[Résolu]Snort: le demon ne demarre pas.

Snort: le demon ne demarre pas. [Résolu] - réseaux et sécurité - Linux et OS Alternatifs

Marsh Posté le 02-02-2010 à 20:26:20    

Salut à tous!
 
J'ai installé prelude, prewikka et snort-mysql, sur une debian lenny.
 
 
Mais j'ai un problème avec snort mysql, celui-ci ne lance pas en tant que démon au démarrage; j'essaie d'être le plus précis possible:
 

Code :
  1. $ ps awx | grep snort
  2. $


 
Ou encore:

Code :
  1. # /etc/init.d/snort status
  2. Status of snort daemon(s):  eth0  ERROR failed!


 
Pourtant mon fichier snort.debian.conf prévois bien un démarrage au boot:
 

Code :
  1. DEBIAN_SNORT_STARTUP="boot"
  2. DEBIAN_SNORT_HOME_NET="192.168.0.1/16"
  3. DEBIAN_SNORT_OPTIONS=""
  4. DEBIAN_SNORT_INTERFACE="eth0"
  5. DEBIAN_SNORT_SEND_STATS="false"
  6. DEBIAN_SNORT_STATS_RCPT="root"
  7. DEBIAN_SNORT_STATS_THRESHOLD="1"


 
De même si je lance:

Code :
  1. /etc/init.d/snort config-check
  2. Checking Network Intrusion Detection System configuration: interface eth0 INVALID failed!


 
Maintenant si je lance snort comme cela:

Code :
  1. # snort -c /etc/snort/snort.conf -i eth0


 
J'abrège la sortie, mais sa se lance:

Code :
  1. ,,_     -*> Snort! <*-
  2.   o"  )~   Version 2.7.0 (Build 35)
  3.    ''''    By Martin Roesch & The Snort Team: http://www.snort.org/team.html
  4.            (C) Copyright 1998-2007 Sourcefire Inc., et al.


 
Je verifie:
 

Code :
  1. ps awx | grep snort
  2. 6472 pts/1    Sl+    0:04 snort -c /etc/snort/snort.conf -i eth0
  3. 6508 pts/2    S+     0:00 grep snort


 
Mais comme sa:

Code :
  1. # /etc/init.d/snort status
  2. Status of snort daemon(s):  eth0  ERROR failed!


 
Pourtant sa fonctionne, j'ai bien des retours dans prewikka, comme le confirme la commande ps.
 
Ma question: comment lancer snort-mysql au démarrage, et si possible d'où vient ce comportement?
 
 
 
 
Je tiens a signaler que l'installation de snort-mysql declenche une erreur a l'install, alors que cela semble un comportement normal, puisque le readme.debian dit clairement qu'il faut supprimer un fichier qui fait office de "flag"; on ne peut lancer dpkg-reconfigure snort-mysql, qu'une fois une bdd configurée et ce fichier supprimé!
 
Pourquoi afficher un message d'erreur alors? Un avertissement aurait suffit. Bref il voudraient pas qu'on installe le bouzin, ils s'y seraient pas pris autrement  :pt1cable:  
 
Si quelqu'un a une idée, un lien, je suis preneur!
 :hello:


Message édité par pingnou le 02-02-2010 à 23:26:45
Reply

Marsh Posté le 02-02-2010 à 20:26:20   

Reply

Marsh Posté le 02-02-2010 à 21:49:15    

J'ai trouvé!!!!! Grâce aux intégristes barbus et au femmes nues: http://forum.hardware.fr/hfr/OSAlt [...] 2264_1.htm  :lol:  
Qui m'a amené la: http://www.debian-administration.org/  :jap:  
 
Bref en regardant dans daemon.log, j'ai trouvé sa:

Code :
  1. snort[2973]: Writing PID "2973" to file "/var/run//snort_eth0.pid"
  2. snort[2973]: Daemon initialized, signaled parent pid: 2971
  3. snort[2971]: Daemon parent exiting
  4. snort[2973]: FATAL ERROR: prelude-client: Unable to initialize prelude client: could not open '/etc/prelude/profile/snort/config' for reading: Permission denied#012#012Profile 'snort' does not exist. In order to create it, please run:#012prelude-admin register "snort" "idmef:w" <manager address> --uid 107 --gid 112


 
Mauvais uid/gid lors de l'enregistrement de snort en tant que sonde, du coup prélude desactivais snort (enfin je pense)
 
Donc j'ai enregistré snort avec les bon paramètres, et dans daemon.log j'ai bien vu:

Code :
  1. snort[2971]: Snort initialization completed successfully (pid=2971)


 
Je vais pouvoir m'attaquer au vrai morceau, la configuration du bouzin.  
Pour ceux qui galérent comme moi, j'ai posé une methode pour installer le snort-mysql/prelude/prewikka sur une lenny ici:
http://67citron.free.fr/index.php? [...] t&Itemid=8
 :hello:

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed