Re: [Ubuntu-BR] Snort e Mysql
Salve Diego,
Durante a instalação do snort-mysql, ele cria um arquivo chamado
db-pending-config no diretório /etc/snort.
Este arquivo significa em outras palavras que "seu mysql ainda não está
pronto para receber o snort".
Siga os seguintes passos:
1 - Logue no servidor mysql e digite os seguintes comandos:
> grant CREATE, INSERT, SELECT, UPDATE on snort.* to sn...@localhostidentified
> by 'coloque_a_senha_aqui';
> flush privileges;
> quit
2 - Após isso monte a estrutura do banco do snort. O snort já vem com um
arquivo pré-definido com sua estrutura.
Então digite os seguintes comando:
# cd /usr/share/doc/snort-mysql/
# gunzip create_mysql.gz
# cat create_mysql | mysql -u snort -h localhost -p snort (após este comando
irá ser solicitado uma senha, coloque a senha definida no banco de dados)
Caso queira conferir se tudo foi criado perfeitamente, logue no mysql como o
usuário snort:
# mysql -u snort -p
coloque a senha definida no passo 1 e digite:
> user snort;
> show tables;
se aparecer algumas tabelas , significa que deu certo. :)
3 - Entre no arquivo de configuração do snort e modifique o forma de output.
Para que o mesmo possa gravar os alertas em log e também na base de dados.
Procure pela parte que ele descreve os Outputs e insira a seguinte linha:
output database: log, mysql, user=snort password=$senha_definida
dbname=snort host=localhost
obs: tenha certeza de colocar a mesma senha definida na base de dados para o
usuário snort.
Feito estes passo, apague o arquivo /etc/snort/db-pending-config e reinicie
o snort.
Qualquer erro posterior pode ser depurado no arquivo /var/log/daemon.log.
OBS: Para melhor visualizar os alertas aconselho utlizar o BASE, interface
web para gerenciamento de alertas do snort.
Se tiver problemas manda para a lista.
abs,[ ]
(Digitar senha)
2009/8/27 Diego Guarnieri
> Victor,
>
> Realizando a instalação do Snort com a linha:
>
> # aptitude install snort-mysql
>
> retorna o seguinte erro:
>
> Configurando snort-mysql (2.7.0-19ubuntu1) ...
> * Stopping Network Intrusion Detection System
> snort* No running snort instance found
> * Starting Network Intrusion Detection System
> snort* /etc/snort/db-pending-config file found
> * Snort will not start as its database is not yet configured.
> * Please configure the database as described in
> * /usr/share/doc/snort-{pgsql,mysql}/README-database.Debian
> * and remove /etc/snort/db-pending-config
> invoke-rc.d: initscript snort, action "start" failed.
> dpkg: erro processando snort-mysql (--configure):
> sub-processo post-installation script retornou estado de saída de erro 6
> Erros foram encontrados durante o processamento de:
> snort-mysql
> E: Sub-process /usr/bin/dpkg returned an error code (1)
> A instalação de um pacote falhou. Tentando recuperar:
> Configurando snort-mysql (2.7.0-19ubuntu1) ...
> * Stopping Network Intrusion Detection System
> snort* No running snort instance found
> * Starting Network Intrusion Detection System
> snort* /etc/snort/db-pending-config file found
> * Snort will not start as its database is not yet configured.
> * Please configure the database as described in
> * /usr/share/doc/snort-{pgsql,mysql}/README-database.Debian
> * and remove /etc/snort/db-pending-config
> invoke-rc.d: initscript snort, action "start" failed.
> dpkg: erro processando snort-mysql (--configure):
> sub-processo post-installation script retornou estado de saída de erro 6
> Erros foram encontrados durante o processamento de:
> snort-mysql
>
> alguma segestão???
>
> 2009/8/26 Victor Santos
>
> > Diego,
> >
> > Instalar o pacote snort-mysql, talvez possa resolver o seu problema:
> >
> > # aptitude install snort-mysql
> >
> > O snort do repositório, seu eu não me engano é a versão 2.7 e se encontra
> > ainda bem estável.
> >
> > Caso necessite de alguma funcionalidade do mesmo que esteja presente
> > somente
> > na última versão (2.8) você terá que instalar uma séria de pré-requisitos
> > antes, segue a linha:
> >
> > # apt-get install mysql-server apache2 php5 php-pear libphp-adodb
> > php5-mysql
> > build-essential libpcap-dev libpcre3-dev libmysqlclient-dev
> > libnetfilter-queue-dev libnet0-dev automake libtool iptables-dev
> >
> >
> > Extamente, é isso tudo mesmo (Só assim consegui compilar o mesmo com
> > sucesso)
> >
> > Quando for compilar o snort, sugiro compilar com os seguintes parâmetros:
> >
> > # ./configure --with-mysql --enable-pthread --enable-stream4udp
> > --enable-memory-cleanup --enable-decoder-preprocessor-rules
> >
> > Isso fará com que você aproveite melhor todas as possibilidades deste
> > incrível IDS.
> >
> > Atenciosamente,
> >
> > --
> > Victor Batista da Silva Santos
> >
> > Analista de Segurança da Clavis Segurança da Informação
> >
> > Membro do Grupo de Resposta a Incidentes de Segurança - GRIS - UFRJ
> >
> > Departamento de Ciências da Compu
Re: [Ubuntu-BR] Snort e Mysql
Victor,
Realizando a instalação do Snort com a linha:
# aptitude install snort-mysql
retorna o seguinte erro:
Configurando snort-mysql (2.7.0-19ubuntu1) ...
* Stopping Network Intrusion Detection System
snort* No running snort instance found
* Starting Network Intrusion Detection System
snort* /etc/snort/db-pending-config file found
* Snort will not start as its database is not yet configured.
* Please configure the database as described in
* /usr/share/doc/snort-{pgsql,mysql}/README-database.Debian
* and remove /etc/snort/db-pending-config
invoke-rc.d: initscript snort, action "start" failed.
dpkg: erro processando snort-mysql (--configure):
sub-processo post-installation script retornou estado de saída de erro 6
Erros foram encontrados durante o processamento de:
snort-mysql
E: Sub-process /usr/bin/dpkg returned an error code (1)
A instalação de um pacote falhou. Tentando recuperar:
Configurando snort-mysql (2.7.0-19ubuntu1) ...
* Stopping Network Intrusion Detection System
snort* No running snort instance found
* Starting Network Intrusion Detection System
snort* /etc/snort/db-pending-config file found
* Snort will not start as its database is not yet configured.
* Please configure the database as described in
* /usr/share/doc/snort-{pgsql,mysql}/README-database.Debian
* and remove /etc/snort/db-pending-config
invoke-rc.d: initscript snort, action "start" failed.
dpkg: erro processando snort-mysql (--configure):
sub-processo post-installation script retornou estado de saída de erro 6
Erros foram encontrados durante o processamento de:
snort-mysql
alguma segestão???
2009/8/26 Victor Santos
> Diego,
>
> Instalar o pacote snort-mysql, talvez possa resolver o seu problema:
>
> # aptitude install snort-mysql
>
> O snort do repositório, seu eu não me engano é a versão 2.7 e se encontra
> ainda bem estável.
>
> Caso necessite de alguma funcionalidade do mesmo que esteja presente
> somente
> na última versão (2.8) você terá que instalar uma séria de pré-requisitos
> antes, segue a linha:
>
> # apt-get install mysql-server apache2 php5 php-pear libphp-adodb
> php5-mysql
> build-essential libpcap-dev libpcre3-dev libmysqlclient-dev
> libnetfilter-queue-dev libnet0-dev automake libtool iptables-dev
>
>
> Extamente, é isso tudo mesmo (Só assim consegui compilar o mesmo com
> sucesso)
>
> Quando for compilar o snort, sugiro compilar com os seguintes parâmetros:
>
> # ./configure --with-mysql --enable-pthread --enable-stream4udp
> --enable-memory-cleanup --enable-decoder-preprocessor-rules
>
> Isso fará com que você aproveite melhor todas as possibilidades deste
> incrível IDS.
>
> Atenciosamente,
>
> --
> Victor Batista da Silva Santos
>
> Analista de Segurança da Clavis Segurança da Informação
>
> Membro do Grupo de Resposta a Incidentes de Segurança - GRIS - UFRJ
>
> Departamento de Ciências da Computação - DCC
>
> Universidade Federal do Rio de Janeiro - UFRJ
>
> Esta mensagem contém informação confidencial e é dirigida apenas ao
> destinatário nomeado. Se você não é o destinatário nomeado não distribua ou
> copie esta mensagem. Por favor, notifique o remetente imediatamente, por
> correio eletrônico, que você recebeu esta mensagem por engano e apague-a de
> seu sistema, obrigado.
> Para que você possa desfrutar de todo o poder desta ferramenta.
> Caso queira que ele trabalho como IPS, adicione "--enable-inline".
> 2009/8/25 Diego Guarnieri
>
> > Olá amigos,
> >
> > Alguem sabe o modo correto de instalação do Snort no Ubuntu com suporte
> > ao Mysql, já tentei diversas maneiras, tais como:
> >
> > ./configure --with-mysql=/usr
> > apt get install snort-mysql
> >
> > porém, sempre sem sucesso...
> > Alguem na lista ja teve sucesso nessa implementação, fazer efetivamente
> > o Snort gravar os log em banco de dados Mysql...
> >
> > Agradeço deste de já.
> >
> > --
> > Mais sobre o Ubuntu em português: http://www.ubuntu-br.org/comece
> >
> > Lista de discussão Ubuntu Brasil
> > Histórico, descadastramento e outras opções:
> > https://lists.ubuntu.com/mailman/listinfo/ubuntu-br
> >
> --
> Mais sobre o Ubuntu em português: http://www.ubuntu-br.org/comece
>
> Lista de discussão Ubuntu Brasil
> Histórico, descadastramento e outras opções:
> https://lists.ubuntu.com/mailman/listinfo/ubuntu-br
>
--
Mais sobre o Ubuntu em português: http://www.ubuntu-br.org/comece
Lista de discussão Ubuntu Brasil
Histórico, descadastramento e outras opções:
https://lists.ubuntu.com/mailman/listinfo/ubuntu-br
Re: [Ubuntu-BR] Snort e Mysql
Diego, Instalar o pacote snort-mysql, talvez possa resolver o seu problema: # aptitude install snort-mysql O snort do repositório, seu eu não me engano é a versão 2.7 e se encontra ainda bem estável. Caso necessite de alguma funcionalidade do mesmo que esteja presente somente na última versão (2.8) você terá que instalar uma séria de pré-requisitos antes, segue a linha: # apt-get install mysql-server apache2 php5 php-pear libphp-adodb php5-mysql build-essential libpcap-dev libpcre3-dev libmysqlclient-dev libnetfilter-queue-dev libnet0-dev automake libtool iptables-dev Extamente, é isso tudo mesmo (Só assim consegui compilar o mesmo com sucesso) Quando for compilar o snort, sugiro compilar com os seguintes parâmetros: # ./configure --with-mysql --enable-pthread --enable-stream4udp --enable-memory-cleanup --enable-decoder-preprocessor-rules Isso fará com que você aproveite melhor todas as possibilidades deste incrível IDS. Atenciosamente, -- Victor Batista da Silva Santos Analista de Segurança da Clavis Segurança da Informação Membro do Grupo de Resposta a Incidentes de Segurança - GRIS - UFRJ Departamento de Ciências da Computação - DCC Universidade Federal do Rio de Janeiro - UFRJ Esta mensagem contém informação confidencial e é dirigida apenas ao destinatário nomeado. Se você não é o destinatário nomeado não distribua ou copie esta mensagem. Por favor, notifique o remetente imediatamente, por correio eletrônico, que você recebeu esta mensagem por engano e apague-a de seu sistema, obrigado. Para que você possa desfrutar de todo o poder desta ferramenta. Caso queira que ele trabalho como IPS, adicione "--enable-inline". 2009/8/25 Diego Guarnieri > Olá amigos, > > Alguem sabe o modo correto de instalação do Snort no Ubuntu com suporte > ao Mysql, já tentei diversas maneiras, tais como: > > ./configure --with-mysql=/usr > apt get install snort-mysql > > porém, sempre sem sucesso... > Alguem na lista ja teve sucesso nessa implementação, fazer efetivamente > o Snort gravar os log em banco de dados Mysql... > > Agradeço deste de já. > > -- > Mais sobre o Ubuntu em português: http://www.ubuntu-br.org/comece > > Lista de discussão Ubuntu Brasil > Histórico, descadastramento e outras opções: > https://lists.ubuntu.com/mailman/listinfo/ubuntu-br > -- Mais sobre o Ubuntu em português: http://www.ubuntu-br.org/comece Lista de discussão Ubuntu Brasil Histórico, descadastramento e outras opções: https://lists.ubuntu.com/mailman/listinfo/ubuntu-br
[Ubuntu-BR] Snort e Mysql
Olá amigos, Alguem sabe o modo correto de instalação do Snort no Ubuntu com suporte ao Mysql, já tentei diversas maneiras, tais como: ./configure --with-mysql=/usr apt get install snort-mysql porém, sempre sem sucesso... Alguem na lista ja teve sucesso nessa implementação, fazer efetivamente o Snort gravar os log em banco de dados Mysql... Agradeço deste de já. -- Mais sobre o Ubuntu em português: http://www.ubuntu-br.org/comece Lista de discussão Ubuntu Brasil Histórico, descadastramento e outras opções: https://lists.ubuntu.com/mailman/listinfo/ubuntu-br
[Ubuntu-BR] Snort e Mysql
Olá amigos, Alguem sabe o modo correto de instalação do Snort no Ubuntu com suporte ao Mysql, já tentei diversas maneiras, tais como: ./configure --with-mysql=/usr apt get install snort-mysql porém, sempre sem sucesso... Alguem na lista ja teve sucesso nessa implementação, fazer efetivamente o Snort gravar os log em banco de dados Mysql... Agradeço deste de já. -- Mais sobre o Ubuntu em português: http://www.ubuntu-br.org/comece Lista de discussão Ubuntu Brasil Histórico, descadastramento e outras opções: https://lists.ubuntu.com/mailman/listinfo/ubuntu-br
