snort auf vserver?

  • Hallo,


    ich wollte heute mal snort (und später dann mal snortsam) installieren, um ein wenig den Überblick über Angriffe auf meinen Server zu bekommen (für den Schutz von ssh hab ich denyhosts am laufen). Leider stirbt mir der daemon mit folgender Meldung:

    Code
    1. FATAL ERROR: OpenPcap() device eth0 open: eth0: You don't have permission to capture on that device (socket: Operation not permitted)


    Ich dachte zunächst, dass das Problem am promiscuous mode liegt (bei geteilter Hardware gut verständlich, dass das unterbunden wird), aber auch bei Benutzung der -p Option von Snort, die den promiscuous mode abschaltet, erhalte ich diese Fehlemeldung.
    Bei meinem alten vServer (!) Anbieter hat snort noch wunderbar funktioniert und mich täglich per Mail über das "aktuelle Geschehen" informiert - wie bekomme ich snort bei netcup zum Laufen?


    Grüße,
    Alex

  • Bei meinem alten vServer (!) Anbieter hat snort noch wunderbar funktioniert und mich täglich per Mail über das "aktuelle Geschehen" informiert - wie bekomme ich snort bei netcup zum Laufen?


    Der hat vermutlich auch nicht Linux-VServer zur Virtualisierung genutzt, da hast du auf solche Sachen keinen Zugriff ;)



    MfG Christian

  • Moin!


    Mit anderen Worten "geht nicht"?

    da hast du auf solche Sachen keinen Zugriff ;)

    Was sind denn "solche Sachen"? Wie gesagt, ich wollte ja noch nicht mal den promiscuous mode benutzen. Snort soll nur den Verkehr überwachen, der zu und von meinem vServer strömt, also dort hin/her, wo "meine" Prozesse eh Sockets offen haben.


    Gibt's gute Alternativen? Für ssh hab ich wie schon gesagt denyhosts, aber gibt's noch was Schönes für (bzw. gegen) Angriffe auf den apache? sendmail/postfix? imap? (alles andere sollte bei mir dicht sein)


    Viele Grüße,
    Alex

  • "Solche Sachen" ist unter anderem alles, was mit Direktzugriff aufs net interface zu tun hat. Daher kannst du weder sowas wie snort oder tcpdump/wireshark nutzen, noch iptables (nur über VCP) oder routing angelegenheiten.
    Weitere Einschränkungen gibts z.b. beim Setzen von Prozessprioritäten oder Zugriff auf die systemclock.


    Ich verwende ossec, ein sehr flexibel konfigurierbares IDS, das vorwiegend Logs analysiert und auf Probleme/Angriffe auch aktiv reagieren kann (und denyhosts gut ersetzen kann).