debianforum.de

[ralfi]

Da scheint was tierisch nicht zu stimmen in der SNORT Konfiguration

ERROR: /etc/snort/./rules/snort.rules(2610) Unknown rule option: 'pkt_data'.
Fatal Error, Quitting..

Das Standard-Verzeichnis der Regeln ist /etc/snort/rules, Du scheinst also die Regeln angepasst zu haben. Gibt es wirklich die Datei snort.rules in Deinem Rules-Pfad? Wenn ja, dann deaktiviere mal jede Regel in der Datei mit #, in welcher die Zeichenkette pkt_data vorkommt.

Wie hast Du das Update ausgeführt, über apt oder mit snort-Tools ?

Ansonsten hülft:
- alle per Hand modifizierten Dateien sichern
- apt-get purge snort*
- snort neu mit Standardoptionen installieren

[dalari]

Es gibt /etc/snort/rules/snort.rules. Ich nutze Pulledpork zum Updaten meiner Regeln und ich selbst verändere nichts an den Regeln selbst. ich habe das einmal versucht, dabei ist klar geworden das es zu viele Zeilen sind in denen pkt_data vorkommt um alle auszukommentieren, auserdem werden die Regeln automatisch geupdatet, also würden die auskommentierten Zeilen immer wieder neu unkommentiert. Vor dem Regelupdate funktionierte alles und ich habe mich nur nach der Anleitung auf der Homepage gerichtet. https://www.snort.org/assets/167/deb_snort_howto.pdf

Mir ist schon klar das in der konfiguration etwas falsch sein muss. Es muss irgenteine option Fehlen, ich weiß aber nicht welche.

[ralfi]

Siehe hier ...

http://blog.snort.org/2011/08/snort-291-where-does-filedata-point.html
Es ist eine korrekte Option, wie der Blog-Eintrag erläutert.

Ich habe jetzt zur Sicherheit meine Snort VM mal hochgefahren und nachgeschaut. Da ist ein 2.9.2-3 aus Sid drauf und alle Rules mit pkt_data Optionen sind aktiviert. Es funzt alles wunderbar. Hast Du auch mind. Snort 2.9.1 installiert ?

Ich mache Rules-Updates mit oinkmaster und eigenem Skript, vielleicht ist auch bei pulledpork irgend etwas schief gelaufen?

[dalari]

Ich komm da nciht drauf klar....ich weiß damit absolut nicht wo ich iwas hinschreiben muss.
Kann mir das einer erklären? wo muss ich da welche option hinschreiben?

[ralfi]

Welche SNORT Version hast Du Installiert ? (apt-cache policy snort)

[ralfi]

Du kannst ja mal in den Chat kommen ...

[dalari]

Ich habe 2.9.1.2 installiert wie in der Anleitung die ich weiter oben gepostet habe zu sehen ist.

[ralfi]

Na gut, da haben wir ja zwei nicht vergleichbare Installationen, denn ich benutze immer alles aus den Debian-Repos. Schade, dann kann ich Dir nicht weiterhelfen. Mit den Paketen aus Debian Sid funktioniert jedenfalls alles wie es soll insoweit ich ja Pulledpork nicht benutze.

[dalari]

also kann mir keiner helfen?

[ralfi]

Lösche Deine händische Konfiguration mit allen Parametern und Programmen, installiere es nochmal aus den Debian-Paketen und Du bekommst hier alles, was Du brauchst ...

Naja, großartiges Versprechen - ich weiß - aber es scheint ja sonst niemand eine vergleichbare Konfiguration zu haben. Oder Du frachst mal den Skript-Maker aus der PDF.

[dalari]

Ich habe jetzt das System überarbeitet und bei der neukonfiguration bei acidbase auf ein problem gestoßen.
Ich führe den Befehl

Code: Alles auswählen

zcat create_mysql.gz | mysql -u snort -D snort -p

aus und bekomme als rückgabe

Code: Alles auswählen

Unknown database 'snort'

übergoogle und im forum finde ich nichts kann mir da jemand helfen?

[ralfi]

Dann solltest Du schlicht mal die Datenbank snort anlegen, vermutlich isse nicht mehr da. Ich installiere für die Verwaltung des MySQL-Servers immer - bis alles läuft - phpmyadmin, so als fast vollständig ehemaliger WinKlickyFuzzy macht sich das schön mit der Verwaltung der Datenbanken im Browser. Ansonsten steht das natürlich auch in der Manpage vom mysql Client.

ACID habe ich früher auch mal benutzt. Ich erachte es aber für wesentlich effizienter, die Fehlermeldungen in ein Log zu schreiben und dieses mit logcheck auszuwerten. Es sei denn, Du setzt diese Snort-Instanz als NIDS Sensor mit riesigen Mengen von Snort-Meldungen ein, dann sollte man die Fehlermeldungen mit Banyard verwalten.