Snort mort mais le sous système reste vérouillé

Le MNF (Multi Network Firewall) est un des produits pare-feu les plus richement pourvus en fonctionnalités du marché. Il est basé sur un kernel Linux 2.4 sécurisé. Ce forum est également destiné à accueillir tous les posts concernants les distributions Mandriva (anciennement Mandrake)

Modérateur: modos Ixus

Snort mort mais le sous système reste vérouillé

Messagepar Gandalf » 23 Fév 2005 21:42

Moi qui croyais en avoir terminé avec ce MNF et bien il n'en est rien, Snort ne démarre plus. J'ai trouvé un vieux poste de Rik Dangerous qui avait eu ce pb mais il n'a pas laissé de solution !
Jacques préconise qques tests que j'ai fait , mais là je ne suis pas assez calé les amis, il va falloir m'aider :

service snortd status : Snort mort mais le sous système reste vérouillé
service snortd stop : echec
service snortd start : OK ( :shock: )

ensuite dans var/log/messages :

mnf snortd: snort shutdown failed

device ppp0 entered promiscuous mode
Initializing daemon mode
PID path stat checked out ok, PID path set to /var/run/
Writing PID "21400" to file "/var/run//snort_ppp0.pid"
http_decode arguments:
[...]
Ports to decode http on: 80
rpc_decode arguments:
Ports to decode RPC on: 111 32771
alert_fragments: INACTIVE
Falert_large_fragments: ACTIVE
alert_incomplete: ACTIVE
alert_multiple_requests: ACTIVE
snort startup succeeded
telnet_decode arguments:
Ports to decode telnet on: 21 23 25 119
FATAL ERROR: unknown preprocessor "asn1_decode"
device ppp0 left promiscuous mode

Je n'ai à priori aucun fichier dans /var/lock, et là je ne comprends plus, si qqu'un était assez généreux pour me louer ses neurones 2 minutes ? Merci !
Avatar de l’utilisateur
Gandalf
Amiral
Amiral
 
Messages: 1980
Inscrit le: 22 Août 2002 00:00
Localisation: Strasbourg

Messagepar Jacques- » 24 Fév 2005 09:06

Tu n'aurais pas le fichier de verrou dans ce répertoire par exemple :
Writing PID "21400" to file "/var/run//snort_ppp0.pid"

Regarde le script servant à lancer et arrêter snort dans /etc/rc.d/init
Tu devrais trouver ce qui est vérifié et provoque l'émission du message (les messages en français sont en anglais dans le script et traduits par gettext).

Ensuite, s'il ne démarre pas une fois le verrou enlevé, ce sera un peu plus compliqué à régler.
Vérifie aussi s'il n'y a pas de mise à jour de snort en attente, ou s'il n'a pas été remplacé récemment (on trouve les traces des changements RPMS dans messages, ou dans les archives messages.1.gz, etc... (via une commande zcat messages.1.gz | grep snort par exemple).

Jacques
Avatar de l’utilisateur
Jacques-
Vice-Amiral
Vice-Amiral
 
Messages: 952
Inscrit le: 23 Jan 2003 01:00

Messagepar Gandalf » 24 Fév 2005 09:07

J'ai dans /etc/snort/snort.conf un préprocess qui s'appelle asn1_decode, je l'ai mis en commentaire et snort refonctionne à nouveau correctement ( stop / start /status= en cours de focntionnement ).

Quelqu'un sait-il ce qu'est ce asn1_decode et pourquoi il fait planter snort ?
Avatar de l’utilisateur
Gandalf
Amiral
Amiral
 
Messages: 1980
Inscrit le: 22 Août 2002 00:00
Localisation: Strasbourg

Messagepar Gandalf » 24 Fév 2005 09:08

Oupps Jacques j'ai posté en même temps que toi, je n'avais pas vu ton post, je vais regarder ce que tu me conseilles, merci !
Avatar de l’utilisateur
Gandalf
Amiral
Amiral
 
Messages: 1980
Inscrit le: 22 Août 2002 00:00
Localisation: Strasbourg

Messagepar Jacques- » 24 Fév 2005 09:10

De tête : ASN = Abstract Syntax Notation
C'est une façon de décrire des objets en mode texte, avec le comportement de ceux-ci, les paramètres possibles, etc...
C'est surtout utilisé pour les MIB, donc je pense que snort s'en sert pour décoder le SNMP.

A vérifier sur le site de snort, et en même temps rechercher le module adapté à la version en cours sur la MNF.

Jacques
Avatar de l’utilisateur
Jacques-
Vice-Amiral
Vice-Amiral
 
Messages: 952
Inscrit le: 23 Jan 2003 01:00

Messagepar Gandalf » 24 Fév 2005 10:22

J'ai trouvé des infos qui donnent drôlement envie de faire plus ample connaissance avec ce protocole asn1 :
"ASN1_decode is an experimental beta preprocessor that may generate more false positives than other preprocessors. It has no configuration options at this time."

:shock: :shock:
Avatar de l’utilisateur
Gandalf
Amiral
Amiral
 
Messages: 1980
Inscrit le: 22 Août 2002 00:00
Localisation: Strasbourg


Retour vers Mandriva MNF & SNF

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité

cron