Mailinglist Archive: opensuse-de (4904 mails)
| < Previous | Next > |
Suse 9.1: Probleme mit snort
- From: Klaus Niedt <klausniedt@xxxxxx>
- Date: Fri, 28 May 2004 08:06:00 +0200
- Message-id: <200405280806.00239.klausniedt@xxxxxx>
Hallo allerseits,
ich habe das Problem schon mal in der Security-Liste gepostet, da fühlte
sich aber keiner angesprochen. Also:
ich habe tagelang vergeblich versucht, snort zum Laufen zu bringen. Bis
zur Veröffentlichung des Patches bezogen sich Fehlermeldung auf die
fehlende Unterstützung von Unicode, seitdem ist in /var/log/messages
nach dem Booten oder einem 'rcsnort restart' die Schlußmeldung: snort
initialization completed succesfully. Nur leider findet - egal ob die
originale snort.conf-Datei angewendet wird oder eine eigenhändig
veränderte - kein Logging statt. Habe ich mit Besuchen auf www.heise.de
ausgetestet. Bis einschließlich Suse 9.0 war das ein Garant für
massenhaft Portscan-Alarme. Ein 'snort -T snort.conf' bringt folgende
Ausgabe:
stargate:/etc/snort # snort -T snort.conf
Running in IDS mode with inferred config file: ./snort.conf
Log directory = /var/log/snort
Initializing Network Interface eth0
ERROR: OpenPcap() FSM compilation failed:
syntax error
PCAP command: snort.conf
Fatal Error, Quitting..
Recherchen bei Google, snort.org und den Archiven der Suse-Listen haben
mich nicht weitergebracht. Mit der Meldung oben kann ich nur bedingt
was anfangen; soweit ich es verstehe, muß es zu einem Fehler mit der
libpcap kommen, die snort benötigt zum Auslesen der Pakete. Apropos:
ich habe auch versucht, anstelle der Version von der Suse-DVD die
letzte stabile Version von snort.org zu installieren. Dabei beschwerte
sich Yast, daß er die libpcap.so0.62 dafür benötige, installiert ist
aber die 0.81.
Ich nutze einen DSL-Router (T Sinus 130 DSL), der als Gateway arbeitet
und per Web-Frontend die Internetverbindung herstellt bzw. trennt. Der
Router hat eine Firewall, ich habe aber gegenüber der 9.0-Installation,
wo snort schnurrte, keine Einstellung verändert. Auf meinem Rechner
läuft die SFW2, wie früher habe ich eth0 als externen Device
konfiguriert.. Soweit. Schon mal Danke im voraus
Klaus Niedt
ich habe das Problem schon mal in der Security-Liste gepostet, da fühlte
sich aber keiner angesprochen. Also:
ich habe tagelang vergeblich versucht, snort zum Laufen zu bringen. Bis
zur Veröffentlichung des Patches bezogen sich Fehlermeldung auf die
fehlende Unterstützung von Unicode, seitdem ist in /var/log/messages
nach dem Booten oder einem 'rcsnort restart' die Schlußmeldung: snort
initialization completed succesfully. Nur leider findet - egal ob die
originale snort.conf-Datei angewendet wird oder eine eigenhändig
veränderte - kein Logging statt. Habe ich mit Besuchen auf www.heise.de
ausgetestet. Bis einschließlich Suse 9.0 war das ein Garant für
massenhaft Portscan-Alarme. Ein 'snort -T snort.conf' bringt folgende
Ausgabe:
stargate:/etc/snort # snort -T snort.conf
Running in IDS mode with inferred config file: ./snort.conf
Log directory = /var/log/snort
Initializing Network Interface eth0
ERROR: OpenPcap() FSM compilation failed:
syntax error
PCAP command: snort.conf
Fatal Error, Quitting..
Recherchen bei Google, snort.org und den Archiven der Suse-Listen haben
mich nicht weitergebracht. Mit der Meldung oben kann ich nur bedingt
was anfangen; soweit ich es verstehe, muß es zu einem Fehler mit der
libpcap kommen, die snort benötigt zum Auslesen der Pakete. Apropos:
ich habe auch versucht, anstelle der Version von der Suse-DVD die
letzte stabile Version von snort.org zu installieren. Dabei beschwerte
sich Yast, daß er die libpcap.so0.62 dafür benötige, installiert ist
aber die 0.81.
Ich nutze einen DSL-Router (T Sinus 130 DSL), der als Gateway arbeitet
und per Web-Frontend die Internetverbindung herstellt bzw. trennt. Der
Router hat eine Firewall, ich habe aber gegenüber der 9.0-Installation,
wo snort schnurrte, keine Einstellung verändert. Auf meinem Rechner
läuft die SFW2, wie früher habe ich eth0 als externen Device
konfiguriert.. Soweit. Schon mal Danke im voraus
Klaus Niedt
| < Previous | Next > |