Salve Diego, Durante a instalação do snort-mysql, ele cria um arquivo chamado db-pending-config no diretório /etc/snort. Este arquivo significa em outras palavras que "seu mysql ainda não está pronto para receber o snort".
Siga os seguintes passos: 1 - Logue no servidor mysql e digite os seguintes comandos: > grant CREATE, INSERT, SELECT, UPDATE on snort.* to sn...@localhostidentified > by 'coloque_a_senha_aqui'; > flush privileges; > quit 2 - Após isso monte a estrutura do banco do snort. O snort já vem com um arquivo pré-definido com sua estrutura. Então digite os seguintes comando: # cd /usr/share/doc/snort-mysql/ # gunzip create_mysql.gz # cat create_mysql | mysql -u snort -h localhost -p snort (após este comando irá ser solicitado uma senha, coloque a senha definida no banco de dados) Caso queira conferir se tudo foi criado perfeitamente, logue no mysql como o usuário snort: # mysql -u snort -p coloque a senha definida no passo 1 e digite: > user snort; > show tables; se aparecer algumas tabelas , significa que deu certo. :) 3 - Entre no arquivo de configuração do snort e modifique o forma de output. Para que o mesmo possa gravar os alertas em log e também na base de dados. Procure pela parte que ele descreve os Outputs e insira a seguinte linha: output database: log, mysql, user=snort password=$senha_definida dbname=snort host=localhost obs: tenha certeza de colocar a mesma senha definida na base de dados para o usuário snort. Feito estes passo, apague o arquivo /etc/snort/db-pending-config e reinicie o snort. Qualquer erro posterior pode ser depurado no arquivo /var/log/daemon.log. OBS: Para melhor visualizar os alertas aconselho utlizar o BASE, interface web para gerenciamento de alertas do snort. Se tiver problemas manda para a lista. abs,[ ] (Digitar senha) 2009/8/27 Diego Guarnieri <[email protected]> > Victor, > > Realizando a instalação do Snort com a linha: > > # aptitude install snort-mysql > > retorna o seguinte erro: > > Configurando snort-mysql (2.7.0-19ubuntu1) ... > * Stopping Network Intrusion Detection System > snort * No running snort instance found > * Starting Network Intrusion Detection System > snort * /etc/snort/db-pending-config file found > * Snort will not start as its database is not yet configured. > * Please configure the database as described in > * /usr/share/doc/snort-{pgsql,mysql}/README-database.Debian > * and remove /etc/snort/db-pending-config > invoke-rc.d: initscript snort, action "start" failed. > dpkg: erro processando snort-mysql (--configure): > sub-processo post-installation script retornou estado de saída de erro 6 > Erros foram encontrados durante o processamento de: > snort-mysql > E: Sub-process /usr/bin/dpkg returned an error code (1) > A instalação de um pacote falhou. Tentando recuperar: > Configurando snort-mysql (2.7.0-19ubuntu1) ... > * Stopping Network Intrusion Detection System > snort * No running snort instance found > * Starting Network Intrusion Detection System > snort * /etc/snort/db-pending-config file found > * Snort will not start as its database is not yet configured. > * Please configure the database as described in > * /usr/share/doc/snort-{pgsql,mysql}/README-database.Debian > * and remove /etc/snort/db-pending-config > invoke-rc.d: initscript snort, action "start" failed. > dpkg: erro processando snort-mysql (--configure): > sub-processo post-installation script retornou estado de saída de erro 6 > Erros foram encontrados durante o processamento de: > snort-mysql > > alguma segestão??? > > 2009/8/26 Victor Santos <[email protected]> > > > Diego, > > > > Instalar o pacote snort-mysql, talvez possa resolver o seu problema: > > > > # aptitude install snort-mysql > > > > O snort do repositório, seu eu não me engano é a versão 2.7 e se encontra > > ainda bem estável. > > > > Caso necessite de alguma funcionalidade do mesmo que esteja presente > > somente > > na última versão (2.8) você terá que instalar uma séria de pré-requisitos > > antes, segue a linha: > > > > # apt-get install mysql-server apache2 php5 php-pear libphp-adodb > > php5-mysql > > build-essential libpcap-dev libpcre3-dev libmysqlclient-dev > > libnetfilter-queue-dev libnet0-dev automake libtool iptables-dev > > > > > > Extamente, é isso tudo mesmo (Só assim consegui compilar o mesmo com > > sucesso) > > > > Quando for compilar o snort, sugiro compilar com os seguintes parâmetros: > > > > # ./configure --with-mysql --enable-pthread --enable-stream4udp > > --enable-memory-cleanup --enable-decoder-preprocessor-rules > > > > Isso fará com que você aproveite melhor todas as possibilidades deste > > incrível IDS. > > > > Atenciosamente, > > > > -- > > Victor Batista da Silva Santos > > > > Analista de Segurança da Clavis Segurança da Informação > > > > Membro do Grupo de Resposta a Incidentes de Segurança - GRIS - UFRJ > > > > Departamento de Ciências da Computação - DCC > > > > Universidade Federal do Rio de Janeiro - UFRJ > > > > Esta mensagem contém informação confidencial e é dirigida apenas ao > > destinatário nomeado. Se você não é o destinatário nomeado não distribua > ou > > copie esta mensagem. Por favor, notifique o remetente imediatamente, por > > correio eletrônico, que você recebeu esta mensagem por engano e apague-a > de > > seu sistema, obrigado. > > Para que você possa desfrutar de todo o poder desta ferramenta. > > Caso queira que ele trabalho como IPS, adicione "--enable-inline". > > 2009/8/25 Diego Guarnieri <[email protected]> > > > > > Olá amigos, > > > > > > Alguem sabe o modo correto de instalação do Snort no Ubuntu com suporte > > > ao Mysql, já tentei diversas maneiras, tais como: > > > > > > ./configure --with-mysql=/usr > > > apt get install snort-mysql > > > > > > porém, sempre sem sucesso... > > > Alguem na lista ja teve sucesso nessa implementação, fazer efetivamente > > > o Snort gravar os log em banco de dados Mysql... > > > > > > Agradeço deste de já. > > > > > > -- > > > Mais sobre o Ubuntu em português: http://www.ubuntu-br.org/comece > > > > > > Lista de discussão Ubuntu Brasil > > > Histórico, descadastramento e outras opções: > > > https://lists.ubuntu.com/mailman/listinfo/ubuntu-br > > > > > -- > > Mais sobre o Ubuntu em português: http://www.ubuntu-br.org/comece > > > > Lista de discussão Ubuntu Brasil > > Histórico, descadastramento e outras opções: > > https://lists.ubuntu.com/mailman/listinfo/ubuntu-br > > > -- > Mais sobre o Ubuntu em português: http://www.ubuntu-br.org/comece > > Lista de discussão Ubuntu Brasil > Histórico, descadastramento e outras opções: > https://lists.ubuntu.com/mailman/listinfo/ubuntu-br > -- Victor Batista da Silva Santos Analista de Segurança da Clavis Segurança da Informação Membro do Grupo de Resposta a Incidentes de Segurança - GRIS - UFRJ Departamento de Ciências da Computação - DCC Universidade Federal do Rio de Janeiro - UFRJ Esta mensagem contém informação confidencial e é dirigida apenas ao destinatário nomeado. Se você não é o destinatário nomeado não distribua ou copie esta mensagem. Por favor, notifique o remetente imediatamente, por correio eletrônico, que você recebeu esta mensagem por engano e apague-a de seu sistema, obrigado. -- Mais sobre o Ubuntu em português: http://www.ubuntu-br.org/comece Lista de discussão Ubuntu Brasil Histórico, descadastramento e outras opções: https://lists.ubuntu.com/mailman/listinfo/ubuntu-br
