Snort-Inline hier und mysql da?

[Ganeymed]

Nachdem ich alle benötigten Bibliotheken zusammengekratzt habe (Danke nochmal an
gms) stehe ich vor einem neuen problem.

Mein Snort-Inline soll auf einer Firewall laufen, die mysqldatenbank aber auf einem Rechner im zu schützenden Netz laufen.

Wenn Snort-Inline mit ./configure konfiguriert wird, muß man eine ganze Reihe
Parameter mitgeben.

z.B.:

Code: Alles auswählen

./configure --prefix=/usr/local/snort/2.0.2 --with-libpcap-includes=/usr/local/libpcap/0.7.2/include --with-libpcap-libraries=/usr/local/libpcap/0.7.2/lib/ --with-mysql=/usr/local/mysql/4.0.15a/

Die Howtos sind meist immer für den fall, wenn Snort-inline und mysql auf dem selben host laufen.

Da auf meiner Firewall aber garkein mysqld läuft, kann ich natürlich auch keinen Pfad angeben. Wie teile ich Snort-inline mit, das die mysqldatenbank garnicht auf dem Rechner ist, auf dem es installiert ist, sondern auf <IP-adresse-xy>. Weil da soll er ja auch alles hinschreiben/schicken)

Ich habe in diesem Thread etwas gefunden:
Snort <==> mysql

Da ist ein Link auf diese Beschreibung:
***Klick***

***schnipp***
4.2.1.3. Snort Output Modules
The next part is the configuration of the output modules of which we will use the syslog module alert_syslog to send alerts to syslog and database to additionally log to a MySQL database.

***schnapp***

***schnipp***

The database output module requires the following parameters:

log | alert
Log to the alert facility. Also possible would be the log facility. If you would like to get portscan alerts into the database you have to use alert here.

mysql|postgrsql|odbc|oracle|mssql
This is the type of database.

user=<username>
Here you define the username to be used with the database.

password=<password>
The required password for the given user.

dbname=<databasename>
The name of the database to be used for logging into.

host=<hostname>
Here you define the host on which the database is running. Use localhost if the database is running on the snort sensor itself.

sensor_name=<sensor name>
Here you put in a unique name which is used to differentiate between various sensors if more than one is logging into a single database.


Now let's take a look on the output module part of /etc/snort/snort.conf:

output alert_syslog: LOG_AUTH LOG_ALERT LOG_PID
output database: alert, mysql, user=snort password=mypassword dbname=snort host=localhost sensor_name=mysensor

***schnapp***

Das wär ja genau was ich brauch, aber leider steht in der Beschreibung nicht
welchen Parameter ich beim configure setzen muß.

In anderen Anleitungen habe ich

Code: Alles auswählen

 --with-mysql

gesehen.
Um das später auszuführen, wenn snort-inline instalilert ist, reicht dann auch --with-mysql? ohne Pfadangabe?

Da "nicht-apt-get-installationen" immer schwierig zu entfernen sind, möchte ich lieber erstmal nachfragen

[thorben]

moin,
ich kann zwar deine hauptfrage nicht beantworten, aber wenn du --prefix verwendest bzw. du ein deb packet erstellst kannst du zumindest die sachen leicht wieder entfernen.

gruß
thorben

[Ganeymed]

Danke Thorben - aber als Debian Newbie war mir das Howto zum erstellen von
Debian-Paketen doch zu heftig. Ich hab einfach vorher ein Backup der ganzen Platte
gemacht, bevor ich mal probiert habe
Den --prefix hab ich aber trotzdem genommen.

War aber eigentlich ganz easy.
Man muß nur den mysql devel installieren.

Code: Alles auswählen

apt-get install libmysqlclient14-dev

Den tatsächlichen Ort der mysql - Datenbank kann man dann später
in den .conf Dateien von Snort-Inline angeben.

By the way:

Für Clamav Einbindung in Snort-Inline wird der libclamav-dev gebraucht