Base snort không hiển thị PortScan Traffic & restart banyard2 bị lỗi

lightsea90 — GMT

@Nhóm HKT: - Snort của bạn chạy hoàn toàn bình thường. - Bạn chạy quá nhiều Snort instance. Mỗi instance ứng với một process của Snort ở dưới. Theo như tôi đếm được là 4. Tương tự với barnyard2 bạn cũng chạy đến 2 process. Lưu ý chỉ chạy 1 tiến trình cho mỗi loại Snort và barnyard2 thôi. Code:

snort     4062  0.3  0.9 400764  5016 ?        Ssl  03:48   0:10 /usr/sbin/snort -A fast -b -d -D -i eth0 -u snort -g snort -c /etc/snort/snort.conf -l /var/log/snort
root      5383  0.0  1.1  14588  6108 ?        Ss   04:23   0:00 barnyard2 -c /etc/snort/barnyard2.conf -f merged.log -d /var/log/snort -D
snort     5388  0.9  0.7 400704  3760 pts/0    Tl   04:23   0:10 snort -c /etc/snort/snort.conf -i eth0 -u snort -g snort
snort     5475  1.1  0.7 400480  3592 pts/0    Tl   04:25   0:10 snort -u snort -g snort -d -c /etc/snort/snort.conf
root      5545  0.0  2.0  28604 10576 pts/0    T    04:28   0:00 snort -dev -l /var/log/snort/
snort     5633  1.7 28.5 400764 145928 pts/0   Tl   04:31   0:10 snort -u snort -g snort -d -c /etc/snort/snort.conf
root      5657  2.3  1.2  14568  6560 pts/0    T    04:32   0:11 barnyard2 -c /etc/snort/barnyard2.conf -d /var/log/snort/ -f snort.log -w /var/log/snort/barnyard2.waldo
root      5748  3.3  1.2  14568  6576 pts/0    T    04:35   0:11 barnyard2 -c /etc/snort/barnyard2.conf -f merged.log -d /var/log/snort
root      5868  2.0  0.1   4356   724 pts/0    D+   04:40   0:00 grep -i snort

- Vấn đề portscan: để detect được tấn công portscan, bạn cần kích hoạt preprocessor sfportscan của Snort trong file snort.conf, đơn giản là uncomment nó (nếu cần) rồi restart lại Snort. Output của nó có 2 dạng là log dạng text hoặc unified2. Định dạng không giống các alert thông thường của Snort. Chi tiết bạn tìm hiểu ở đây: Code:

http://manual.snort.org/node78.html

@kicktx: libpcre có thể được cài đặt qua yum hoặc apt-get (nếu bạn dùng Linux).

Xin support về EJBCA

lightsea90 — GMT

@stonewall: mình đã từng cài đặt EJBCA cũng nhiều lần rồi, lỗi khi ant install là lỗi phổ biến, mình gặp khá nhiều. Nếu bạn mới tìm hiểu EJBCA thì kinh nghiệm của mình thế này, bạn có thể tham khảo: 1. Dùng OpenJDK chứ không dùng JDK, để khỏi phải lăn tăn cái jce 2. Thử cài trên Ubuntu theo quick start guide trên trang chủ ejbca.org trước xem ok không? Nếu OK rồi thì mình xoá đi cài lại, khi đó config lại các file .properties theo ý mình, nếu mà lỗi thì đảm bảo do mình chỉnh sửa, sẽ dễ tìm lỗi hơn :) 3. EJBCA mình dùng là bản 4.0.3 thì phải, nó sẽ không cài được trên Ubuntu 12.10, nhưng cài trên Ubuntu 12.04 thì ngon :)) 4. Thiếu RAM (khi bạn cài trên máy ảo) --> cái lỗi này làm mình thốn rất nhiều lần :)) Ngoài ra bạn có thể cho biết bạn định cài trên OS nào, CSDL nào không? Nếu mà là RedHat, MySQL thì có thể có thêm kinh nghiệm cho bạn ;) Goodluck,

Messages posted by "lightsea90"

Base snort không hiển thị PortScan Traffic & restart banyard2 bị lỗi

Xin support về EJBCA