Re: -- Snort --

Sun, 05 May 2002 02:49:17 -0500 

Le dim 05/05/2002 � 02:24, Stef a �crit :
> Bonsoir,

Bonjour,

> J'en profite pour demander si la variable HOME_NET doit �tre imp�rativement 
> d�finie avec la valeur de l'ip su r laquelle on est connect� � l'internet 
> (je crains moins des tentatives d'attaques depuis mon r�seau interne).
> Si oui, un probl�me se posera au mieux toutes les 36 heures lorsque mon 
> provider me d�conectera et que ma linux relancera la connection et que 
> j'aurai une nouvelle ip (je n'ai jamais fait de script sophistiqu� et je ne 
> suis pas capable � l'heure actuelle de faire un script qui va lire mon ip 
> sur ppp0 gr�ce au r�sultat de la commande ifconfig et de relancer snort 
> avec ces nouveaux parametres...)

Sur ma vieille patate, il y a tout ce qu'il faut pour lancer snort � la
connexion, mais j'ai certainement modifi� le script de ip-up.d/ (ces
scripts re�oivent les param�tres de la connexion �tablie, RTFM) :

[EMAIL PROTECTED]:~$ cat /etc/debian_version 
2.2

[EMAIL PROTECTED]:~$ COLUMNS=80 dpkg -l snort
Desired=Unknown/Install/Remove/Purge/Hold
|
Status=Not/Installed/Config-files/Unpacked/Failed-config/Half-installed
|/ Err?=(none)/Hold/Reinst-required/X=both-problems (Status,Err:
uppercase=bad)
||/ Name           Version        Description
+++-==============-==============-============================================
ii  snort          1.5.1-11       flexible packet sniffer/logger that detects 

[EMAIL PROTECTED]:~$ cat /etc/snort/snort.conf
# This file is used for options that are changed by Debian to leave
# the original lib files untouched.
# You have to use "dpkg-reconfigure snort" to change them.

DEBIAN_SNORT_STARTUP=dialup
DEBIAN_SNORT_HOME_NET=""
DEBIAN_SNORT_OPTIONS=" -p -A full -d -e"
DEBIAN_SNORT_STATS_RCPT="root"
DEBIAN_SNORT_STATS_TRESHOLD="1"

# EOF

[EMAIL PROTECTED]:~$ cat /etc/ppp/ip-up.d/snort 
#!/bin/sh -e

CONFIG=/etc/snort/snort.conf

test -f /usr/sbin/snort || exit 0

test -f $CONFIG && . $CONFIG

test "$DEBIAN_SNORT_STARTUP" = "dialup" || exit 0

# to find the lib files
cd /etc/snort

start-stop-daemon --start --quiet --exec /usr/sbin/snort -- \
        -D \
        -S "HOME_NET=$PPP_LOCAL/32" \
        -h "$PPP_LOCAL/32" \
        -c /etc/snort/snort-lib \
        -l /var/log/snort/ \
        -s \
        $DEBIAN_SNORT_OPTIONS \
        -i $PPP_IFACE \
        >/dev/null

exit 0

HTH.

-- 
Christophe �CHiPs� PETIT <[EMAIL PROTECTED]> http://chips.free.fr/
Linux-Nantes: partagez votre savoir http://www.linux-nantes.fr.eu.org/
Debian: When Code Matters More Than Commercials http://www.debian.org/  
[Le mariage est un d�ner qui commence par le dessert. Jules Sandeau]


--
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]

Répondre à