hallo.
ich hab in meinem rechner zwei netzwerkkarten eth0 und eth1. eth0 geht ins netzwek und
eth1 ist mit dem dsl-modem verbunden. ich hab snort installiert und bei der folgenden
konfiguration angegeben, dass snort eth1 überwachen soll. beim booten jedoch steht:
"snorteth0 ... device eth0 entered promiscuous mode" . wie kann ich snort beibringen eth1
zu überwachen?
dank im vorraus. ...richtri
Snort-Probleme
KidA:/etc/snort# snort --help
snort: invalid option -- -
-*> Snort! <*-
Version 1.8.4-beta1 (Build 91)
By Martin Roesch (roesch@sourcefire.com, http://www.snort.org)
USAGE: snort [-options] <filter options>
Options:
-i <if> Listen on interface <if>
snort: invalid option -- -
-*> Snort! <*-
Version 1.8.4-beta1 (Build 91)
By Martin Roesch (roesch@sourcefire.com, http://www.snort.org)
USAGE: snort [-options] <filter options>
Options:
-i <if> Listen on interface <if>
dpkg-reconfigure snort
dpkg-reconfigure snort-mysql
... also ich meine dabei sollte man dies bequem einstellen können.
ansonsten gucke mal in deinem startup skript /etc/init.d/snort , da sollten snort eigentlich einige PArameter mitgegeben werden, so auch wie try schon schrieb -i /interface/.
snort kann jeweils nur an einem INterfache lauern ...
dpkg-reconfigure snort-mysql
... also ich meine dabei sollte man dies bequem einstellen können.
ansonsten gucke mal in deinem startup skript /etc/init.d/snort , da sollten snort eigentlich einige PArameter mitgegeben werden, so auch wie try schon schrieb -i /interface/.
snort kann jeweils nur an einem INterfache lauern ...
...in dem script /etc/init.d/snort sind leider keine parameter zu finden. oder ich bin blind.
...nach dem befehl "snort -i eth1" kommt die fehlermeldung: "...ERROR: unable to open rules file: /root/snortrc or /root//root/.snortrc ...fatal error,quitting... ". der gleiche fehler erscheint bei "snort -i eth0".
...die bootmeldung ist aber immer noch: "snorteth0 ... device eth0 entered promiscuous mode" .
ich habe auch schon "dpkg-reconfigure snort" ausprobiert, ohne erfolg.
Was kann ich tun, damit das klappt und snort an eth1 horcht????????
.....der verzweifelte richtri
...nach dem befehl "snort -i eth1" kommt die fehlermeldung: "...ERROR: unable to open rules file: /root/snortrc or /root//root/.snortrc ...fatal error,quitting... ". der gleiche fehler erscheint bei "snort -i eth0".
...die bootmeldung ist aber immer noch: "snorteth0 ... device eth0 entered promiscuous mode" .
ich habe auch schon "dpkg-reconfigure snort" ausprobiert, ohne erfolg.
Was kann ich tun, damit das klappt und snort an eth1 horcht????????
.....der verzweifelte richtri
-
pdreker
- Beiträge: 8298
- Registriert: 29.07.2002 21:53:30
- Lizenz eigener Beiträge: MIT Lizenz
- Wohnort: Nürnberg
Snort braucht grundsätzlich eine ganze Reihe Optionen, damit es richtig läuft. Schau 'mal in /etc/init.d/snort und in "man snort". Z.B. muss man die Location der Konfig Files grundsätzlich mit angeben (das ist auch das worüber er sich beschwert).
Ich will ja nicht meckern, aber manchmal könnte die Doku echt ganz hilfreich sein: /usr/share/doc/snort/, "man snort", http://www.snort.org
Patrick
Ich will ja nicht meckern, aber manchmal könnte die Doku echt ganz hilfreich sein: /usr/share/doc/snort/, "man snort", http://www.snort.org
Patrick
Definitely not a bot...
Jabber: pdreker@debianforum.de
Jabber: pdreker@debianforum.de
Doch eigentlich sollten da sehr wohl Parameter übergeben werden können ...
case "$1" in
start)
test "$DEBIAN_SNORT_STARTUP" = "dialup" && exit 0
test "$DEBIAN_SNORT_STARTUP" = "manual" && \
echo $0 | grep -q 'S[0-9]' && exit 0
echo -n "Starting Network Intrusion Detection System: snort"
set +e
/sbin/start-stop-daemon --start --quiet --exec $DAEMON -- \
-D \
-S "HOME_NET=[$DEBIAN_SNORT_HOME_NET]" \
-h "$DEBIAN_SNORT_HOME_NET" \
-c /etc/snort/snort.conf \
-l /var/log/snort \
-b \
-d \
-u snort \
-g snort \
-i ppp0 <~--_--_-- das solltest Du so eintragen
$DEBIAN_SNORT_OPTIONS >/dev/null
case "$?" in
0) echo "." ;;
1) echo "...already running." ;;
2) echo "...failed." ;;
esac
set -e
;;
case "$1" in
start)
test "$DEBIAN_SNORT_STARTUP" = "dialup" && exit 0
test "$DEBIAN_SNORT_STARTUP" = "manual" && \
echo $0 | grep -q 'S[0-9]' && exit 0
echo -n "Starting Network Intrusion Detection System: snort"
set +e
/sbin/start-stop-daemon --start --quiet --exec $DAEMON -- \
-D \
-S "HOME_NET=[$DEBIAN_SNORT_HOME_NET]" \
-h "$DEBIAN_SNORT_HOME_NET" \
-c /etc/snort/snort.conf \
-l /var/log/snort \
-b \
-d \
-u snort \
-g snort \
-i ppp0 <~--_--_-- das solltest Du so eintragen
$DEBIAN_SNORT_OPTIONS >/dev/null
case "$?" in
0) echo "." ;;
1) echo "...already running." ;;
2) echo "...failed." ;;
esac
set -e
;;
das ist das script was Du erhältst wenn du vi [ oder eben Dein LieblingsEditor] /etc/init.d/snort
startest. Ich habe für Dich zur Probe mal eine ParamenterÜbergabe in diesem Script angehangen.
Die habe ich aber auch [ ok nicht wirklcih sichtbar ...] markiert :: Anfang unteres Drittel: -i ppp0.
Danach machst Du ein /etc/init.d/snort restart und Mr.Snort wird Dir sagen das er nun an Interdace ppp0 lauschen wird ...
Snort kann immer nur an einem Interface lauern ...
startest. Ich habe für Dich zur Probe mal eine ParamenterÜbergabe in diesem Script angehangen.
Die habe ich aber auch [ ok nicht wirklcih sichtbar ...] markiert :: Anfang unteres Drittel: -i ppp0.
Danach machst Du ein /etc/init.d/snort restart und Mr.Snort wird Dir sagen das er nun an Interdace ppp0 lauschen wird ...
Snort kann immer nur an einem Interface lauern ...
@demarque:
ausser der Parameter "-i ppp0" sind ja schon alle anderen Parameter in meiner /etc/init.d/snort-Datei! Funktioniert aber trotzdem nicht! Ich hab jetzt ein neues Script erstellt, bei dem ich alle Parameter nacheinander aufrufe und das Ganze unter /etc/init.d/ abgespeichert, dann noch verlinkt und jetzt gehts. Habe aber leider vergessen, den "-D" Parameter zu übergeben und jetzt habe ich ein weitaus schwerwiegenderes Problem:
nach dem Booten des Rechners bleibt er an der Stelle er Initialisierung von Snort stehen. D.h. ich kann nichts mit der Tastatur eingeben. Kein Strg+C und ich kann auch nicht zur Konsole wechseln. Ich komme also an mein System nicht mehr ran! Wasn Mist!!!!!! SSh übers Netzwerk geht auch nicht, da ich alles geblockt habe. Habe zwar Webmin laufen, aber die Initialisierung von Webmin kommt nach der von Snort und ist somit nicht aktiv! Was kann ich tun????????
...der verzweifelte richtri
ausser der Parameter "-i ppp0" sind ja schon alle anderen Parameter in meiner /etc/init.d/snort-Datei! Funktioniert aber trotzdem nicht! Ich hab jetzt ein neues Script erstellt, bei dem ich alle Parameter nacheinander aufrufe und das Ganze unter /etc/init.d/ abgespeichert, dann noch verlinkt und jetzt gehts. Habe aber leider vergessen, den "-D" Parameter zu übergeben und jetzt habe ich ein weitaus schwerwiegenderes Problem:
nach dem Booten des Rechners bleibt er an der Stelle er Initialisierung von Snort stehen. D.h. ich kann nichts mit der Tastatur eingeben. Kein Strg+C und ich kann auch nicht zur Konsole wechseln. Ich komme also an mein System nicht mehr ran! Wasn Mist!!!!!! SSh übers Netzwerk geht auch nicht, da ich alles geblockt habe. Habe zwar Webmin laufen, aber die Initialisierung von Webmin kommt nach der von Snort und ist somit nicht aktiv! Was kann ich tun????????
...der verzweifelte richtri
