus, pour la frappe sur la console d'une partie du script) ? <BR> <BR>Comment savoir si le probléme vient de mysql ? <BR>J'ai bien 60 fichiers (par groupe de trois) dans /var/lib/mysql/snort_log et 48 fichiers dans /var/lib/mysql/snort_archive. Ils datent de l'installation (et réinstallation pour snort_archive), ce qui montre qu'ils ne sont pas alimentés par snort_mysql (puisqu'il qu'il est arrêté). <BR> <BR>SVP : Une idée, une piste de recherche, une doc. sur mon problème <IMG SRC="images/smiles/icon_bawling.gif"> <BR> <BR> <BR>Serais je le seule a avoir installé snort+acid sur sme 6.0 ? et a avoir ce problème ?

[MasterSleepy]

Salut, <BR> <BR>as tu vérifié que la base de donnée c'est bien créée . <BR>Elle s'apelle snort_log et il doit y avoir aussi snort_archive. <BR> <BR>De plus dans le fichier de config /etc/snort/snort.conf <BR>il doit y avoir une entré pour mysql, fait une recherche dans le fichier avec output database qui ne doit pas être en commentaire. <BR>Cette ligne doit ressembler à <BR>output database: log, mysql, user=[utilisateur] password=[password] dbname=snort_log host=localhost <BR> <BR>A+

[Pabze]

J'ai eu le même probléme que toi lorsque j'ai installé Snort + SnortMysql + Acid lorsque les deux premiers étaient de la version 2.0.4-1 ! Pourtant les bases sql etaient bien créées, les logs tournés (Aprés correction d'un probléme ou un "r" manqué dans le crontab à "var" <BR>Snort se lancé, mais snort-mysql non ! <IMG SRC="images/smiles/icon_confused.gif"> <BR> <BR>En désinstallant et en repassant avec ceux indiqué par Marari (et son HowTo) les versions 1.9.0-1 cela a fonctionné à nouveau... <BR> <BR>Coup de chance peut-être me direz-vous ! <IMG SRC="images/smiles/icon_rolleyes.gif"> <BR> <BR>Pour rappel : lien de Marari pour son HowTo : <BR> <BR><!-- BBCode auto-link start --><a href="http://marari.net/downloads/snort/acid-howto.htm" target="_blank">http://marari.net/downloads/snort/acid-howto.htm</a><!-- BBCode auto-link end --> <BR> <BR>Quelles sont les versions de snort que tu as installées ? <IMG SRC="images/smiles/icon_confused.gif">

[pbordere]

Réponse à MasterSleepy <BR> <BR>>as tu vérifié que la base de donnée c'est bien créée . <BR>>Elle s'apelle snort_log et il doit y avoir aussi snort_archive. <BR> <BR>J'avais vérifié, les deux bases sont bien là <BR> <BR>>De plus dans le fichier de config /etc/snort/snort.conf <BR>>il doit y avoir une entré pour mysql, fait une recherche dans le fichier avec output >database qui ne doit pas être en commentaire. <BR>>Cette ligne doit ressembler à <BR>>output database: log, mysql, user=[utilisateur] password=[password] >dbname=snort_log host=localhost <BR> <BR>Cette ligne est bien présente. <BR> <BR> <BR>==================================================== <BR>Réponse à Pabze <BR>> <BR>>Quelles sont les versions de snort que tu as installées ? <BR> <BR>snort-2.0.4-1.i386.rpm <BR>snort-mysql-2.0.4-1.i386.rpm <BR>sme-acid-2.0.0-1ari.noarch.rpm <BR> <BR>Coincidences ?? <BR> <BR>Je vais donc suivre la même voie... <BR> <BR> <BR>Merci à vous deux pour votre réponse

[pbordere]

Pas de chance, les rpm en version 1.9.0-1 ne sont plus ligne sur snort.org <BR>ni même dans les anciennes versions. <BR> <BR>Je vais en chercher d'autres (sauf si vous les avez encore)...

[MasterSleepy]

Salut, <BR> <BR>La version 1.9.0-1 est dispo sur mon site <IMG SRC="images/smiles/icon_wink.gif"> <BR>C'est la version que j'ai installé sans prob sur ma 5.6. <BR>tu peux la trouver <!-- BBCode u2 Start --><A HREF="http://vanhees.homeip.net/modules.php?op=modload&name=Downloads&file=index&req=viewsdownload&sid=11" TARGET="_blank">ici</A><!-- BBCode u2 End --> <BR> <BR>A+

[Pabze]

Merci, MasterSleepy, j'avais oublié de mentionner le lien des deux fichiers ! <IMG SRC="images/smiles/icon_frown.gif"> <BR> <BR>Fais nous part de tes résultats pbordere ! <BR> <BR>Chao ! <IMG SRC="images/smiles/icon_biggrin.gif">

[pbordere]

Merci les gars, <BR> <BR>j'installerai ces parquets de retour à la maison. <BR> <BR>Les paquets v1.9.0 trouvés jusqu'à présent me donnent une erreur dès le début de l'insallation : " /mtab/ inexistant " (de mémoire). ;-? <BR> <BR>Je verais bien avec ceux ci. <BR> <BR> <BR>A+ <BR> <BR> <IMG SRC="images/smiles/icon_up.gif"> MasterSleepy <IMG SRC="images/smiles/icon_up.gif"> Pabze <IMG SRC="images/smiles/icon_up.gif"> <BR> <BR> <BR>

[ldidier]

Pour installer snort il faut : <BR> <BR>Un serveur Web (apache) <BR>Un serveur de base de données (Mysql) <BR> <BR>Lors de l'installation il faut créer dans mysql une base de données (voir la documentation) pour faire simple il y as dans snort contrib, les schéma en sql pour les tables et les champs de la base de données mysql, ou autres. <BR> <BR>Une fois créer il faut interfacer snort, dans sont fichier de conf et lui indiquer quel type de base de données le login le password et le nom de la base, le tous en texte clair. <BR> <BR>Par exemple login=root password=password base=snort <BR> <BR>Ce qui est important à ce moment là c'est le nom de la base de données, elle est libre de choix. <BR> <BR>Quand à ACID ne pas oublier adodb, autrement point de graphique ainsi que jpgraph. <BR> <BR>l'erreur la plus souvent rencontrer avec mysql c'est lors de la compil, ce qui n'est pas le cas avec le rpm. <BR> <BR>Pour vérifier que mysql tourne : <BR> <BR>ps aux | grep mysql <BR> <BR>Pour tester et voir ce qui ne vas pas avec snort <BR> <BR>./rep/install/binaire/snort -c /rep/fiche_conf/snort.conf <BR> <BR>Question subsidiare pourquoi installer snort et snort-mysql, puisque snort-mysql est la compil pour que snort reconnaisse mysql, donc il suffit..... <BR> <BR>_________________ <BR>Rien de grand ne c'est accompli dans le monde sans passion. <BR>A.ENGEL<BR><BR><font size=-2></font>

[Pabze]

Euh ldidier... <BR> <BR>On est sous Sme ! <BR>rpm -ivh snort-1.9.0-1snort.i386.rpm snort-mysql-1.9.0-1snort.i386.rpm <BR> <BR>Tout ce fait par ces deux rpm, bien executés ensemble ! <BR> <BR>Voir le HowTo de Marari plus haut. <IMG SRC="images/smiles/icon_rolleyes.gif">