Tom's Hardware > Forum > Le monde de Linux > A l'aide ! > Cherche quelque explication sur snort

Cherche quelque explication sur snort

Forum Le monde de Linux : A l'aide ! - Cherche quelque explication sur snort

Tomshardware : 1,4 millions d'inscrits dans 6 pays différents répondent à toutes vos questions high-tech et informatique. Pour obtenir de l'aide, inscrivez-vous gratuitement !
Mot :    Pseudo :           
 

Bonjour,

 

voila j'ai installé snort sur ubuntu 9.10 !

 

avec cette doc http://www.debian.org/doc/manuals/ [...] cs.fr.html ( 7.14 )

 

#apt-get source snort
#cd snort-2.8.4.1
#apt-get build-dep snort
#debuild -us -uc
#dpkg -i ../*.deb

 

pendant l'installation ! me demande de précisé ( c tout ) mon network

 

bref j'ai mi 192.168.1.0/24 !

 

enfin le résultat final de l'installation (en image) :

 

http://imagik.fr/view-rl/160563

 

a la fin ils m'écrit

 

starting network intrusion detection system snort [ok]

 


1/ es-que sa veut dir que snort est:
bien installé ET bien configurer a detecter les intrution réseau ET s'il y a une intrusion va la loger sur var/log/snort/alert

 

???

 

2/ sinon

 

s'il faut le configurer...

 

j'ai trouver deux fichier intéressant sur /etc/snort

 

le premier c'est snort.conf !! le contenu est par défaut ( bien sur pas modifier comme il est écrit sur la majorité des docs ) ! et il y a pas l'adresse que j'ai mi pendant l'installation

 

et le deuxième ( qui ma fait douté ) c'est snort.debian.conf ! où j'ai trouvé @ 192.168.1.0/24 que j'ai mi pendant l'installation

 

# This file is used for options that are changed by Debian to leave
# the original lib files untouched.
# You have to use "dpkg-reconfigure snort" to change them.

 

DEBIAN_SNORT_STARTUP="boot"
DEBIAN_SNORT_HOME_NET="192.168.1.0/24"
DEBIAN_SNORT_OPTIONS=""
DEBIAN_SNORT_INTERFACE="eth0"
DEBIAN_SNORT_SEND_STATS="true"
DEBIAN_SNORT_STATS_RCPT="root"
DEBIAN_SNORT_STATS_THRESHOLD="1"

 

qui me fait pensé que le fichier .conf de mon snort avec cette installation c'est celui la et il me permettre de detection les intrution et de loger les alerte ! sans touché a rien

 

es_que c'est sa ???

 

alors si quelqu'un peux m'expliquer les chose plus clairement ! se serai gentil de sa part !

 

merci d'avance !


Message édité par zeb le 12-11-2009 à 11:42:26
Liens sponsorisés
Inscrivez-vous ou connectez-vous pour masquer ceci.

1°)

Citation :

starting network intrusion detection system snort [ok]

Ça ressemble à quelque chose qui fonctionne, ça ! :)

 

2°) A quoi ressemble la ligne de commande qui lance snort sur ton système ?
(La réponse à ta question est dans la réponse à ma question ;) )
__________________

 

(J'ai fais un tout petit peu de mise en forme sur ton message grâce à la balise [fixed], tu peux en faire autant, la prochaine fois pour tout ce qui est vidage d'écran et/ou de fichier. Merci.)


Message édité par zeb le 12-11-2009 à 11:49:39
------------------------------ Règlement du forum / Règlement de Programmation / Règlement du Monde de Linux euh, n'y en a pas...
Répondre à zeb

S.N.O.R.T. rempli globalement 3 tâches, qui sont ses modes de fonctionnement : Sniffer, Packet Logger et NIDS

1_ mode Sniffer: Il s'agit d'écouter le réseau, en tapant une ou plusieurs lignes de commandes qui indiqueront à snort le type de résultat à afficher

exemple: snort -v ( affiche les en-têtes TCP/IP )

2_ mode packet logger: similaire au précédent, à ceci près que les logs ne s'affiche plus à l'écran, mais s'inscrivent directement dans un fichier de log

exemple: snort -de -l /var/log/snort

3_ Utilisation de Snort en nids: ( C'EST sa qui m'intéresse! )
S.N.O.R.T. utilise pour cela des règles pour détecter les intrusions

Chaque règle se rajoute dans un fichier de configuration prévu à cet effet, ...Le fichier de configuration de snort est /etc/snort/snort.conf

alors il faut le mettre a jour :kaola:

ensuite lancé cette commande

snort -u snort -g snort -A full -d -D -i eth0 -l /var/log/snort -c /etc/snort/snort.conf

Cette ligne de commande indique que snort est lancé avec les privilèges de l'utilisateur "snort" appartenant au groupe "snort", type d'alerte : full. Snort sera lancé en tant que daemon (-D), il regardera l'interface réseau eth0. Selon votre configuration, vous indiquerez plutôt : ppp0, eth1... Snort utilisera le répertoire /var/log/snort/ et le fichier de configuration /etc/snort/snort.conf.

Pour que snort, soit lancé à chaque démarrage, il vous suffit de rajouter la ligne précédente à la fin de votre /etc/init.d/rc.local ( cette ligne m'intéresse aussi :) )


MAIS es-que la façon que j'ai installé et le faite que quand il m'ont demandé la classe d'adresse de mon réseau ( pendant l'installation ) il c écrite sur snort.debian.conf ET pas sur snort.conf;
que c'est pour dire que le fichier conf et celui la et pas snort.conf!
et de ne touché a rien et peux être il y a une autre commande pour lancé le troisième mode qui est destiné pour se genre d'installation et de se genre de fichier config ! ( s'il y a ! c'est gentil de votre part si vous me la donné )


ou :pt1cable:

je suis entrain de dire n'importe quoi ! et le fichier conf et snort.conf même avec se genre d'installation

et la présence d'un autre fichier snort.debian.conf où se trouve @ de classe que j'ai mi ! il faut l'ignoré et il faut suivre a la lettre la mise a jour de snort.conf et lancé la commande
snort -u snort -g snort -A full -d -D -i eth0 -l /var/log/snort -c /etc/snort/snort.conf


:??: :??: :??: :??: :??: :??:








Répondre à abdoulive

Ah ! Je ne te demandais pas comment lancer snort mais comment snort est lancé sur ton système. :o
Mais c'est bien, maintenant que tu sais ce que tu dois faire pour le faire fonctionner, allons donc voir sur ton système. :)

Nous cherchons donc une ligne contenant snort dans le fichier /etc/init.d/rc.local.
Tu trouves ? Donne-là nous et étudions-la. :o

Tu ne trouves pas ? :/ Cherchons mieux, toujours dans le répertoire init.d :

$ cd /et/init.d
$ grep -l snort *

Snort a été trouvé dans ces fichiers.

Regardons ça de plus près :

$ grep snort * /dev/null


Alors ?

------------------------------ Règlement du forum / Règlement de Programmation / Règlement du Monde de Linux euh, n'y en a pas...
Répondre à zeb

# /etc/init.d/snort start
* Starting Network Intrusion Detection System snort [ OK ]

~# cd /etc/init.d/

:/etc/init.d# grep -l snort *
snort

:/etc/init.d# grep snort * /dev/null
snort:# Provides: snort
snort:DAEMON=/usr/sbin/snort
snort:NAME=snort
snort:CONFIG=/etc/snort/snort.debian.conf
snort:if [ -f /etc/snort/snort.common.parameters ] ; then
snort: COMMON=`cat /etc/snort/snort.common.parameters`
snort:elif [ -r /etc/default/snort ] ; then
snort: . /etc/default/snort
snort:cd /etc/snort
snort: # This will only be used by people using /etc/default/snort
snort: # An alternative way is to check if the snort user can create
snort: log_failure_msg "ERR: logging directory $LOGDIR does not belong to the snort user $SNORTUSER"
snort: if [ -e /etc/snort/db-pending-config ] ; then
snort: log_failure_msg "/etc/snort/db-pending-config file found"
snort: log_failure_msg "/usr/share/doc/snort-{pgsql,mysql}/README-database.Debian"
snort: log_failure_msg "and remove /etc/snort/db-pending-config"
snort: /etc/ppp/ip-up.d/snort "$@"
snort: PIDFILE=/var/run/snort_$interface.pid
snort: CONFIGFILE=/etc/snort/snort.$interface.conf
snort: fail="failed (check /var/log/syslog and /var/log/snort)"
snort: log_progress_msg "using /etc/snort/snort.conf"
snort: CONFIGFILE=/etc/snort/snort.conf
snort: log_progress_msg "using /etc/snort/snort.$interface.conf"
snort: log_failure_msg "No snort instance found to be started!" >&2
snort: /etc/ppp/ip-down.d/snort "$@"
snort: pidpattern=/var/run/snort_*.pid
snort: test "$2" && pidpattern=/var/run/snort_"$2".pid
snort: interface=$(basename "$PIDFILE" .pid | sed -e 's/^snort_//')
snort: log_warning_msg "No running snort instance found"
snort: pidpattern=/var/run/snort_*.pid
snort: test "$2" && pidpattern=/var/run/snort_"$2".pid
snort: interface=$(basename "$PIDFILE" .pid | sed -e 's/^snort_//')
snort: log_failure_msg "No snort instance found to be stopped!" >&2
snort: log_daemon_msg "Status of snort daemon(s)"
snort: pidfile=/var/run/snort_$interface.pid
snort: if ps -p $pidval | grep -q snort; then
snort:# More than one case where pidfile exists but no snort daemon
snort: log_failure_msg "Config-check is currently not supported for snort in Dialup configuration"
snort: CONFIGFILE=/etc/snort/snort.$interface.conf
snort: CONFIGFILE=/etc/snort/snort.conf
snort: log_failure_msg "no snort instance found to be started!" >&2



voila c'est fait !!
ps: moi je cherche que mon snort se lance automatiquement en mode 3 " detecte au minimum les ping", a chaque démarrage de linux !


:??: :??: :??: :??:


Message édité par abdoulive le 20-11-2009 à 04:06:10
Répondre à abdoulive

update-rc.d ? Ou alors j'ai rien compris au problème :D

------------------------------ .: La Pipicy Team :love: :.
Répondre à marsien

abdoulive, ton exemple est plein de smileys. N'ai-je donc pas pris la peine de te demander d'utiliser la balise [fixed] qui plus est en te donnant un exemple :pfff:


Message édité par zeb le 20-11-2009 à 11:12:06
------------------------------ Règlement du forum / Règlement de Programmation / Règlement du Monde de Linux euh, n'y en a pas...
Répondre à zeb

Rhoooo!

starting network intrusion detection system snort [ok]

C'était pour moi la preuve que cette appli démarrait correctement.
Mais à te lire, Marsien, je comprends que snort n'est pas lancé sur la machine de abdoulive. Que le message était sans doute dû à un lancement manuel. Tu crois qu'il nous l'aurait dit !

------------------------------ Règlement du forum / Règlement de Programmation / Règlement du Monde de Linux euh, n'y en a pas...
Répondre à zeb

Ben il l'a dit implicitement :D

# /etc/init.d/snort start



Ca correspond à la commande qu'il a tapé dans son terminal sans doute, et qui lui affiche alors la réponse de bon démarrage. Mais je peux faire fausse route ;)

------------------------------ .: La Pipicy Team :love: :.
Répondre à marsien

salut

rien compris :sweat:

sont des réponses a mes questions :??:

Répondre à abdoulive

Bien sûr abdoulive !!!

 

Il serait tant que tu t'intéresses de près au système que tu exploites. Le fait d'avoir choisi Linux ne te dispense pas d'un certain investissement personnel.

 

Comme tu n'expliques pas très bien - ce n'est pas un reproche, tout le monde a le droit de débuter - nous avons du mal à t'aider. Mais quand nous évoquons une piste, tu es prié de bien vouloir la suivre.

 

Suis la piste de Marsien, renseigne-toi sur update-rc.d.
Réponds à ma question : le lancement dont tu nous parles est-il manuel ou automatique.

 

La solution n'est pas loin... courage.


Message édité par zeb le 20-11-2009 à 11:19:21
------------------------------ Règlement du forum / Règlement de Programmation / Règlement du Monde de Linux euh, n'y en a pas...
Répondre à zeb

bonjour! voila!
avec ce genre d'installation ! ( peux etre )

dans snort.conf on change au minimum cette ligne !

var HOME_NET any =>( exemple ) var HOME_NET 192.168.1.0/24


Pour pouvoir se servir de snort en tant qu'IDS (mode 3), il faut le lancer avec le fichier de configuration snort.conf en paramètre

snort -c /etc/snort/snort.conf

Pour que Snort démarre toujours en tant qu'IDS, on ajoute au fichier etc/snort/snort.debian.conf

DEBIAN_SNORT_OPTIONS="-c /etc/snort/snort.conf"


ps: merci pour vos réponses :hello:

a bientôt pour d'autres questions :ange:

Répondre à abdoulive
Tom's Hardware > Forum > Le monde de Linux > A l'aide ! > Cherche quelque explication sur snort
Aller à :

Il y a 426 utilisateurs connus et inconnus. Pour voir la liste des connectés connus, cliquez ici.

Annonces Google
  • Besoin d'aide ? Publiez votre question
  • Publier
Publicité
Solution la plus récente
Equivalent Power Point sous Linux ?
Par zeb il y a 6 jours :

La soluce de facilité, c'est d'utiliser pptviewer de Microsoft, sous Wine. C'est moche, mais ça marche : http://linuxappfinder.com/package/pptview Une autre soluce de plus grande facilité encore, mais très élégante celle-ci, c'est de jeter à la poubelle les chaînes-de-courriers-que-t'auras-du-malheur-si-tu-ne-renvoies-pas-ce-message-à-50-personnes ou les blagues Carambar, illustrées et sonorisées en pps :sarcastic: Cela dit, cette dernière proposition n'est pas digne du défit technique que tu nous proposes. Mais réfléchis-y quand même :D Un bon site pour choisir un logiciel alternatif est framasoft. Je viens d'y faire un tour, il n'y a pas grand chose pour lire les pps :/ Quant à faire quelque chose pour qu'OOo lise correctement tes pps, je laisse d'autres te répondre, je connais trop mal cette suite bureautique pour ça.

Les offres du moment
Ils ont gagné un badge
Vous pouvez les féliciter
Top experts