[HaBo]

Tim. · 25.03.11, 20:11

Hallo,

ich habe Probleme bei der Installation von Snort auf Ubuntu 10.04 auf einem vServer. Ich möchte das ganze mit apt-get installieren, und ich komme auch in die verschiedenen Installationsmasken. Als Interface habe ich "venet0" und "venet0:0" zur Auswahl, und habe mich für "venet0:0" entschieden, da das andere auf der inet addr: 127.0.0.1 läuft, und damit nach meinem Verständnis nicht infrage kommt.
Als IP habe ich die inet addr von "venet0:0" angegeben, CIDR ist /32.

Ausgabe des Fehlercodes nach diesen Angaben:

Code:

eth0: error fetching interface information: Device not found
* Stopping Network Intrusion Detection System  snort                            
* No running snort instance found
* Starting Network Intrusion Detection System  snort                    [fail]
invoke-rc.d: initscript snort, action "start" failed.

Danach bricht das post-installation script mit einem Fehler ab.

Ich frage mich aber, wieso Snort versucht auf eth0 zu arbeiten, ich habe doch ausdrücklich ein anderes Interface angegeben?

Ein bekannter von mir, der mich überhaupt auf den Trichter mit Snort gebracht hat, hat die Einstellungen wie oben beschrieben auf einem Ubuntu 10.04 durchgeführt, wenn auch auf einem dedicated Server, und bei ihm läuft alles reibungslos. Auf meinem Server habe ich zwar zzt. keine Kunden liegen, und ich teile ihn mir mit einem Kollegen nur für Webentwicklung und ein bisschen Subversion, demnach möchte ich Snort installieren, um es mal gemacht und gesehen zu haben, aber noch vor der Installation aufgeben wollte ich dann doch nicht

Wo seht ihr den Fehler? Habe ich etwas grundlegendes falsch verstanden oder übersehe ich einfach etwas? Muss ich wegen dem vServer irgend etwas anders machen?

**xeno** · 25.03.11, 20:49

Poste doch mal bitte den Inhalt der folgenden Datei:
/etc/network/interfaces

Und die Ausgabe von:

Code:

sudo ifconfig

Anzeige

- Anzeige -

Tim. · 25.03.11, 21:01

Okay, einmal die ifconfig Ausgabe:

Code:

lo        Link encap:Local Loopback
          inet addr:127.0.0.1  Mask:255.0.0.0
          inet6 addr: ::1/128 Scope:Host
          UP LOOPBACK RUNNING  MTU:16436  Metric:1
          RX packets:446 errors:0 dropped:0 overruns:0 frame:0
          TX packets:446 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:71953 (71.9 KB)  TX bytes:71953 (71.9 KB)

venet0    Link encap:UNSPEC  HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00
          inet addr:127.0.0.1  P-t-P:127.0.0.1  Bcast:0.0.0.0  Mask:255.255.255.255
          UP BROADCAST POINTOPOINT RUNNING NOARP  MTU:1500  Metric:1
          RX packets:4039 errors:0 dropped:0 overruns:0 frame:0
          TX packets:3423 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:2708715 (2.7 MB)  TX bytes:819826 (819.8 KB)

venet0:0  Link encap:UNSPEC  HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00
          inet addr:87.106.91.xxx  P-t-P:87.106.91.xxx  Bcast:0.0.0.0  Mask:255.255.255.255
          UP BROADCAST POINTOPOINT RUNNING NOARP  MTU:1500  Metric:1

Und die interfaces:

Code:

auto lo
iface lo inet loopback
	address 127.0.0.1
	netmask 255.0.0.0
	broadcast 127.255.255.255
	up ip route replace 127.0.0.0/8 dev lo


# Auto generated venet0 interfaces
auto venet0
iface venet0 inet static
	address 127.0.0.1
	netmask 255.255.255.255
	broadcast 0.0.0.0
	up route add -net 191.255.255.1 netmask 255.255.255.255 dev venet0
	up route add default gw 191.255.255.1

auto venet0:0
iface venet0:0 inet static
	address 87.106.91.xxx
	netmask 255.255.255.255

**xeno** · 25.03.11, 21:08

Ich kann da grad nur ins Blaue raten. Um Snort mit einem anderen Interface als eth0 zu nutzen, brauchst du den Switch -i $nic. Bei Debian-Basierten Distributionen lässt sich so etwas meistens in /etc/default/$paketname einstellen. Existiert bei dir eine Datei /etc/default/snort (oder ähnlich), in welcher weitere Argumente angegeben werden könnten?

Tim. · 25.03.11, 21:18

Klar, das ist leider aus der ferne schwer zu beurteilen

Das Interface nachträglich zu ändern, bzw mit dem -i Switch zu starten hatte ich auch schon überlegt. Ich habe aber lediglich eine snort.debian.conf, die Einstellungen hier drin sehen gut aus. Normalerweise sollte dort aber mehr config files liegen, durch den Abbruch des post-installation scripts ist wahrscheinlich die Installation unvollständig?

Auf jeden Fall schon mal danke für deine Mühe!

Edit: Die Ausgabe "/usr/sbin/dpkg-reconfigure: snort is broken or not fully installed" spricht sehr dafür.

**xeno** · 25.03.11, 21:30

In dem Fall:

Code:

sudo apt-get --purge remove snort
sudo apt-get install snort

Sollte tun...

Tim. · 25.03.11, 21:34

Eine Neuinstallation läuft exakt auf den selben Fehler wie im Anfangsposting.

**xeno** · 25.03.11, 21:50

Das postinst-Script kannst du ganz gemütlich umgehen, indem du das richtige in /var/lib/dpkg/info/ suchst und „exit 0“ an den Anfang schreibst (nach dem Shebang natürlich...).

Tim. · 25.03.11, 22:16

Damit hab ich bisher nicht gearbeitet, aber gut sowas zu wissen.

Was da wohl infrage kommt aus diesen Einträgen:

Code:

snort-common-libraries.list      snort-common.postinst
snort-common-libraries.md5sums   snort-common.postrm
snort-common-libraries.postinst  snort-common.templates
snort-common-libraries.postrm    snort-rules-default.conffiles
snort-common-libraries.shlibs    snort-rules-default.list
snort-common.conffiles           snort-rules-default.md5sums
snort-common.config              snort-rules-default.postrm
snort-common.list                snort-rules-default.preinst
snort-common.md5sums

müsste die snort-common.postinst sein? Habe jetzt hier und bei der snort-common-libraries.postinst das exit 0 eingetragen, Ausgabe bei Installation

Code:

invoke-rc.d: initscript snort, action "start" failed.
dpkg: error processing snort (--configure):
 subprocess installed post-installation script returned error exit status 1
Errors were encountered while processing:
 snort
E: Sub-process /usr/bin/dpkg returned an error code (1)

Kann mir aber gut vorstellen, dass ich jetzt gerade was falsch verstanden habe.

**xeno** · 25.03.11, 22:28

snort-common.postinst gibts noch, eventuell ist das das Script, das da den Fehler fabriziert.

Nachtrag: schau dir das Script auf jeden Fall mal an. Da sollte ein Abschnitt sein, der ausgeführt wird, wenn --configure aufgerufen wird (was bei dir der Fall ist). Eventuell siehst du da, warum das Script failed... oder ob da irgendwie hardcoded eth0 drin steht... oder was auch immer

Tim. · 25.03.11, 22:45

Es beginnt mit

Code:

if [ -x /etc/init.d/snort ] ; then

wofür steht das -x?

Aber wie weiter oben schon gesagt, dieses Script und das snort-common-libraries.postinst sind beide mit exit 0 "kastriert", dann dürften die beiden doch garnicht mehr mit reinspielen?

**xeno** · 25.03.11, 22:47

-x bedeutet „ausführbar“. Also wenn /etc/init.d/snort ausführbar ist, dann...

Aber an dieser Stelle wüsste ich jetzt auch nicht weiter. Scheint was doof zu sein auf nem V-Server, der kein eth0 hat. Eventuell mal im Ubuntu-Forum fragen?

Tim. · 25.03.11, 22:52

Wird wohl besser sein. Snort hat allem Anschein nach auch ein Forum, auch wenn das zzt. auf einen 404 läuft. Das Macht Mut

Auf jeden Fall noch mal vielen Dank, sollte ich es hinbekommen werde ich mich hier melden.

GrafZahl · 26.03.11, 01:30

mhh ... ich frage mich ob das hier funktionieren könnte ...

ip link set venet0:0 name eth0

problematisch könnte das natürlich werden wenn andere "dinge" auf dem system damit rechnen dass das interface venet0:0 heißt ...

Tim. · 26.03.11, 07:16

Mmh, das System zu ändern um es einer Software recht zu machen, finde ich ehrlich gesagt nicht so prall. Das muss ja auch irgendwie anders hinzubekommen sein, ist ja nicht so, dass niemand Snort auf VMs oder mit anderen Interfaces benutzt.

Anzeige

- Anzeige -

25.03.11, 20:11	#1 (permalink)
Tim. Registriert seit: 04.01.09 Likes: 0	Probleme bei der Snort Installation Anzeige Hallo, ich habe Probleme bei der Installation von Snort auf Ubuntu 10.04 auf einem vServer. Ich möchte das ganze mit apt-get installieren, und ich komme auch in die verschiedenen Installationsmasken. Als Interface habe ich "venet0" und "venet0:0" zur Auswahl, und habe mich für "venet0:0" entschieden, da das andere auf der inet addr: 127.0.0.1 läuft, und damit nach meinem Verständnis nicht infrage kommt. Als IP habe ich die inet addr von "venet0:0" angegeben, CIDR ist /32. Ausgabe des Fehlercodes nach diesen Angaben: Code: eth0: error fetching interface information: Device not found * Stopping Network Intrusion Detection System snort * No running snort instance found * Starting Network Intrusion Detection System snort [fail] invoke-rc.d: initscript snort, action "start" failed. Danach bricht das post-installation script mit einem Fehler ab. Ich frage mich aber, wieso Snort versucht auf eth0 zu arbeiten, ich habe doch ausdrücklich ein anderes Interface angegeben? Ein bekannter von mir, der mich überhaupt auf den Trichter mit Snort gebracht hat, hat die Einstellungen wie oben beschrieben auf einem Ubuntu 10.04 durchgeführt, wenn auch auf einem dedicated Server, und bei ihm läuft alles reibungslos. Auf meinem Server habe ich zwar zzt. keine Kunden liegen, und ich teile ihn mir mit einem Kollegen nur für Webentwicklung und ein bisschen Subversion, demnach möchte ich Snort installieren, um es mal gemacht und gesehen zu haben, aber noch vor der Installation aufgeben wollte ich dann doch nicht Wo seht ihr den Fehler? Habe ich etwas grundlegendes falsch verstanden oder übersehe ich einfach etwas? Muss ich wegen dem vServer irgend etwas anders machen?

25.03.11, 20:49	#2 (permalink)
xeno Moderator Registriert seit: 09.09.04 Likes: 76	Poste doch mal bitte den Inhalt der folgenden Datei: /etc/network/interfaces Und die Ausgabe von: Code: sudo ifconfig __________________ http://www.thehappy.de/~xeno/ http://www.blogthon.de/

25.03.11, 21:08	#4 (permalink)
xeno Moderator Registriert seit: 09.09.04 Likes: 76	Ich kann da grad nur ins Blaue raten. Um Snort mit einem anderen Interface als eth0 zu nutzen, brauchst du den Switch -i $nic. Bei Debian-Basierten Distributionen lässt sich so etwas meistens in /etc/default/$paketname einstellen. Existiert bei dir eine Datei /etc/default/snort (oder ähnlich), in welcher weitere Argumente angegeben werden könnten? __________________ http://www.thehappy.de/~xeno/ http://www.blogthon.de/

25.03.11, 21:18	#5 (permalink)
Tim. Themenstarter Registriert seit: 04.01.09 Likes: 0	Klar, das ist leider aus der ferne schwer zu beurteilen Das Interface nachträglich zu ändern, bzw mit dem -i Switch zu starten hatte ich auch schon überlegt. Ich habe aber lediglich eine snort.debian.conf, die Einstellungen hier drin sehen gut aus. Normalerweise sollte dort aber mehr config files liegen, durch den Abbruch des post-installation scripts ist wahrscheinlich die Installation unvollständig? Auf jeden Fall schon mal danke für deine Mühe! Edit: Die Ausgabe "/usr/sbin/dpkg-reconfigure: snort is broken or not fully installed" spricht sehr dafür. Geändert von Tim. (25.03.11 um 21:18 Uhr) Grund: typo

25.03.11, 21:30	#6 (permalink)
xeno Moderator Registriert seit: 09.09.04 Likes: 76	In dem Fall: Code: sudo apt-get --purge remove snort sudo apt-get install snort Sollte tun... __________________ http://www.thehappy.de/~xeno/ http://www.blogthon.de/

25.03.11, 21:34	#7 (permalink)
Tim. Themenstarter Registriert seit: 04.01.09 Likes: 0	Eine Neuinstallation läuft exakt auf den selben Fehler wie im Anfangsposting.

25.03.11, 21:50	#8 (permalink)
xeno Moderator Registriert seit: 09.09.04 Likes: 76	Das postinst-Script kannst du ganz gemütlich umgehen, indem du das richtige in /var/lib/dpkg/info/ suchst und „exit 0“ an den Anfang schreibst (nach dem Shebang natürlich...). __________________ http://www.thehappy.de/~xeno/ http://www.blogthon.de/

25.03.11, 22:28	#10 (permalink)
xeno Moderator Registriert seit: 09.09.04 Likes: 76	snort-common.postinst gibts noch, eventuell ist das das Script, das da den Fehler fabriziert. Nachtrag: schau dir das Script auf jeden Fall mal an. Da sollte ein Abschnitt sein, der ausgeführt wird, wenn --configure aufgerufen wird (was bei dir der Fall ist). Eventuell siehst du da, warum das Script failed... oder ob da irgendwie hardcoded eth0 drin steht... oder was auch immer __________________ http://www.thehappy.de/~xeno/ http://www.blogthon.de/

25.03.11, 22:45	#11 (permalink)
Tim. Themenstarter Registriert seit: 04.01.09 Likes: 0	Es beginnt mit Code: if [ -x /etc/init.d/snort ] ; then wofür steht das -x? Aber wie weiter oben schon gesagt, dieses Script und das snort-common-libraries.postinst sind beide mit exit 0 "kastriert", dann dürften die beiden doch garnicht mehr mit reinspielen?

25.03.11, 22:47	#12 (permalink)
xeno Moderator Registriert seit: 09.09.04 Likes: 76	-x bedeutet „ausführbar“. Also wenn /etc/init.d/snort ausführbar ist, dann... Aber an dieser Stelle wüsste ich jetzt auch nicht weiter. Scheint was doof zu sein auf nem V-Server, der kein eth0 hat. Eventuell mal im Ubuntu-Forum fragen? __________________ http://www.thehappy.de/~xeno/ http://www.blogthon.de/

25.03.11, 22:52	#13 (permalink)
Tim. Themenstarter Registriert seit: 04.01.09 Likes: 0	Wird wohl besser sein. Snort hat allem Anschein nach auch ein Forum, auch wenn das zzt. auf einen 404 läuft. Das Macht Mut Auf jeden Fall noch mal vielen Dank, sollte ich es hinbekommen werde ich mich hier melden.

26.03.11, 01:30	#14 (permalink)
GrafZahl Member of Honour Registriert seit: 28.05.10 Likes: 210	mhh ... ich frage mich ob das hier funktionieren könnte ... ip link set venet0:0 name eth0 problematisch könnte das natürlich werden wenn andere "dinge" auf dem system damit rechnen dass das interface venet0:0 heißt ... __________________ Code: :(){ :\|:& };: Veritas Aequitas

26.03.11, 07:16	#15 (permalink)
Tim. Themenstarter Registriert seit: 04.01.09 Likes: 0	Mmh, das System zu ändern um es einer Software recht zu machen, finde ich ehrlich gesagt nicht so prall. Das muss ja auch irgendwie anders hinzubekommen sein, ist ja nicht so, dass niemand Snort auf VMs oder mit anderen Interfaces benutzt.

Themen-Optionen
Druckbare Version zeigen Jemanden per E-Mail auf dieses Thema hinweisen
Ansicht
Linear-Darstellung Zur Hybrid-Darstellung wechseln Zur Baum-Darstellung wechseln

[HaBo]

Probleme bei der Snort Installation