jventure
24-09-2007, 10:11
voglio rendervi partecipi di un piccolo problemino che ho avuto a causa di un aggiornamento, così magari se state pensando di fare lo stesso aggiornamento ci pensate ancora un po'
ho un server debian con iptables e snort
testing ovviamente
in testing snort è fermo alla versione 2.3.3-11
l'altro giorno ho notato come in unstable snort sia stato aggiornato alla versione 2.7.0-5
debian search snort (http://packages.debian.org/search?keywords=snort&searchon=names&suite=all§ion=all)
bene ho aggiornato così:
- rimosso completamente snort 2.3.3
- rimosso il database di log
- rimossi tutti i file di conf previo backup
- installato snort-pgsql
- copiato il vecchio snort.conf e snort.eth0.conf
e qui sono iniziati i problemi, che alla fine mi immaginavo dato l'aggiornamento:
- mi son trovato le direttive del preprocessore cambiate
- nuove istruzioni per il preprocessore dinamico
alche manuale alla mano ho ristudiato snort .. e questo ci stava anche
poi avvio e sembra tutto funzionare:
root:# tail /var/log/daemon.log | grep snort
Snort initialization completed successfully (pid=6048)
ma nessun sensore attivo ...
alche ci do un bel verbose e scopro che va in segmentation fault ... ma non in un punto preciso ma dopo un periodo random, comunque breve, di analisi del traffico.
googlo un po' e mi vien fuori che dovrei provare una versione cvs di snort
e perdere un'altra giornata sul server ...
dicono sia colpa della rules bleeding [ che io non uso oltretutto ]
e sono in tesi sui falsi positivi nei sistemi di ids, quindi snort aggiornato mi farebbe comodo ... :cry: aspetterò il prossimo aggiornamento :cry:
ho un server debian con iptables e snort
testing ovviamente
in testing snort è fermo alla versione 2.3.3-11
l'altro giorno ho notato come in unstable snort sia stato aggiornato alla versione 2.7.0-5
debian search snort (http://packages.debian.org/search?keywords=snort&searchon=names&suite=all§ion=all)
bene ho aggiornato così:
- rimosso completamente snort 2.3.3
- rimosso il database di log
- rimossi tutti i file di conf previo backup
- installato snort-pgsql
- copiato il vecchio snort.conf e snort.eth0.conf
e qui sono iniziati i problemi, che alla fine mi immaginavo dato l'aggiornamento:
- mi son trovato le direttive del preprocessore cambiate
- nuove istruzioni per il preprocessore dinamico
alche manuale alla mano ho ristudiato snort .. e questo ci stava anche
poi avvio e sembra tutto funzionare:
root:# tail /var/log/daemon.log | grep snort
Snort initialization completed successfully (pid=6048)
ma nessun sensore attivo ...
alche ci do un bel verbose e scopro che va in segmentation fault ... ma non in un punto preciso ma dopo un periodo random, comunque breve, di analisi del traffico.
googlo un po' e mi vien fuori che dovrei provare una versione cvs di snort
e perdere un'altra giornata sul server ...
dicono sia colpa della rules bleeding [ che io non uso oltretutto ]
e sono in tesi sui falsi positivi nei sistemi di ids, quindi snort aggiornato mi farebbe comodo ... :cry: aspetterò il prossimo aggiornamento :cry: