Snort et Shorewall: blocage dynamique d'adresses IP
bonjour, j'ai installé un script(1) pour que Shorewall bloque dynamiquement les adresses IP qui font remonter des alertes SNORT: - j'ai installé le script dans /usr/local/SnortShorewall comme indiqué dans l'INSTALL - ce script examine le fichier /var/log/snort/alert pour activer shorewall dynamic drop IPadresslist Voilà pour la principe et ça fonctionne bien. Mais: - comment redémarrer le script *avant* la rotation du fichier log de Snort? car sinon SnortShorewall plante silencieusement. - je ne parviens pas à le redémarrer autrement qu'en console en faisant cd /usr/local/SnortShorewall ./ss.pl stop ./ss.pl start - sinon il ne trouve pas le path du pid de SnortShorewall, ni l'exécutable qui sont tous les deux dans le rep/ /usr/local/SnortShorewall - je suis nul en script mais il doit bien y avoir une solution pour automatiser ça? Quelqu'un aurait-il une idée pour un petit script bash par exemple? Merci de vos avis. (1) script téléchargé depuis http://linux-bsd-central.com/index.php/content/view/15/ -- --- Ma cle GPG est disponible sur http://www.keyserver.net (0x3E8D8B07) A6FD F7B5 1D15 0294 F4E1 E6D8 C873 E9AB 3E8D 8B07 --- signature.asc Description: Ceci est une partie de message numériquement signée
Re: Snort et Shorewall: blocage dynamique d'adresses IP
Bonjour, Le samedi 24 mai 2008, patrick a écrit... - comment redémarrer le script *avant* la rotation du fichier log de Snort? car sinon SnortShorewall plante silencieusement. Dans le dossier de cron qui exécute la rotation ? Le cron en question utilise run-parts qui traite les scripts dans l'ordre lexicographique. Il suffirait de mettre le script dedans de manière à ce qu'il soit lancé avant la rotation, donc ce n'est plus qu'une question d'ortograf. -- jm A.E.L. Sarl (R.C.S CASTRES 490843240) http://www.spidboutic.fr -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/DebFrFrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs From et Reply-To: To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Snort et Shorewall: blocage dynamique d'adresses IP [Résolu]
Le samedi 24 mai 2008 à 16:42 +0200, Jean-Michel OLTRA a écrit : Bonjour, Le samedi 24 mai 2008, patrick a écrit... - comment redémarrer le script *avant* la rotation du fichier log de Snort? car sinon SnortShorewall plante silencieusement. Dans le dossier de cron qui exécute la rotation ? Merci de ta réponse. J'ai donc réglé le problème comme suit: - commande pre-rotate: arrêt du démon SnortShorewall (et purge des IP bloquées) - rotation du fichier alert de snort - commande post-rotate: redémarrage du démon (le fichier alert ayant donc été recréé entre-temps). J'ai un peu triché, je me sers de webmin: je l'aime celui-là, même s'il n'est plus dans les paquets officiels DEBIAN (car il n'y a plus de mainteneurs ;-(. -- --- Ma cle GPG est disponible sur http://www.keyserver.net (0x3E8D8B07) A6FD F7B5 1D15 0294 F4E1 E6D8 C873 E9AB 3E8D 8B07 --- signature.asc Description: Ceci est une partie de message numériquement signée