Erreur lors de la configuration de snort sous Mandriva2007

[Grung]

Bonjour,
j'ai un petit problème lors de la configuration de snort avec MySQL
voici ma démarche depuis le début:

installation de libpcap >> Ok

j'ai fait un urpmi de MySQL-server qui m'ainstallé mysql-client, mysql-server , mysql-common..et d'autres qui étaient nécessaires pour lui

puis j'ai installé mysql-devel

et j'ai décompressé la toute dernière version de snort et je le configure mais une erreur apparaît à la fin. (voir commande et résultat cu dessous)
Avez vous une idée pour résoudre ce problème? Car moi je ne trouve vraiment pas
Merci d'avance
Bonne journée
./configure --with-mysql=/usr/lib/mysql/
checking for a BSD-compatible install... /usr/bin/install -c
checking whether build environment is sane... yes
checking for gawk... gawk
checking whether make sets $(MAKE)... yes
checking whether to enable maintainer-specific portions of Makefiles... no
checking for style of include used by make... GNU
checking for gcc... gcc
checking for C compiler default output file name... a.out
checking whether the C compiler works... yes
checking whether we are cross compiling... no
checking for suffix of executables...
checking for suffix of object files... o
checking whether we are using the GNU C compiler... yes
checking whether gcc accepts -g... yes
checking for gcc option to accept ANSI C... none needed
checking dependency style of gcc... gcc3
checking for ranlib... ranlib
checking for gcc... (cached) gcc
checking whether we are using the GNU C compiler... (cached) yes
checking whether gcc accepts -g... (cached) yes
checking for gcc option to accept ANSI C... (cached) none needed
checking dependency style of gcc... (cached) gcc3
checking build system type... i686-pc-linux-gnu
checking host system type... i686-pc-linux-gnu
checking for a sed that does not truncate output... /bin/sed
checking for egrep... grep -E
checking for ld used by gcc... /usr/bin/ld
checking if the linker (/usr/bin/ld) is GNU ld... yes
checking for /usr/bin/ld option to reload object files... -r
checking for BSD-compatible nm... /usr/bin/nm -B
checking whether ln -s works... yes
checking how to recognise dependent libraries... pass_all
checking how to run the C preprocessor... gcc -E
checking for ANSI C header files... yes
checking for sys/types.h... yes
checking for sys/stat.h... yes
checking for stdlib.h... yes
checking for string.h... yes
checking for memory.h... yes
checking for strings.h... yes
checking for inttypes.h... yes
checking for stdint.h... yes
checking for unistd.h... yes
checking dlfcn.h usability... yes
checking dlfcn.h presence... yes
checking for dlfcn.h... yes
checking for g++... g++
checking whether we are using the GNU C++ compiler... yes
checking whether g++ accepts -g... yes
checking dependency style of g++... gcc3
checking how to run the C++ preprocessor... g++ -E
checking for g77... no
checking for f77... no
checking for xlf... no
checking for frt... no
checking for pgf77... no
checking for fort77... no
checking for fl32... no
checking for af77... no
checking for f90... no
checking for xlf90... no
checking for pgf90... no
checking for epcf90... no
checking for f95... no
checking for fort... no
checking for xlf95... no
checking for ifc... no
checking for efc... no
checking for pgf95... no
checking for lf95... no
checking for gfortran... no
checking whether we are using the GNU Fortran 77 compiler... no
checking whether accepts -g... no
checking the maximum length of command line arguments... 32768
checking command to parse /usr/bin/nm -B output from gcc object... ok
checking for objdir... .libs
checking for ar... ar
checking for ranlib... (cached) ranlib
checking for strip... strip
checking if gcc supports -fno-rtti -fno-exceptions... no
checking for gcc option to produce PIC... -fPIC
checking if gcc PIC flag -fPIC works... yes
checking if gcc static flag -static works... no
checking if gcc supports -c -o file.o... yes
checking whether the gcc linker (/usr/bin/ld) supports shared libraries... yes
checking whether -lc should be explicitly linked in... no
checking dynamic linker characteristics... GNU/Linux ld.so
checking how to hardcode library paths into programs... immediate
checking whether stripping libraries is possible... yes
checking if libtool supports shared libraries... yes
checking whether to build shared libraries... yes
checking whether to build static libraries... yes
configure: creating libtool
appending configuration tag "CXX" to libtool
checking for ld used by g++... /usr/bin/ld
checking if the linker (/usr/bin/ld) is GNU ld... yes
checking whether the g++ linker (/usr/bin/ld) supports shared libraries... yes
checking for g++ option to produce PIC... -fPIC
checking if g++ PIC flag -fPIC works... yes
checking if g++ static flag -static works... no
checking if g++ supports -c -o file.o... yes
checking whether the g++ linker (/usr/bin/ld) supports shared libraries... yes
checking dynamic linker characteristics... GNU/Linux ld.so
checking how to hardcode library paths into programs... immediate
appending configuration tag "F77" to libtool
checking whether byte ordering is bigendian... no
checking for sparc alignment... no
checking for strings.h... (cached) yes
checking for string.h... (cached) yes
checking for stdlib.h... (cached) yes
checking for unistd.h... (cached) yes
checking sys/sockio.h usability... no
checking sys/sockio.h presence... no
checking for sys/sockio.h... no
checking paths.h usability... yes
checking paths.h presence... yes
checking for paths.h... yes
checking for inet_ntoa in -lnsl... yes
checking for socket in -lsocket... no
checking whether printf must be declared... no
checking whether fprintf must be declared... no
checking whether syslog must be declared... no
checking whether puts must be declared... no
checking whether fputs must be declared... no
checking whether fputc must be declared... no
checking whether fopen must be declared... no
checking whether fclose must be declared... no
checking whether fwrite must be declared... no
checking whether fflush must be declared... no
checking whether getopt must be declared... no
checking whether bzero must be declared... no
checking whether bcopy must be declared... no
checking whether memset must be declared... no
checking whether strtol must be declared... no
checking whether strcasecmp must be declared... no
checking whether strncasecmp must be declared... no
checking whether strerror must be declared... no
checking whether perror must be declared... no
checking whether socket must be declared... no
checking whether sendto must be declared... no
checking whether vsnprintf must be declared... no
checking whether snprintf must be declared... no
checking whether strtoul must be declared... no
checking for snprintf... yes
checking for strlcpy... no
checking for strlcat... no
checking for strerror... yes
checking for __FUNCTION__... yes
checking for floor in -lm... yes
checking for pcap_datalink in -lpcap... yes
checking pcre.h usability... yes
checking pcre.h presence... yes
checking for pcre.h... yes
checking for pcre_compile in -lpcre... yes
checking for mysql...

**********************************************
ERROR: unable to find mysql headers (mysql.h)
checked in the following places
/usr/lib/mysql//include
/usr/lib/mysql//include/mysql
**********************************************

[S0l0]

ERROR: unable to find mysql headers (mysql.h)
checked in the following places
/usr/lib/mysql//include
/usr/lib/mysql//include/mysql

est-tu sure que tes headers mysql sont situer dans ses repertoire /usr/lib/mysql ????? si c'est pas le cas modifie le makefile et la commande urpmi et up2date tu connait...

[Grung]

Bonjour,
j'ai résolu mon problème,
MySQL était mal installé, j'ai donc téléchargé LE gros fichier Mysql v5
http://mysql.oss.eznetsols.org/Downloads/MySQL-5.0/
puis je l'ai installé et depuis ça va mieux

merci à toi d'avoir répondu à mon post tordu

mais un autre problème est apparu, j'ai suivi ce tutorial "installguide" téléchargeable sur:
http://sourceforge.net/project/showfile ... _id=103348

et tout va bien jusqu'à ce que la page 15 , j'ai bien l'écran signalant du trafic mais je n'ai aucun trafic de visible,
pourtant quand je lance snort -vde par exemple ça fuse...
donc je ne comprend pas
avez vous une idée sur sujet.???
merci d'avance
tchao, bonne journée

[Geceo]

Merci d'ajouter [résolu] en éditant ton premier message...

[Grung]

mais j'ai un autre problème...j'ai édité le post juste au dessus
désolé

[S0l0]

et tout va bien jusqu'à ce que la page 15 , j'ai bien l'écran signalant du trafic mais je n'ai aucun trafic de visible,

qu'entend tu par la ( desoler pas envie de lire ton manuel ) tu voudrais que snort affiche le traffic dans une console en tournant comme deamon ou rien ne s'affiche quand tu le lance a la ligne de commande.

[Grung]

Tout d'abord merci de me répondre

en fait j'ai modifié le fichier /etc/rc.local
j'ai ajouté la ligne suivante:
/usr/local/bin/snort -c /etc/snort/snort.conf -i eth0 -g snort -D
comme ça snort s'éxécute dès le démarrage de la machine en petit démon.
pourtant je ne le vois pas dans les processus (ps -aux), donc j'ai tapé cette commande directement dans une console et je le vois toujours pas dans les processus..bref

Mon objectif est que snort envoie ces infos (event, alert...) à une base de données Mysql et que celle-ci envoie ces résultats à l'interface BASE accessible par localhost/base

J'arrive à avoir avoir la page de BASE mais les "jauges" de trafic sont nulles, pourtant j'ai bien renseigné le fichier de configuration de BASE.

Peut être encore un problème avec mysql ? Pourtant on dirait que ça marche de ce côté

merci de votre aide

Bonne journée

[Grung]

Oui apparemment mysql
quand je consulte le syslog, j'ai ceci

Apr 19 14:58:29 localhost snort[4761]: FATAL ERROR: database: mysql_error: Can't connect to local MySQL server through socket '/usr/local/mysql/tmp/mysql.socket' (2)
Apr 19 14:58:29 localhost kernel: device eth0 left promiscuous mode

or le fichier mysql.socket n'est pas présent

je tiens à vous signaler que l'installation de mysql s'est réalisé comme ceci:
cd /usr/src

tar -vzxf mysql-5.0.27.tar.gz

cd /usr/src/mysql-5.0.27

CFLAGS="-O3" CXX=gcc CXXFLAGS="-O3 -felide-constructors -fno-exceptions -fno-rtti" ./configure --prefix=/usr/local/mysql --enable-assembler --with-mysqld-ldflags=-all-static --prefix=/usr/local/mysql --localstatedir=/usr/local/mysql/data --with-unix-socket-path=/usr/local/mysql/tmp/mysql.socket

make
make install

j'ai pu à ce stade configurer snort et l'installer
mais je ne peux pas l'exécuter avec la commande citée plus haut car apparemment ce fichier .socket manque.

si vous avez une solution ce serait cool car là j'arrête pas de patiner...
merci

[S0l0]

verifie que tu as bien la partie cliente de mysql

Code: Tout sélectionner

root@mabox#urpmi mysql-client

ensuite dans snort.conf verifier la presnece de ligne qui interface snort avec mysql
qui doit ressembler a quelques choses comme

Code: Tout sélectionner

output database:log,mysql,user=user_snort password=snort_pwd dbname=snort host=localhost

bien sure cette ligne est customizer selon tes pass users et nom de la base

pour l'installation tu n'est nulment obliger de la faire dans /usr/src/ dans /tmp ca marche aussi

[Grung]

J'ai bien mysql-client et snort.conf est bien renseigné
et quand je fais

mysqld_safe
Starting mysqld daemon with databases from /var/lib/mysql
STOPPING server from pid file /var/run/mysqld/mysqld.pid
070419 16:57:43 mysqld ended

d'autre part j'ai cherché un fichier mysql.sock (pas socket )
il est dans /tmp/ et dans /var/lib/mysql
et je ne peux rien faire dessus

[Grung]

tu ne sais pas S0L0 ..??ou quelqu'un d'autre même.?

[S0l0]

J'ai bien mysql-client et snort.conf est bien renseigné
et quand je fais

mysqld_safe
Starting mysqld daemon with databases from /var/lib/mysql
STOPPING server from pid file /var/run/mysqld/mysqld.pid
070419 16:57:43 mysqld ended

d'autre part j'ai cherché un fichier mysql.sock (pas socket )
il est dans /tmp/ et dans /var/lib/mysql
et je ne peux rien faire dessus

je tiens à vous signaler que l'installation de mysql s'est réalisé comme ceci:
cd /usr/src

tar -vzxf mysql-5.0.27.tar.gz
cd /usr/src/mysql-5.0.27

CFLAGS="-O3" CXX=gcc CXXFLAGS="-O3 -felide-constructors -fno-exceptions -fno-rtti" ./configure --prefix=/usr/local/mysql --enable-assembler --with-mysqld-ldflags=-all-static --prefix=/usr/local/mysql --localstatedir=/usr/local/mysql/data --with-unix-socket-path=/usr/local/mysql/tmp/mysql.socket

make
make install

Si on ne maitrise pas tout lors de l'install d'un produit , il vaut mieux installer avec les 'trucs' par defaut et customizer par la suite .
Un make && make install aurait suffit apres avoir decompresser la tarball

[Grung]

Bonjour,
désolé pour le retard, mais j'ai cherché beaucoup et j'ai fini par tout réinstaller et cela marche maintenant

mais j'ai deux petits problèmes qui sont arrivé:

le premier est qu'on dirait que snort envoie des pings sur l'adresse réseau, puis à des adresses au hasard toujours du réseau. J'ai véirifié cela avec un sniffer, en effet quand snort n'est pas lancé, aucun ping venant de ma machine

comment expliquez vous ceci..??

le second est que la quantité d'informations du réseau est trop importantes pour snort, j'ai donc eu l'idée d'installer barnyard, seulement une erreur apparaît:
unknown output plugin "log_acid_db"

pourtant j'ai bien suivi le tutorial ici:
http://www.snort.org/docs/setup_guides/ ... -howto.pdf

voila là jvé essayer de réinstaller barnyard mais pour l'envoi de ping, je ne sais vraiment pas...

merci d'avance
bonne fin d'après midi

[Grung]

personne ne sait.?? même pas S0L0 ?

[S0l0]

personne ne sait.?? même pas S0L0 ?

lol bien que disposant un grand nombre de bouquin sur le sujet , non je ne suis pas un pro de snort...

Pour ce qui est de la grande quantite d'informations qu'il log , cela est due a la configuration de ton snort , par defaut il log tout et n'importe quoi ping , broadcast etc.... faut prendre le temps de [re]configurer snort , et pour les pings c'est peut-etre oinkmaster qui connait pas ou chercher les mises a jour ... ca arrive plus souvent qu'on le croit.