このスレッドは未解決です(解決したらこちらで解決済にしてください)
<<戻る

Centos 4でsnortしたいです。 このメッセージに返信する
日時: 2008/10/13 21:09
名前: u-u
URL:
こんばんは。

こちらのサイト大好きでいつも拝見させて頂いています。

以前、centos5でサーバー構築していたのですが、

webとmysqlの関係でcentos4にて試験構築中(練習構築中)です。


centos5で気に入っていた、snortをどうしてもcentos4でも

使ってみたくて、いろいろ試行錯誤しましたが、うまくいきません。

↑(こちらのサイトどうりにやってみたり、RHEL4のi386.rpmインストしてみたり)↑


具体的に、こちらのサイトどうりですとrpmコンパイル時に

libpcap-develが必要です。みたいなコンパイルエラーです。


RHEL4.i386.rpmパッケージの場合は、インストールしてルール設定後、

/etc/rc.d/init.d/snortd start       [失敗]

となります。

いろいろググったり、過去ログも全部見たのですが、

打開策が見つかりません。

かなり昔の事だと思うのですが管理人様はcentos4で

問題なく動いています。

というようなgoogleキャッシュのログを見たので

どうにかならないかと考え中です。

何か良い方法を申し訳御座いませんが、ご教授お願い致します。
記事編集 編集
Re: Centos 4でsnortしたいです。 このメッセージに返信する
日時: 2008/10/13 22:19
名前: aki
URL:
>libpcap-develが必要です。みたいなコンパイルエラーです。
yum -y install libpcap-develでインスコできませんか?


>RHEL4.i386.rpmパッケージの場合は、インストールしてルール設定後、

>/etc/rc.d/init.d/snortd start       [失敗]


起動に失敗した時のログはどうなってますか?
/var/log/messages
記事編集 編集
Re: Centos 4でsnortしたいです。 このメッセージに返信する
日時: 2008/10/13 23:38
名前: u-u
URL:
>>libpcap-develが必要です。みたいなコンパイルエラーです。
>yum -y install libpcap-develでインスコできませんか?
>
>
>>RHEL4.i386.rpmパッケージの場合は、インストールしてルール設定後、
>
>>/etc/rc.d/init.d/snortd start       [失敗]
>
>
>起動に失敗した時のログはどうなってますか?
>/var/log/messages

早速のお返事を誠に有り難う御座いました。

うまくいかなかったので、全部削除していたのでログがない・・・

なので急いでもう一度、インスコしてみると、
snort関係ログ、最後の方に

Oct 13 23:24:43 server snort[12108]: FATAL ERROR: /etc/snort/rules/exploit.rules(162) => Invalid port: [8008,8028]
Oct 13 23:24:43 server snortd: snort 起動・failed
Oct 13 23:25:17 server htt_server[5304]: Client shut down the connection owned by im_id(1).

とありました。

何かわかりますでしょうか?

どうぞ宜しくお願い致します。
記事編集 編集
Re: Centos 4でsnortしたいです。 このメッセージに返信する
日時: 2008/10/14 16:00
名前: aki
URL:
ん〜 全くわからないです(^^;)

/etc/snort/rules/exploit.rules の162行目に何かあるんでしょうね。
コメントアウトしたら動くとか・・・?
記事編集 編集
Re: Centos 4でsnortしたいです。 このメッセージに返信する
日時: 2008/10/14 16:01
名前: stranger
URL: http://ja.528p.com/
>>>libpcap-develが必要です。みたいなコンパイルエラーです。
>>yum -y install libpcap-develでインスコできませんか?
>>
>>
>>>RHEL4.i386.rpmパッケージの場合は、インストールしてルール設定後、
>>
>>>/etc/rc.d/init.d/snortd start       [失敗]
>>
>>
>>起動に失敗した時のログはどうなってますか?
>>/var/log/messages
>
>早速のお返事を誠に有り難う御座いました。
>
>うまくいかなかったので、全部削除していたのでログがない・・・
>
>なので急いでもう一度、インスコしてみると、
>snort関係ログ、最後の方に
>
>Oct 13 23:24:43 server snort[12108]: FATAL ERROR: /etc/snort/rules/exploit.rules(162) => Invalid port: [8008,8028]
>Oct 13 23:24:43 server snortd: snort 起動・failed
>Oct 13 23:25:17 server htt_server[5304]: Client shut down the connection owned by im_id(1).
>
>とありました。
>
>何かわかりますでしょうか?
>
>どうぞ宜しくお願い致します。

ある程度snortのことを理解していないと、思わぬ設定ミスでアクセス不能になったりします
とりあえず、/etc/snort/rules/exploit.rules
の[8008,8028]portの設定部分をコメント扱いにしてみたらどうでしょう
記事編集 編集
Re: Centos 4でsnortしたいです。 このメッセージに返信する
日時: 2008/10/14 21:36
名前: u-u
URL:
>/etc/snort/rules/exploit.rules の162行目に何かあるんでしょうね。
>コメントアウトしたら動くとか・・・?

>ある程度snortのことを理解していないと、思わぬ設定ミスでアクセス不能になったりします
>とりあえず、/etc/snort/rules/exploit.rules
>の[8008,8028]portの設定部分をコメント扱いにしてみたらどうでしょう

aki様
stranger様

お返事有り難う御座いました。
/var/log/messagesにsnortを起動する度に出るエラーの行を
60数か所、コメントアウトしまっくってました。
気が付けば4時間・・・
結果は、
[root@server ~]# /etc/rc.d/init.d/snortd start
Starting snort: [ OK ]
です。
ちょっと長いのですが、起動した時のログです。

Oct 14 21:12:12 server snort[15492]: +-----------------------[thresholding-config]----------------------------------
Oct 14 21:12:12 server snort[15492]: | memory-cap : 1048576 bytes
Oct 14 21:12:12 server snort[15492]: +-----------------------[thresholding-global]----------------------------------
Oct 14 21:12:12 server snort[15492]: | none
Oct 14 21:12:12 server snort[15492]: +-----------------------[thresholding-local]-----------------------------------
Oct 14 21:12:12 server snort[15492]: | gen-id=1 sig-id=2924 type=Threshold tracking=dst count=10 seconds=60
Oct 14 21:12:12 server snort[15492]: | gen-id=1 sig-id=4984 type=Threshold tracking=src count=5 seconds=2
Oct 14 21:12:12 server snort[15492]: | gen-id=1 sig-id=3542 type=Threshold tracking=src count=5 seconds=2
Oct 14 21:12:12 server snort[15492]: | gen-id=1 sig-id=3543 type=Threshold tracking=src count=5 seconds=2
Oct 14 21:12:12 server snort[15492]: | gen-id=1 sig-id=3152 type=Threshold tracking=src count=5 seconds=2
Oct 14 21:12:12 server snort[15492]: | gen-id=1 sig-id=13948 type=Threshold tracking=src count=200 seconds=30
Oct 14 21:12:12 server snort[15492]: | gen-id=1 sig-id=2923 type=Threshold tracking=dst count=10 seconds=60
Oct 14 21:12:12 server snort[15492]: | gen-id=1 sig-id=2523 type=Both tracking=dst count=10 seconds=10
Oct 14 21:12:12 server snort[15492]: | gen-id=1 sig-id=3273 type=Threshold tracking=src count=5 seconds=2
Oct 14 21:12:12 server snort[15492]: | gen-id=1 sig-id=3527 type=Limit tracking=dst count=5 seconds=60
Oct 14 21:12:12 server snort[15492]: | gen-id=1 sig-id=2275 type=Threshold tracking=dst count=5 seconds=60
Oct 14 21:12:12 server snort[15492]: +-----------------------[suppression]------------------------------------------
Oct 14 21:12:12 server snort[15492]: | none
Oct 14 21:12:12 server snort[15492]: -------------------------------------------------------------------------------
Oct 14 21:12:12 server snort[15492]: Rule application order: activation->dynamic->pass->drop->alert->log
Oct 14 21:12:12 server snort[15492]: Log directory = /var/log/snort
Oct 14 21:12:12 server snort[15492]: Warning: flowbits key 'mspub_header' is set but not ever checked.
Oct 14 21:12:12 server snort[15492]: Warning: flowbits key 'emf.request' is set but not ever checked.
Oct 14 21:12:12 server snort[15492]: Warning: flowbits key 'works.download' is set but not ever checked.
Oct 14 21:12:12 server snort[15492]: Warning: flowbits key 'access.download' is set but not ever checked.
Oct 14 21:12:12 server snort[15492]: Warning: flowbits key 'mssearch_file.request' is set but not ever checked.
Oct 14 21:12:12 server snort[15492]: Warning: flowbits key 'dce.bind.brightstor-arc' is set but not ever checked.
Oct 14 21:12:12 server snort[15492]: Warning: flowbits key 'sylk.download' is set but not ever checked.
Oct 14 21:12:12 server snort[15492]: Warning: flowbits key 'http.bmp' is checked but not ever set.
Oct 14 21:12:12 server snort[15492]: Warning: flowbits key 'backup_file.request' is set but not ever checked.
Oct 14 21:12:12 server snort[15492]: 61 out of 512 flowbits in use.
Oct 14 21:12:12 server kernel: eth0: Promiscuous mode enabled.
Oct 14 21:12:12 server kernel: device eth0 entered promiscuous mode
Oct 14 21:12:12 server kernel: device eth0 left promiscuous mode
Oct 14 21:12:12 server snort[15492]: Initializing daemon mode
Oct 14 21:12:12 server kernel: eth0: Promiscuous mode enabled.
Oct 14 21:12:12 server kernel: device eth0 entered promiscuous mode
Oct 14 21:12:12 server snort[15493]: PID path stat checked out ok, PID path set to /var/run/
Oct 14 21:12:12 server snort[15493]: Writing PID "15493" to file "/var/run//snort_eth0.pid"
Oct 14 21:12:12 server snort[15492]: Daemon parent exiting
Oct 14 21:12:13 server snort[15493]: Daemon initialized, signaled parent pid: 15492
Oct 14 21:12:13 server snortd: snort 起動 succeeded
Oct 14 21:12:28 server snort[15493]: Preprocessor/Decoder Rule Count: 0
Oct 14 21:12:28 server snort[15493]: Snort initialization completed successfully (pid=15493)
Oct 14 21:12:28 server snort[15493]: Not Using PCAP_FRAMES
Oct 14 21:12:33 server htt_server[5304]: Client shut down the connection owned by im_id(1).

これは、正常なログなのでしょうか?

良く分からないので様子を見てみます。

お手数をお掛け致しますが、

どうぞ宜しくお願い致します。
記事編集 編集
件名※必須
名前※必須
URL
任意のパスワード (投稿後のコメント修正・削除時に使用)
画像認証※必須 投稿キー(画像で表示されている数字を入力)
コメント※必須

※質問を投稿後に自己解決された場合は、原因と行った対処を具体的に書き込み下さるよう、よろしくお願いします。

- WEB PATIO -