snort a mysql

Tomas Kouba tomas na jikos.cz
Pátek Červen 23 10:04:00 CEST 2006 

Katerina Bubenickova wrote:
> Dobry den,
> 
> mam slackware 10.1, jako fw, bezi na nem snort.
> Chtela bych  ho logovat do mysql MySQL - 5.0.18, ktere bezi na Suse 10.1
> 
> Predstavovala jsem si, ze to jde, a ze v snort.conf zadam
> output database: log, mysql, user=snort password=mojeheslo dbname=snort 
> host=ip_adresa_kde_bezi_databaze
> 
> Pri spusteni snotru s touto konfiguraci jsem v logu nasla, ze snort neni 
> prelozen s podporou mysql.
> Pri prekladu jsem zjistila, ze musim mit na slackware nainstalovane 
> mysql. Nainstalovala jsem mysql-4.0.23a, ale nespustila
> 
> Po spusteni snort hlasil
> snort: FATAL ERROR: database: mysql_error: Client does not support 
> authentication protocol requested by server; consider
> upgrading MySQL client
> 
> Google poradil, abych spustila prikaz
> 
> set password for 'snort'@'muj_suse' = old_password('mojeheslo');
> 
> To jsem udelala na Suse a tahle chybova hlaska o autentikaci  se uz od 
> te doby neobjevila, ale pri spusteni snort hlasi v logu, ze nebezi 
> databaze, nebo ze neni
> spravne nakonfigurovana (nejsou v zavedeny tabulky pro snort). Na Suse 
> je vsechno v poradku, databaze na slackware, kde je snort, opravdu nebezi.
> Navic na slackware mysql neumim spustit, v logu zadne hlasky nejsou. 
> Zadala jsem installpkg, potom mysql_create_db, spustim
> server a nic, mysql.sock se nevytvori. Da se snad nekde zvysit uroven 
> logovani?
> 
> Nevim ani, jestli je nutne, aby na slackware  bezel mysql. Nepodarilo se 
> mi tam kvuli zavislostem nainstalovat rpm ze Suse
> ani mysql 5.0.22 stazene z internetu.

Zda se mi to nejake zamotane :)

Imho potrebujete:
1) Na slacku prelozit snort s podporou mysql, k tomu si budete muset 
nainstalovat devel baliky k mysql. Bezet mysql server snad neni potreba.
2) Na suse bezet mysql server a mit povoleny pristup na mysql (port na 
firewallu + nechat mysql poslouchat na venkovnim interfacu).

Pokud tohle mate, tak by vam snort snad mel komunikovat (nebo se aspon 
pokusit a pripadny neuspech logovat) s mysql na suse pres sit (port tusim 
defaultne 3306). Ta poznamka o mysql.sock se mi zda matouci.

Ktery z kroku Vam zhavaruje?

-- 
Tomas Kouba

Další informace o konferenci Linux