Cherche quelque explication sur snort
Dernière réponse : dans Le monde de Linux
Bonjour,
voila j'ai installé snort sur ubuntu 9.10 !
avec cette doc http://www.debian.org/doc/manuals/debian-faq/ch-pkg_bas... ( 7.14 )
pendant l'installation ! me demande de précisé ( c tout ) mon network
bref j'ai mi 192.168.1.0/24 !
enfin le résultat final de l'installation (en image) :
http://imagik.fr/view-rl/160563
a la fin ils m'écrit
1/ es-que sa veut dir que snort est:
bien installé ET bien configurer a detecter les intrution réseau ET s'il y a une intrusion va la loger sur var/log/snort/alert
???
2/ sinon
s'il faut le configurer...
j'ai trouver deux fichier intéressant sur /etc/snort
le premier c'est snort.conf !! le contenu est par défaut ( bien sur pas modifier comme il est écrit sur la majorité des docs ) ! et il y a pas l'adresse que j'ai mi pendant l'installation
et le deuxième ( qui ma fait douté ) c'est snort.debian.conf ! où j'ai trouvé @ 192.168.1.0/24 que j'ai mi pendant l'installation
qui me fait pensé que le fichier .conf de mon snort avec cette installation c'est celui la et il me permettre de detection les intrution et de loger les alerte ! sans touché a rien
es_que c'est sa ???
alors si quelqu'un peux m'expliquer les chose plus clairement ! se serai gentil de sa part !
merci d'avance !
voila j'ai installé snort sur ubuntu 9.10 !
avec cette doc http://www.debian.org/doc/manuals/debian-faq/ch-pkg_bas... ( 7.14 )
#apt-get source snort
#cd snort-2.8.4.1
#apt-get build-dep snort
#debuild -us -uc
#dpkg -i ../*.deb
#cd snort-2.8.4.1
#apt-get build-dep snort
#debuild -us -uc
#dpkg -i ../*.deb
pendant l'installation ! me demande de précisé ( c tout ) mon network
bref j'ai mi 192.168.1.0/24 !
enfin le résultat final de l'installation (en image) :
http://imagik.fr/view-rl/160563
a la fin ils m'écrit
starting network intrusion detection system snort [ok]
1/ es-que sa veut dir que snort est:
bien installé ET bien configurer a detecter les intrution réseau ET s'il y a une intrusion va la loger sur var/log/snort/alert
???
2/ sinon
s'il faut le configurer...
j'ai trouver deux fichier intéressant sur /etc/snort
le premier c'est snort.conf !! le contenu est par défaut ( bien sur pas modifier comme il est écrit sur la majorité des docs ) ! et il y a pas l'adresse que j'ai mi pendant l'installation
et le deuxième ( qui ma fait douté ) c'est snort.debian.conf ! où j'ai trouvé @ 192.168.1.0/24 que j'ai mi pendant l'installation
# This file is used for options that are changed by Debian to leave
# the original lib files untouched.
# You have to use "dpkg-reconfigure snort" to change them.
DEBIAN_SNORT_STARTUP="boot"
DEBIAN_SNORT_HOME_NET="192.168.1.0/24"
DEBIAN_SNORT_OPTIONS=""
DEBIAN_SNORT_INTERFACE="eth0"
DEBIAN_SNORT_SEND_STATS="true"
DEBIAN_SNORT_STATS_RCPT="root"
DEBIAN_SNORT_STATS_THRESHOLD="1"
# the original lib files untouched.
# You have to use "dpkg-reconfigure snort" to change them.
DEBIAN_SNORT_STARTUP="boot"
DEBIAN_SNORT_HOME_NET="192.168.1.0/24"
DEBIAN_SNORT_OPTIONS=""
DEBIAN_SNORT_INTERFACE="eth0"
DEBIAN_SNORT_SEND_STATS="true"
DEBIAN_SNORT_STATS_RCPT="root"
DEBIAN_SNORT_STATS_THRESHOLD="1"
qui me fait pensé que le fichier .conf de mon snort avec cette installation c'est celui la et il me permettre de detection les intrution et de loger les alerte ! sans touché a rien
es_que c'est sa ???
alors si quelqu'un peux m'expliquer les chose plus clairement ! se serai gentil de sa part !
merci d'avance !
Autres pages sur : cherche explication snort
Lassé par la pub ? Créez un compte
1°) Ça ressemble à quelque chose qui fonctionne, ça ! ![:)]( ":)")
2°) A quoi ressemble la ligne de commande qui lance snort sur ton système ?
(La réponse à ta question est dans la réponse à ma question![;)]( ";)")
)
__________________
(J'ai fais un tout petit peu de mise en forme sur ton message grâce à la balise [fixed], tu peux en faire autant, la prochaine fois pour tout ce qui est vidage d'écran et/ou de fichier. Merci.)
Citation :
starting network intrusion detection system snort [ok]
2°) A quoi ressemble la ligne de commande qui lance snort sur ton système ?
(La réponse à ta question est dans la réponse à ma question
)__________________
(J'ai fais un tout petit peu de mise en forme sur ton message grâce à la balise [fixed], tu peux en faire autant, la prochaine fois pour tout ce qui est vidage d'écran et/ou de fichier. Merci.)
S.N.O.R.T. rempli globalement 3 tâches, qui sont ses modes de fonctionnement : Sniffer, Packet Logger et NIDS
1_ mode Sniffer: Il s'agit d'écouter le réseau, en tapant une ou plusieurs lignes de commandes qui indiqueront à snort le type de résultat à afficher
exemple: snort -v ( affiche les en-têtes TCP/IP )
2_ mode packet logger: similaire au précédent, à ceci près que les logs ne s'affiche plus à l'écran, mais s'inscrivent directement dans un fichier de log
exemple: snort -de -l /var/log/snort
3_ Utilisation de Snort en nids: ( C'EST sa qui m'intéresse! )
S.N.O.R.T. utilise pour cela des règles pour détecter les intrusions
Chaque règle se rajoute dans un fichier de configuration prévu à cet effet, ...Le fichier de configuration de snort est /etc/snort/snort.conf
alors il faut le mettre a jour![:kaola:]( ":kaola:")
ensuite lancé cette commande
snort -u snort -g snort -A full -d -D -i eth0 -l /var/log/snort -c /etc/snort/snort.conf
Cette ligne de commande indique que snort est lancé avec les privilèges de l'utilisateur "snort" appartenant au groupe "snort", type d'alerte : full. Snort sera lancé en tant que daemon (-D), il regardera l'interface réseau eth0. Selon votre configuration, vous indiquerez plutôt : ppp0, eth1... Snort utilisera le répertoire /var/log/snort/ et le fichier de configuration /etc/snort/snort.conf.
Pour que snort, soit lancé à chaque démarrage, il vous suffit de rajouter la ligne précédente à la fin de votre /etc/init.d/rc.local ( cette ligne m'intéresse aussi![:)]( ":)")
)
MAIS es-que la façon que j'ai installé et le faite que quand il m'ont demandé la classe d'adresse de mon réseau ( pendant l'installation ) il c écrite sur snort.debian.conf ET pas sur snort.conf;
que c'est pour dire que le fichier conf et celui la et pas snort.conf!
et de ne touché a rien et peux être il y a une autre commande pour lancé le troisième mode qui est destiné pour se genre d'installation et de se genre de fichier config ! ( s'il y a ! c'est gentil de votre part si vous me la donné )
ou![:pt1cable:]( ":pt1cable:")
je suis entrain de dire n'importe quoi ! et le fichier conf et snort.conf même avec se genre d'installation
et la présence d'un autre fichier snort.debian.conf où se trouve @ de classe que j'ai mi ! il faut l'ignoré et il faut suivre a la lettre la mise a jour de snort.conf et lancé la commande
snort -u snort -g snort -A full -d -D -i eth0 -l /var/log/snort -c /etc/snort/snort.conf
![:??:]( ":??:")
![:??:]( ":??:")
![:??:]( ":??:")
![:??:]( ":??:")
![:??:]( ":??:")
![:??:]( ":??:")
1_ mode Sniffer: Il s'agit d'écouter le réseau, en tapant une ou plusieurs lignes de commandes qui indiqueront à snort le type de résultat à afficher
exemple: snort -v ( affiche les en-têtes TCP/IP )
2_ mode packet logger: similaire au précédent, à ceci près que les logs ne s'affiche plus à l'écran, mais s'inscrivent directement dans un fichier de log
exemple: snort -de -l /var/log/snort
3_ Utilisation de Snort en nids: ( C'EST sa qui m'intéresse! )
S.N.O.R.T. utilise pour cela des règles pour détecter les intrusions
Chaque règle se rajoute dans un fichier de configuration prévu à cet effet, ...Le fichier de configuration de snort est /etc/snort/snort.conf
alors il faut le mettre a jour
ensuite lancé cette commande
snort -u snort -g snort -A full -d -D -i eth0 -l /var/log/snort -c /etc/snort/snort.conf
Cette ligne de commande indique que snort est lancé avec les privilèges de l'utilisateur "snort" appartenant au groupe "snort", type d'alerte : full. Snort sera lancé en tant que daemon (-D), il regardera l'interface réseau eth0. Selon votre configuration, vous indiquerez plutôt : ppp0, eth1... Snort utilisera le répertoire /var/log/snort/ et le fichier de configuration /etc/snort/snort.conf.
Pour que snort, soit lancé à chaque démarrage, il vous suffit de rajouter la ligne précédente à la fin de votre /etc/init.d/rc.local ( cette ligne m'intéresse aussi
)MAIS es-que la façon que j'ai installé et le faite que quand il m'ont demandé la classe d'adresse de mon réseau ( pendant l'installation ) il c écrite sur snort.debian.conf ET pas sur snort.conf;
que c'est pour dire que le fichier conf et celui la et pas snort.conf!
et de ne touché a rien et peux être il y a une autre commande pour lancé le troisième mode qui est destiné pour se genre d'installation et de se genre de fichier config ! ( s'il y a ! c'est gentil de votre part si vous me la donné )
ou
je suis entrain de dire n'importe quoi ! et le fichier conf et snort.conf même avec se genre d'installation
et la présence d'un autre fichier snort.debian.conf où se trouve @ de classe que j'ai mi ! il faut l'ignoré et il faut suivre a la lettre la mise a jour de snort.conf et lancé la commande
snort -u snort -g snort -A full -d -D -i eth0 -l /var/log/snort -c /etc/snort/snort.conf
Ah ! Je ne te demandais pas comment lancer snort mais comment snort est lancé sur ton système. ![:o]( ":o")
Mais c'est bien, maintenant que tu sais ce que tu dois faire pour le faire fonctionner, allons donc voir sur ton système.![:)]( ":)")
Nous cherchons donc une ligne contenant snort dans le fichier /etc/init.d/rc.local.
Tu trouves ? Donne-là nous et étudions-la.![:o]( ":o")
Tu ne trouves pas ?![:/]( ":/")
Cherchons mieux, toujours dans le répertoire init.d :
Regardons ça de plus près :
Alors ?
Mais c'est bien, maintenant que tu sais ce que tu dois faire pour le faire fonctionner, allons donc voir sur ton système.
Nous cherchons donc une ligne contenant snort dans le fichier /etc/init.d/rc.local.
Tu trouves ? Donne-là nous et étudions-la.
Tu ne trouves pas ?
Cherchons mieux, toujours dans le répertoire init.d :$ cd /et/init.d
$ grep -l snort *
Snort a été trouvé dans ces fichiers.$ grep -l snort *
Regardons ça de plus près :
$ grep snort * /dev/null
Alors ?
# /etc/init.d/snort start
* Starting Network Intrusion Detection System snort [ OK ]
~# cd /etc/init.d/
:/etc/init.d# grep -l snort *
snort
:/etc/init.d# grep snort * /dev/null
snort:# Provides: snort
snort:DAEMON=/usr/sbin/snort
snort:NAME=snort
snort:CONFIG=/etc/snort/snort.debian.conf
snort:if [ -f /etc/snort/snort.common.parameters ] ; then
snort: COMMON=`cat /etc/snort/snort.common.parameters`
snort:elif [ -r /etc/default/snort ] ; then
snort: . /etc/default/snort
snort:cd /etc/snort
snort: # This will only be used by people using /etc/default/snort
snort: # An alternative way is to check if the snort user can create
snort: log_failure_msg "ERR: logging directory $LOGDIR does not belong to the snort user $SNORTUSER"
snort: if [ -e /etc/snort/db-pending-config ] ; then
snort: log_failure_msg "/etc/snort/db-pending-config file found"
snort: log_failure_msg "/usr/share/doc/snort-{pgsql,mysql}/README-database.Debian"
snort: log_failure_msg "and remove /etc/snort/db-pending-config"
snort: /etc/ppp/ip-up.d/snort "$@"
snort: PIDFILE=/var/run/snort_$interface.pid
snort: CONFIGFILE=/etc/snort/snort.$interface.conf
snort: fail="failed (check /var/log/syslog and /var/log/snort)"
snort: log_progress_msg "using /etc/snort/snort.conf"
snort: CONFIGFILE=/etc/snort/snort.conf
snort: log_progress_msg "using /etc/snort/snort.$interface.conf"
snort: log_failure_msg "No snort instance found to be started!" >&2
snort: /etc/ppp/ip-down.d/snort "$@"
snort: pidpattern=/var/run/snort_*.pid
snort: test "$2" && pidpattern=/var/run/snort_"$2".pid
snort: interface=$(basename "$PIDFILE" .pid | sed -e 's/^snort_//')
snort: log_warning_msg "No running snort instance found"
snort: pidpattern=/var/run/snort_*.pid
snort: test "$2" && pidpattern=/var/run/snort_"$2".pid
snort: interface=$(basename "$PIDFILE" .pid | sed -e 's/^snort_//')
snort: log_failure_msg "No snort instance found to be stopped!" >&2
snort: log_daemon_msg "Status of snort daemon(s)"
snort: pidfile=/var/run/snort_$interface.pid
snort: if ps -p $pidval | grep -q snort; then
snort:# More than one case where pidfile exists but no snort daemon
snort: log_failure_msg "Config-check is currently not supported for snort in Dialup configuration"
snort: CONFIGFILE=/etc/snort/snort.$interface.conf
snort: CONFIGFILE=/etc/snort/snort.conf
snort: log_failure_msg "no snort instance found to be started!" >&2
voila c'est fait !!
ps: moi je cherche que mon snort se lance automatiquement en mode 3 " detecte au minimum les ping", a chaque démarrage de linux !
* Starting Network Intrusion Detection System snort [ OK ]
~# cd /etc/init.d/
:/etc/init.d# grep -l snort *
snort
:/etc/init.d# grep snort * /dev/null
snort:# Provides: snort
snort:DAEMON=/usr/sbin/snort
snort:NAME=snort
snort:CONFIG=/etc/snort/snort.debian.conf
snort:if [ -f /etc/snort/snort.common.parameters ] ; then
snort: COMMON=`cat /etc/snort/snort.common.parameters`
snort:elif [ -r /etc/default/snort ] ; then
snort: . /etc/default/snort
snort:cd /etc/snort
snort: # This will only be used by people using /etc/default/snort
snort: # An alternative way is to check if the snort user can create
snort: log_failure_msg "ERR: logging directory $LOGDIR does not belong to the snort user $SNORTUSER"
snort: if [ -e /etc/snort/db-pending-config ] ; then
snort: log_failure_msg "/etc/snort/db-pending-config file found"
snort: log_failure_msg "/usr/share/doc/snort-{pgsql,mysql}/README-database.Debian"
snort: log_failure_msg "and remove /etc/snort/db-pending-config"
snort: /etc/ppp/ip-up.d/snort "$@"
snort: PIDFILE=/var/run/snort_$interface.pid
snort: CONFIGFILE=/etc/snort/snort.$interface.conf
snort: fail="failed (check /var/log/syslog and /var/log/snort)"
snort: log_progress_msg "using /etc/snort/snort.conf"
snort: CONFIGFILE=/etc/snort/snort.conf
snort: log_progress_msg "using /etc/snort/snort.$interface.conf"
snort: log_failure_msg "No snort instance found to be started!" >&2
snort: /etc/ppp/ip-down.d/snort "$@"
snort: pidpattern=/var/run/snort_*.pid
snort: test "$2" && pidpattern=/var/run/snort_"$2".pid
snort: interface=$(basename "$PIDFILE" .pid | sed -e 's/^snort_//')
snort: log_warning_msg "No running snort instance found"
snort: pidpattern=/var/run/snort_*.pid
snort: test "$2" && pidpattern=/var/run/snort_"$2".pid
snort: interface=$(basename "$PIDFILE" .pid | sed -e 's/^snort_//')
snort: log_failure_msg "No snort instance found to be stopped!" >&2
snort: log_daemon_msg "Status of snort daemon(s)"
snort: pidfile=/var/run/snort_$interface.pid
snort: if ps -p $pidval | grep -q snort; then
snort:# More than one case where pidfile exists but no snort daemon
snort: log_failure_msg "Config-check is currently not supported for snort in Dialup configuration"
snort: CONFIGFILE=/etc/snort/snort.$interface.conf
snort: CONFIGFILE=/etc/snort/snort.conf
snort: log_failure_msg "no snort instance found to be started!" >&2
voila c'est fait !!
ps: moi je cherche que mon snort se lance automatiquement en mode 3 " detecte au minimum les ping", a chaque démarrage de linux !
Rhoooo!
Mais à te lire, Marsien, je comprends que snort n'est pas lancé sur la machine de abdoulive. Que le message était sans doute dû à un lancement manuel. Tu crois qu'il nous l'aurait dit !
starting network intrusion detection system snort [ok]
C'était pour moi la preuve que cette appli démarrait correctement.Mais à te lire, Marsien, je comprends que snort n'est pas lancé sur la machine de abdoulive. Que le message était sans doute dû à un lancement manuel. Tu crois qu'il nous l'aurait dit !
Bien sûr abdoulive !!!
Il serait tant que tu t'intéresses de près au système que tu exploites. Le fait d'avoir choisi Linux ne te dispense pas d'un certain investissement personnel.
Comme tu n'expliques pas très bien - ce n'est pas un reproche, tout le monde a le droit de débuter - nous avons du mal à t'aider. Mais quand nous évoquons une piste, tu es prié de bien vouloir la suivre.
Suis la piste de Marsien, renseigne-toi sur update-rc.d.
Réponds à ma question : le lancement dont tu nous parles est-il manuel ou automatique.
La solution n'est pas loin... courage.
Il serait tant que tu t'intéresses de près au système que tu exploites. Le fait d'avoir choisi Linux ne te dispense pas d'un certain investissement personnel.
Comme tu n'expliques pas très bien - ce n'est pas un reproche, tout le monde a le droit de débuter - nous avons du mal à t'aider. Mais quand nous évoquons une piste, tu es prié de bien vouloir la suivre.
Suis la piste de Marsien, renseigne-toi sur update-rc.d.
Réponds à ma question : le lancement dont tu nous parles est-il manuel ou automatique.
La solution n'est pas loin... courage.
bonjour! voila!
avec ce genre d'installation ! ( peux etre )
dans snort.conf on change au minimum cette ligne !
var HOME_NET any =>( exemple ) var HOME_NET 192.168.1.0/24
Pour pouvoir se servir de snort en tant qu'IDS (mode 3), il faut le lancer avec le fichier de configuration snort.conf en paramètre
snort -c /etc/snort/snort.conf
Pour que Snort démarre toujours en tant qu'IDS, on ajoute au fichier etc/snort/snort.debian.conf
DEBIAN_SNORT_OPTIONS="-c /etc/snort/snort.conf"
ps: merci pour vos réponses![:hello:]( ":hello:")
a bientôt pour d'autres questions![:ange:]( ":ange:")
avec ce genre d'installation ! ( peux etre )
dans snort.conf on change au minimum cette ligne !
var HOME_NET any =>( exemple ) var HOME_NET 192.168.1.0/24
Pour pouvoir se servir de snort en tant qu'IDS (mode 3), il faut le lancer avec le fichier de configuration snort.conf en paramètre
snort -c /etc/snort/snort.conf
Pour que Snort démarre toujours en tant qu'IDS, on ajoute au fichier etc/snort/snort.debian.conf
DEBIAN_SNORT_OPTIONS="-c /etc/snort/snort.conf"
ps: merci pour vos réponses
a bientôt pour d'autres questions
Lassé par la pub ? Créez un compte
