Salve a tutti, uso debian lenny, ho installato snort, l'ho configurato, direi correttamente, tanto che si avvia dando il comando /etc/init.d/snort start il programma si avvia, il problema è che dopo l'avvio, la console rimane bloccata e l'ultima riga di testo è: Not Using PCAP_FRAMES
E vi sono anche i seguenti warning, per i quali non ho trovato rimedio:
Verifying Preprocessor Configurations!
Warning: flowbits key 'community_uri.size.1050' is set but not ever checked.
Warning: flowbits key 'smb.tree.create.llsrpc' is set but not ever checked.
Warning: flowbits key 'ms_sql_seen_dns' is checked but not ever set.
Warning: flowbits key 'realplayer.playlist' is checked but not ever set.
37 out of 512 flowbits in use.

Il programma rimane in esecuzione, il problema è la console bloccata, l'unico rimedio è dare il comando ctrl-c che ovviamente comporta lo stop dell'applicazione.

Come posso risolvere?

uppo, ho purtroppo una certa urgenza perchè stando cosi le cose non posso nemmeno riavviare, visto che al boot si blocca all'avvio di snort.
Grazie :)

up

Sbaglio o snort rimane sempre in primo piano, salvo usare l'opzione -D (daemon mode)?

Sbaglio o snort rimane sempre in primo piano, salvo usare l'opzione -D (daemon mode)?

Probabilmente è come dici, solo che anche quando parte al boot, poi rimane li, come piantato... per quello non riesco a capire...
Salvo premere control c e allora esce facendo un resoconto dei pacchetti analizzati

Ti manca l'opzione -D. Dalla pagina man di snort:
-D: Run Snort in daemon mode. Alerts are sent to /var/log/snort/alert unless otherwise specified.

Non avviarlo tramite init.d, fatti uno script che esegui in fase di avvio, in modo da poter passare a snort le opzioni aggiuntive. Io ad esempio ho creato un piccolo file che mi avvia l'IDS con la sintassi:
/usr/local/bin/snort -I -l /var/log/snort/ -i any -de -c /etc/snort/snort.conf -g snort -u snort -m 027 -D -q

Come detto, in rc2.d (o il tuo runlevel di default) fai in modo che il link relativo a snort inizi per K e non per S.

Le altre opzioni che ho usato sono:
-I: Print out the receiving interface name in alerts.
-l log-dir: set the output logging directory to log-dir. All plain text alerts and packet logs go into this directory. If this option is not specified, the default logging directory is set to /var/log/snort.
-i interface: sniff packets on interface.
-d: dump the application layer data when displaying packets in verbose or packet logging mode.
-e: display/log the link layer packet headers.
-c config-file: use the rules located in file config-file.
-g group: change the group/GID Snort runs under to group after initialization.
-u user: change the user/UID Snort runs under to user after initialization.
-m umask: set the file mode creation mask to umask
-q: quiet operation. Don't display banner and initialization information.

Ti consiglio un buon libro su snort, non i tutorial da 4 soldi che trovi su internet.

Ti manca l'opzione -D. Dalla pagina man di snort:
-D: Run Snort in daemon mode. Alerts are sent to /var/log/snort/alert unless otherwise specified.

Non avviarlo tramite init.d, fatti uno script che esegui in fase di avvio, in modo da poter passare a snort le opzioni aggiuntive. Io ad esempio ho creato un piccolo file che mi avvia l'IDS con la sintassi:
/usr/local/bin/snort -I -l /var/log/snort/ -i any -de -c /etc/snort/snort.conf -g snort -u snort -m 027 -D -q

Come detto, in rc2.d (o il tuo runlevel di default) fai in modo che il link relativo a snort inizi per K e non per S.

Le altre opzioni che ho usato sono:
-I: Print out the receiving interface name in alerts.
-l log-dir: set the output logging directory to log-dir. All plain text alerts and packet logs go into this directory. If this option is not specified, the default logging directory is set to /var/log/snort.
-i interface: sniff packets on interface.
-d: dump the application layer data when displaying packets in verbose or packet logging mode.
-e: display/log the link layer packet headers.
-c config-file: use the rules located in file config-file.
-g group: change the group/GID Snort runs under to group after initialization.
-u user: change the user/UID Snort runs under to user after initialization.
-m umask: set the file mode creation mask to umask
-q: quiet operation. Don't display banner and initialization information.

Ti consiglio un buon libro su snort, non i tutorial da 4 soldi che trovi su internet.

Uhm, però io uso snort-mysql, non lo snort che logga su syslog, un'altra cosa, tramite apt-get ogni comando che digito tenta di configurarlo, con il risultato che si pianta, secondo me c'è qualcosa che non quadra, se non riesco a configurarlo sarò costretto a farlo fuori...

Il tuo pacchetto logga nel database, per il resto e' uguale.
Per la seconda domanda, o dai un dpkg-reconfigure ... oppure usa il mio sistema, disabilita l'avvio automatico in rc2.d/ e fai tutto manualmente, indicando tu il file di configurazione e le opzioni che vuoi... non avrai alcun problema.

Il tuo pacchetto logga nel database, per il resto e' uguale.
Per la seconda domanda, o dai un dpkg-reconfigure ... oppure usa il mio sistema, disabilita l'avvio automatico in rc2.d/ e fai tutto manualmente, indicando tu il file di configurazione e le opzioni che vuoi... non avrai alcun problema.

Il problema è che dando reconfigure snort parte, fa le varie schermate e poi si blocca al solito punto :muro:

Disabilita l'avvio automatico in rc2.d e crea tu la linea di comando contenente l'opzione -D.
Snort non si blocca, semplicemente resta attivo in primo piano.

Disabilita l'avvio automatico in rc2.d e crea tu la linea di comando contenente l'opzione -D.
Snort non si blocca, semplicemente resta attivo in primo piano.

Grazie, ho risolto, ora sto litigando con Base e la libreria adodb!