arg quando l'upgrade non paga [snort]

jventure · 24-09-2007, 10:11

voglio rendervi partecipi di un piccolo problemino che ho avuto a causa di un aggiornamento, così magari se state pensando di fare lo stesso aggiornamento ci pensate ancora un po'

ho un server debian con iptables e snort
testing ovviamente
in testing snort è fermo alla versione 2.3.3-11
l'altro giorno ho notato come in unstable snort sia stato aggiornato alla versione 2.7.0-5
debian search snort

bene ho aggiornato così:
- rimosso completamente snort 2.3.3
- rimosso il database di log
- rimossi tutti i file di conf previo backup
- installato snort-pgsql
- copiato il vecchio snort.conf e snort.eth0.conf

e qui sono iniziati i problemi, che alla fine mi immaginavo dato l'aggiornamento:
- mi son trovato le direttive del preprocessore cambiate
- nuove istruzioni per il preprocessore dinamico

alche manuale alla mano ho ristudiato snort .. e questo ci stava anche

poi avvio e sembra tutto funzionare:
root:# tail /var/log/daemon.log | grep snort
Snort initialization completed successfully (pid=6048)

ma nessun sensore attivo ...

alche ci do un bel verbose e scopro che va in segmentation fault ... ma non in un punto preciso ma dopo un periodo random, comunque breve, di analisi del traffico.

googlo un po' e mi vien fuori che dovrei provare una versione cvs di snort
e perdere un'altra giornata sul server ...

dicono sia colpa della rules bleeding [ che io non uso oltretutto ]

e sono in tesi sui falsi positivi nei sistemi di ids, quindi snort aggiornato mi farebbe comodo ...

aspetterò il prossimo aggiornamento

jventure · 24-09-2007, 14:18

una mattinata e mezza di lavoro, un ovetto sodo per pranzo e il manuale di snort riletto e ora funziona.

il problema stava in alcune direttive del preprocessore che non stavano bene assieme.

boh vediamo se regge al carico e ai miei tentativi di intrusione dalla dmz
per il momento posso dire:

Codice:

  PID USER      PR  NI  VIRT  RES  SHR S %CPU %MEM    TIME+  COMMAND
 4173 snort     15   0  165m 156m 4492 R  0.3 20.6   1:00.84 snort

che non è male quel 20% di ram

24-09-2007, 10:11	#1
jventure Senior Member Iscritto dal: Nov 2003 Città: XenTown - City of paravirtualization c/o Possagno (TV) Messaggi: 539	arg quando l'upgrade non paga [snort] voglio rendervi partecipi di un piccolo problemino che ho avuto a causa di un aggiornamento, così magari se state pensando di fare lo stesso aggiornamento ci pensate ancora un po' ho un server debian con iptables e snort testing ovviamente in testing snort è fermo alla versione 2.3.3-11 l'altro giorno ho notato come in unstable snort sia stato aggiornato alla versione 2.7.0-5 debian search snort bene ho aggiornato così: - rimosso completamente snort 2.3.3 - rimosso il database di log - rimossi tutti i file di conf previo backup - installato snort-pgsql - copiato il vecchio snort.conf e snort.eth0.conf e qui sono iniziati i problemi, che alla fine mi immaginavo dato l'aggiornamento: - mi son trovato le direttive del preprocessore cambiate - nuove istruzioni per il preprocessore dinamico alche manuale alla mano ho ristudiato snort .. e questo ci stava anche poi avvio e sembra tutto funzionare: root:# tail /var/log/daemon.log \| grep snort Snort initialization completed successfully (pid=6048) ma nessun sensore attivo ... alche ci do un bel verbose e scopro che va in segmentation fault ... ma non in un punto preciso ma dopo un periodo random, comunque breve, di analisi del traffico. googlo un po' e mi vien fuori che dovrei provare una versione cvs di snort e perdere un'altra giornata sul server ... dicono sia colpa della rules bleeding [ che io non uso oltretutto ] e sono in tesi sui falsi positivi nei sistemi di ids, quindi snort aggiornato mi farebbe comodo ... aspetterò il prossimo aggiornamento __________________ @Work Samsung 700Z5A-S02 archlinux @CED ESX for debian servers - Mikrotik for networking @Home bastano le ore di pc al lavoro

24-09-2007, 14:18	#2
jventure Senior Member Iscritto dal: Nov 2003 Città: XenTown - City of paravirtualization c/o Possagno (TV) Messaggi: 539	Risolto una mattinata e mezza di lavoro, un ovetto sodo per pranzo e il manuale di snort riletto e ora funziona. il problema stava in alcune direttive del preprocessore che non stavano bene assieme. boh vediamo se regge al carico e ai miei tentativi di intrusione dalla dmz per il momento posso dire: Codice: PID USER PR NI VIRT RES SHR S %CPU %MEM TIME+ COMMAND 4173 snort 15 0 165m 156m 4492 R 0.3 20.6 1:00.84 snort che non è male quel 20% di ram __________________ @Work Samsung 700Z5A-S02 archlinux @CED ESX for debian servers - Mikrotik for networking @Home bastano le ore di pc al lavoro

Strumenti
Mostra una versione stampabile Invia questa pagina per email