IDS com Snort + Guardian + Debian Lenny

Implementação de IDS com bloqueio automático de tentativas de invasão utilizando o Snort + Guardian em Debian Lenny com uma interface web para acompanhamento dos alertas gerados pelo IDS.

[ Hits: 106.204 ]

Por: Douglas Q. dos Santos em 15/03/2010 | Blog: http://wiki.douglasqsantos.com.br


Arquivo de configuração snort.conf



Aqui eu estou dando um exemplo de arquivo de configuração do Snort auto-explicativo com as opções que estão sendo usadas.

Mais informações a respeito das configurações do Snort podem ser obtidas em:
Vamos primeiro fazer um backup do arquivo de configuração original.

# mv /etc/snort/snort.conf /etc/snort/snort.bkp

Agora vamos editar o nosso arquivo.

# vim /etc/snort/snort.conf

#/etc/snort/snort.conf
#Autor:Douglas Q. dos Santos
#Data:10/03/2010
#Arquivo de configuração do Snort

#Uma rede ou uma lista de redes que identificaram a rede interna ou a DMZ que será monitorada
var HOME_NET [192.168.0.0/24,200.200.200.200/29]

#Especifica as redes externas. Será utilizada pela maioria das regras para determinar o atacante
#var EXTERNAL_NET any
var EXTERNAL_NET !$HOME_NET

#Especifica os servidores de DNS
var DNS_SERVERS $HOME_NET

#Especifica os servidores de SMTP servidores de Emails
var SMTP_SERVERS $HOME_NET

#Especifica os servidores WEB
var HTTP_SERVERS $HOME_NET

#Especifica a porta que o servidor WEB trabalha
var HTTP_PORTS 80 3000 3128 8080 9090

#Especifica as portas em que a execução remota de código deve ser monitorada
var SHELLCODE_PORTS !$HTTP_PORTS

#Especifica os servidores SQL
var SQL_SERVERS $HOME_NET

#Especifica os servidores ORACLE
var ORACLE_PORTS 1521

#Especifica os servidores de TELNET
var TELNET_SERVERS $HOME_NET

#Especifica os servidores de SNMP
var SNMP_SERVERS $HOME_NET

#Especifica os servidores AIM da AOL
var AIM_SERVERS [64.12.24.0/23,64.12.28.0/23,64.12.161.0/24,64.12.163.0/24,64.12.200.0/24,205.188.3.0/24,205.188.5.0/24,205.188.7.0/24,205.188.9.0/24,205.188.153.0/24,205.188.179.0/24,205.188.248.0/24]

#Indica o caminho onde estarão as regras utilizadas pelo Snort
var RULE_PATH /etc/snort/rules

#Define que a biblioteca dinâmica de pré-processador deve ser carregada
dynamicpreprocessor directory /usr/lib/snort_dynamicpreprocessor/

#Define que a biblioteca dinâmica de engine de detecção deve ser carregada
dynamicengine /usr/lib/snort_dynamicengine/libsf_engine.so

#Preprocessadores são aplicações que fazem uma pré-analise e filtragem dos pacotes antes de enviar os dados para o conjunto de regras

#Preprocessador de monitoramento de fluxo, detector de portscan
preprocessor flow: stats_interval 0 hash 2

#Preprocessor frag3 desfragmenta pacotes IP antes de envia-los para a analise do conjunto de regras
#O objetivo de desfragmentar os pacotes e impedir que o atacante possa usar técnicas de evasão através da construção de pacotes com múltiplos fragmentos
#para realizar ataques que não possam ser detectados pelo IDS.
#max_frags método de gerenciamento de memória que define o numero máximo de fragmentos que serão rastreados simultaneamente.
preprocessor frag3_global: max_frags 65536

#Policy define a política de fragmentação utilizada pelo sistema operacional
#Os valores podem ser first,last,bsd,bsd-right e Linux
#detect_anomalies:detecta anomalias em fragmentos.
preprocessor frag3_engine: policy first detect_anomalies

#Stream5 efetua a reconstrução e o rastreamento de conexões TCP e UDP, além de monitorar pacotes ICMP.
#permite ao Snort detectar ataques sem estado de conexão (stateless) e também gera alerta sobre conexões forjadas
#max_tcp:define o numero máximo de sessões TCP simultâneas que podem ser rastreadas.
#track_tcp:ativa o rastreamento de sessões TCP
#track_dup:ativa o rastreamento de sessões UDP
#track_icmp:ativa o rastreamento de sessões ICMP
preprocessor stream5_global: max_tcp 8192, track_tcp yes, track_udp yes, track_icmp yes

#policy: define a política utilizada pelo sistema operacional-alvo.
#use_static_footprint_sizes:emula o ambiente do pré-processador stream4 para o processo de remontagem do pacote.
preprocessor stream5_tcp: policy first, use_static_footprint_sizes
preprocessor stream5_udp: timeout 30, ignore_any_rules
preprocessor stream5_icmp: timeout 30


#Preprocesso http_inspect o seu principal objetivo e impedir que técnicas de evasão através do protocolo HTTP surtam efeito
#ira operar tanto em requisições de clientes quanto em resposta de servidores
#iis_unicode_map:informa o arquivo de mapa de códigos do IIS, seguido do tipo de codificação de caracteres 1252 corresponde ao padrão
#detect_anomalous_servers:habilita a detecção de tráfego http
preprocessor http_inspect: global iis_unicode_map unicode.map 1252 detect_anomalous_servers

#Preprocessor http_inspect_server:define o perfil do servidor WEB
#ports:Define em quais portas será realizada a decodificação de dados HTTP
#flow_depth:define a quantidade de dados que devem ser inspecionados em pacotes relacionados a respostas de servidores algo entre 150-300
#directory:opcao que normaliza diretórios com referencias cruzadas
#ascci:permite a decodificação de códigos ASCII
#utf_8:permite a decodificai de códigos UTF8 habilite esta opção se estiver utilizando servidores Apache
#bare_bytes:habilita a interpretação de codificação de Bare byte usado pelo IIS se tiver servidores IIS pode habilitar
#double_decode:faz duas varreduras seguidas em uma URI, realizando o processo de decodificação em ambas. especifica para IIS
#u_encode:emula o esquema %u usado pelo IIS, que tem o %u mais 4 caracteres que representam um caracter ASCII
#multi_slash:normaliza múltiplas barras em uma linha. algo como eu/////////eu será normalizado para eu/eu
#chunk_length:finalidade e detectar uma anomalia utilizada por vários exploits do Apache. também alerta sobre tunelamento via HTTP.
#non_strict:assume que a URI esta entre o primeiro e o segundo espaço em branco. EX:GET /index.html alallala\n como e o caso do apache
#iis_unicode:permite o mapeamento de codepoints Unicode. Esses codepoints são aceitos pelo IIS para decodificação de requisições UTF9
#iis_backslash:converte contra-barras '\' em '/'. também uma emulação para o IIS
#iis_delimiter: trata o delimitador \n o IIS e o Apache suporta
#webroot:alerta quando uma referencia cruzada de diretório tenta transpassar o diretório raiz do servidor HTTP.
#pode detectar um atacante tentando acessar arquivos ou diretórios fora do diretório onde residem as paginas de um site
preprocessor http_inspect_server: server default \
ports { 80 3128 8080 3000 8080 9090 } \
flow_depth 200 \
directory no \
ascii no \
utf_8 no \
bare_byte yes \
double_decode no \
u_encode yes \
multi_slash yes \
chunk_length 500000 \
non_strict \
iis_unicode no \
iis_backslash yes \
iis_delimiter yes \
webroot yes



#Preprocessor rpc_decode: criado para agregar múltiplos registros do protocolo rpc que estejam fragmentados em um único registro.
#Os números determinam as portas do serviço rpc elas tem que estar separadas por espaço
#Alert_fragments:habilita a geração de alertas quando forem encontrados registros RPC fragmentados
preprocessor rpc_decode: 111 32771 alert_fragments

#bo: tenta detectar tráfego de rede gerado pelo exploit back Orifice.
# utilizando por atacantes para realizar a administração remote de equipamentos Windows
preprocessor bo: noalert { general server } drop { snort_attack }


#ftp_telnet:provê a inspeção de conexões FTP e TELNET. ele pode decodificar uma conexão, identificar comandos FTP e sequências
#de escape usadas pelo protocolo TELNET
#encrypted_traffic:habilita a detecção e geração de alertas quando for encontrado tráfego encriptado em canais de comando telnet e ftp.
#inspection_type:indica se o modo de inspeção será stateful(default) ou stateless
#stateful: faz a analise por conexão, assim e capaz de remontar as cadeias TCP desses protocolos
#stateless: faz a analise pacote a pacote, neste caso, não remonta as cadeias.
preprocessor ftp_telnet: global encrypted_traffic yes inspection_type stateful

#configuracoes especificas do protocolo telnet
#normalize:habilita a normalização de tráfego Telnet através da eliminação de sequências de escape.
#ayt_attack_thresh: gera alertas quando o numero informado de comandos de telnet consecutivos do tipo ayt(Are You There) e ultrapassado.
#so se aplica quando o modo de operação for stateful
#detect_anomalies:habilita a detecção de anomalias no protocolo telnet.
preprocessor ftp_telnet_protocol: telnet normalize ayt_attack_thresh 200 detect_anomalies

#preprocessor ftp_telnet_protocol lado servidor:
#ports: define em quais portas deve haver o monitoramento para decodificação de tráfego ftp
#def_max_param_len:define o valor padrão para o tamanho máximo de um comando ftp, usado para detectar overflow
#alt_max_param_len:define o tamanho máximo, em bytes para o comando ftp especificado.
#cmd_validity:especifica o formato valido para parâmetros de determinado comando.
#telnet_cmds: habilita a detecção e geração de alertas quando sequências de escape do protocolo telnet forem localizadas em um canal de comando ftp.
#data_chan:define que outros pre-processadores e regras irão ignorar conexões que contiverem canais de dados ftp.
preprocessor ftp_telnet_protocol: ftp server default ports { 20 21 } def_max_param_len 100 alt_max_param_len 200 { CWD } cmd_validity MODE < char ASBCZ > cmd_validity MDTM < [ date nnnnnnnnnnnnnn[.n[n[n]]] ] string > chk_str_fmt { USER PASS RNFR RNTO SITE MKD } telnet_cmds yes data_chan

#preprocessor ftp_telnet_protocol lado cliente:
#max_resp_len:define o tamanho máximo de uma resposta para um comando de FTP aceito. usado para detectar overflow.
#bounce:faz com que sejam verificados ataques do tipo FTP bounce nos comandos especificados.
#telnet_cmds:habilita a detecção e geração de alertas quando sequências de escape do protocolo telnet forem localizadas em um canal de comandos FTP.
preprocessor ftp_telnet_protocol: ftp client default max_resp_len 256 bounce yes telnet_cmds yes

#preprocessor smtp: decodifica um buffer de dados a procura de comandos e respostas SMTP.
#ele consegue marcar os comandos, o cabeçalho de dados e o corpo da mensagem e, ainda, as sessões TLS. Pode atuar stateful ou stateless
#ports: especifica quais portas serão verificadas a procura de dados smtp.
#inspection_type:informa o modo de operação (stateful ou stateless)
#normalize:habilita a normalização. ira pesquisar comandos que sejam seguidos de mais de um espaço em branco ou uma tabulação.
#(parâmetros de normalize:all:verifica todos os comandos,none:desabilita a normalização para todos os comandos,
#cmds:verifica apenas os comandos listados na opção normalize_cmds)
#max_header_line_len:gera alertas quando uma linha de comando STMP for maior que o valor especificado, o default e 1024 bytes
#normalize_cmds:normaliza os comandos contidos na lista. o default e {RCPT VRFY EXPN}
#alt_max_command_line_len:sobrescreve o valor de max_command_line_len para os comandos especificados
preprocessor smtp: ports { 25 } inspection_type stateful normalize cmds normalize_cmds { EXPN VRFY RCPT } max_header_line_len 1024 alt_max_command_line_len 260 { MAIL } alt_max_command_line_len 300 { RCPT } alt_max_command_line_len 500 { HELP HELO ETRN } alt_max_command_line_len 255 { EXPN VRFY }


#preprocessor sfportscan:detecta varreduras de portas em hosts na rede protegida.
#pode detectar praticamente todos os tipos de varreduras realizados pelo nmap ou outro portscanner.
#proto:define os protocolos que serão monitorados pelo pré-processador. opções validas tcp,udp,igmp,ip_proto e all
#memcap:define a quantidade de memória, em kilobytes, disponível para a operacao deste pré-processor
#sense_level:define o nivel de sensibilidade do pré-processador. os níveis disponíveis são:low,medium,high.
preprocessor sfportscan: proto { all } memcap { 10000000 } sense_level { low }

#preprocessor dcerpc:detecta e decodifica tráfego SMB e DCE/RPC.
#autodetect:ira ignorar a configuração de portas e examinara qualquer pacote a procura de tráfego SMB ou DCE/RCP.
#max_frag_size:define o tamanho máximo, em bytes, de um fragmento para remontado. o default e 3000
#memcap:define a quantidade de memória, em kilobytes, disponível para a operação deste pré-processor
preprocessor dcerpc: autodetect max_frag_size 3000 memcap 100000

#preprocessor ssh: tenta detectar alguns exploits usados em ataques contra o protocolo SSH.
#server_ports:especifica quais portas serão monitoradas por este preprocessador
#max_client_bytes:define a quantidade máxima de bytes aceitos, dentro do limite de pacotes estipulados pela opção max_encrypted_packets
#max_encrypted_packets:especifica o numero de pacotes sem resposta que serão aceitos antes de gerar alertas sobre ataques tipo bobbles ou crc32.
preprocessor ssh: server_ports { 22 3000 } max_client_bytes 19600 max_encrypted_packets 20

#preprocessor dns: detecta respostas de requisições feitas a servidores DNS a procura de exploits.
#ports:esta opção especifica as portas que serão inspecionadas pelo pré-processador.
#enable_rdata_overflow:verifica ataques de sobrecarga no cliente de DNS realizados pelo exploit RData TXT Overflow.
#gera alertas quando forem encontrados registros que se tornaram obsoletos segundo a RFC1035
preprocessor dns: ports { 53 } enable_rdata_overflow enable_obsolete_types

#Gera arquivo de log no formato utilizado pela libpcap que e o mesmo formato utilizado por outras aplicações como tcpdump e wireshark.
output log_tcpdump: tcpdump.log

#Envia os dados do Snort para o banco de dados.
output database: log, mysql,user=snort password=d0ug220903..h0j3 dbname=snort host=localhost


#Contem as informações que serão incluídas para especificar os níveis de risco definidos nas regras.
include classification.config


#define URL's a serem utilizadas com as referencias encontradas nas regras para obtenção de informações mais detalhadas sobre um determinado ataque
include reference.config

#Definição do conjunto de regras incluído com o Snort ira gerar alertas de atividades suspeitas encontradas em pacotes que estiverem
#trafegando entre as redes monitoradas
include $RULE_PATH/local.rules
include $RULE_PATH/bad-traffic.rules
include $RULE_PATH/exploit.rules
include $RULE_PATH/community-exploit.rules
include $RULE_PATH/scan.rules
include $RULE_PATH/finger.rules
include $RULE_PATH/ftp.rules
include $RULE_PATH/telnet.rules
include $RULE_PATH/rpc.rules
include $RULE_PATH/rservices.rules
include $RULE_PATH/dos.rules
include $RULE_PATH/community-dos.rules
include $RULE_PATH/ddos.rules
include $RULE_PATH/dns.rules
include $RULE_PATH/tftp.rules

include $RULE_PATH/web-cgi.rules
include $RULE_PATH/web-coldfusion.rules
include $RULE_PATH/web-iis.rules
include $RULE_PATH/web-frontpage.rules
include $RULE_PATH/web-misc.rules
include $RULE_PATH/web-client.rules
include $RULE_PATH/web-php.rules
include $RULE_PATH/community-sql-injection.rules
include $RULE_PATH/community-web-client.rules
include $RULE_PATH/community-web-dos.rules
include $RULE_PATH/community-web-iis.rules
include $RULE_PATH/community-web-misc.rules
include $RULE_PATH/community-web-php.rules

include $RULE_PATH/sql.rules
include $RULE_PATH/x11.rules
include $RULE_PATH/icmp.rules
include $RULE_PATH/netbios.rules
include $RULE_PATH/misc.rules
include $RULE_PATH/attack-responses.rules
include $RULE_PATH/oracle.rules
include $RULE_PATH/community-oracle.rules
include $RULE_PATH/mysql.rules
include $RULE_PATH/snmp.rules
include $RULE_PATH/community-ftp.rules
include $RULE_PATH/smtp.rules
include $RULE_PATH/community-smtp.rules
include $RULE_PATH/imap.rules
include $RULE_PATH/community-imap.rules
include $RULE_PATH/pop2.rules
include $RULE_PATH/pop3.rules

include $RULE_PATH/nntp.rules
include $RULE_PATH/community-nntp.rules
include $RULE_PATH/community-sip.rules
include $RULE_PATH/other-ids.rules

include $RULE_PATH/web-attacks.rules
include $RULE_PATH/backdoor.rules
include $RULE_PATH/community-bot.rules
include $RULE_PATH/community-virus.rules

include $RULE_PATH/experimental.rules
include threshold.conf

Página anterior     Próxima página

Páginas do artigo
   1. O que é IDS
   2. O que é o Snort
   3. A arquitetura e o funcionamento do Snort
   4. Instalação do pré-requisitos para a instalação do Snort
   5. Instalação do Snort
   6. Arquivo de configuração snort.conf
   7. Instalação e configuração do Basic Analysis and Security Engine (BASE)
   8. Instalando e configurando o Guardian
   9. Considerações finais
Outros artigos deste autor

Bind9 slave em chroot no Debian Lenny

Bind9 em chroot no Debian Lenny

Um pouco sobre IPtables

Debian + Postfix + MySQL + PostfixAdmin + MailScanner + Webmail + Quotas

Bonding para Heartbeat + Bonding para DRBD + OCFS2 + Debian Squeeze

Leitura recomendada

Como recuperar a senha de root usando uma live distro

Chkrootkit - Como determinar se o sistema está infectado com rootkit

SECtool - Análise Local para Linux

Bootando CDROM com o grub / lilo

IDS com Debian 4, Snort 2.8.3.1 e BASE 1.4.1

  
Comentários
[1] Comentário enviado por douglas_dksh em 15/03/2010 - 18:44h

Olá.

Se tiverem problemas na instalação dos pacotes do PEAR, pode ser feito como abaixo.

#pear upgrade PEAR
#pear install Image_Canvas-alpha
#pear install Image_Graph-alpha --alldeps
#pear install Mail Mail_Mime Image_Color Log Numbers_Roman
#pear install Numbers_Words-0.16.1

Pois os pacotes possuem ordem de instalação.


Douglas.

[2] Comentário enviado por leandrojpg em 16/03/2010 - 11:24h

Eu sou suspeito para falar, pois tenho seguido os tutoriais do douglas a algum tempo e asseguro que são bons demais.
Esse ai do Snort eu implementei, e funcioba bem legal, mas tem que quer fazer linha a linha,importante ler o material para entender bem o snort.

[3] Comentário enviado por douglas_dksh em 16/03/2010 - 11:45h

Obrigado.

[4] Comentário enviado por macvitor em 10/08/2010 - 11:44h

Como podemos saber se o Snort está rodando e funcionando perfeitamente? Em http://localhost/snort está tudo zerado(TCP, UDP, etc.) e ao usar o comando ps auwx |grep snort não retorna nada.

[5] Comentário enviado por epresman em 19/10/2010 - 15:39h

uso a distribuicao brasilfw e estoun com dificuldades para inslatar o snort
como e quem poderia me ajudar?

[6] Comentário enviado por removido em 21/10/2010 - 17:58h

Não consigo entrar na interface WEB do BASE, quando digito o endereço o navegador me dá opção de fazer o download:

Arquivo: PHTML
Site: 192.168.0.146

Esse endereço IP é o da minha eth0. Na instalação não surgiu nenhum erro. Foi tudo certinho. O apache está rodando perfeitamente. Podem me ajudar?

[7] Comentário enviado por douglas_dksh em 26/10/2010 - 15:28h

Mande instalar este pacote para corrigir o erro que acontece quando é enviado o email.

# pear install Net_SMTP
# pear install --alldeps mail




Douglas

[8] Comentário enviado por bvcoelho em 10/11/2010 - 10:31h

Estou com o mesmo problema do m1n3ro, quando eu entro no site "http://ip_servidor/snort " em vez de entrar na página de configuração ele manda salvar a pasta do snort.
Todos os outros passos foram seguidos sem nenhum erro. Sera que alguem pode da uma luz?

[9] Comentário enviado por bvcoelho em 10/11/2010 - 10:41h

Opa problema resolvido nada como um reboot system. :)

[10] Comentário enviado por analistaslack em 29/11/2010 - 19:26h

Show de bola o tutorial, está rodando perfeitamente no meu Ubuntu 10.04 Server 64 bits. Valeu pelo tutorial!!!!

[11] Comentário enviado por fabriciorodrigo em 25/02/2011 - 16:51h

Estou querendo implementar um ips .. porém, gostaria de saber se existem outros além do snort/guardian ...
achei o guardian descontinuado ... (pode ter sido impressão)
Pesquisando encontrei o HLBR ... pórem não consegui definir qual a melhor solução ...

Gostaria de ter sua opnião sobre ...


Desde já agradeço.
Parabéns pelo artigo.

[12] Comentário enviado por douglas_dksh em 25/02/2011 - 17:06h

OpenVas, Fail2ban dai vc tem que ver qual vai se adptar melhor ao seu ambiente.
O guardian so faz os bloqueios.
o que vc pode fazer é ler os arquivos de log do snort com algum script e ir bloqueando ou desbloqueando ips e por ai vai.

[13] Comentário enviado por clebioms em 31/03/2011 - 17:47h

Ola, bem seguindo seu tutorial na parte que segue

# pear upgrade PEAR
# pear install Mail Mail_Mime Image_Color Log Numbers_Roman
# pear install channel://pear.php.net/Numbers_Words-0.16.1
# pear install Image_Graph-alpha
# pear install Image_Canvas-alpha

quando digito o comando pear install Image_Canvas-alpha recebe o mensagem abaixo:

pear/Image_Canvas is already installed and is the same as the released version 0.3.3
install failed

Poderia me ajudar

Cordialmente.

Clebio

[14] Comentário enviado por ulisses.santos em 26/05/2011 - 17:14h

amigo estou com um erro parecido aqui quando colocao o ip 192.168.7.222/snort
aparece abrir ou salvar um arquivo, instalei o
pear install Net_SMTP

mas o outro da este erro
pear install --alldeps mail
pear/mail is already installed and is the same as the released version 1.2.0
install failed


alguma luz, desde ja agradeço e um dos melhores tutoriais que achei para ids.

[15] Comentário enviado por douglas_dksh em 26/05/2011 - 17:25h

Cara quando acontece a primeira situação é quando o apache ainda não encontrou o módulo do php, como a página do base é em php ele te da a opção de abrir ou salvar o arquivo por que o apache ainda não consegue enterpretar o php.
Então para resolver isso só reinicie o seu apache, e se continuar tente abrir em outro navegador.
O segundo erro a resposta esta na saída dele o per/mail já esta instalado, por isso que apareceu a mensagem.

To colocando os materiais agora atualizados no meu site www.gmsecurity.com.br dai la vou conseguir atualizar quando precisar algo.

Douglas.


[16] Comentário enviado por jpfontoura em 28/06/2011 - 17:18h

Amigo instalei tudo conforme o tutorial, mas o base não mostra nada fica tudo zero, mas no log do snort tem as tentativas, pode me dar uma ajuda?

[17] Comentário enviado por renatotec em 01/07/2011 - 10:55h

Bom dia Douglas...parabéns pelo TUTO!

Estou com uma dificuldade, tá tudo funcionando, só que o snort não está mais gravando informações no /var/log/snort/alert, grava apenas na base de dados, sendo assim o guardin não funciona.

[18] Comentário enviado por tiagotrindade em 09/12/2011 - 08:58h

Estou com o mesmo problema do renato...

o Guardian não ta bloqueando nada :|

[19] Comentário enviado por douglas_dksh em 09/12/2011 - 10:28h

E ai galera.

Os logs do snort mudaram nas novas versões com isso o guardian não consegue ler mais o tipo de log.

o que pode ser feito é um script para ler os logs do banco de dados e gerar as regras.

Olhe em http://www.douglas.wiki.br/doku.php?id=snort_barnyard2_snorby_debian_squeeze a implementação do Snort mudou.

Até o momento eu não achei nenhuma ferramenta para efetuar o bloqueio, com isso tive que desenvolver a minha propria.

Douglas.

[20] Comentário enviado por alex_arantes8 em 23/04/2012 - 16:43h

Ola, bem seguindo seu tutorial na parte que segue

# pear upgrade PEAR
# pear install Mail Mail_Mime Image_Color Log Numbers_Roman
# pear install channel://pear.php.net/Numbers_Words-0.16.1
# pear install Image_Graph-alpha
# pear install Image_Canvas-alpha

quando digito o comando pear install Image_Canvas-alpha recebe o mensagem abaixo:

pear/Image_Canvas is already installed and is the same as the released version 0.3.3
install failed

Isso tem PROBLEMA esse erro acima como resolver.grato
alexarantesti@gmail.com

[21] Comentário enviado por berneira em 17/10/2012 - 13:37h


Estou com esse problema ao Abrir o Base


Warning: strftime() [function.strftime]: It is not safe to rely on the system's timezone settings. You are *required* to use the date.timezone setting or the date_default_timezone_set() function. In case you used any of those methods and you are still getting this warning, you most likely misspelled the timezone identifier. We selected 'America/Sao_Paulo' for 'BRT/-3.0/no DST' instead in /var/www/snort/base_main.php on line 271
Queried on : Wed October 17, 2012 13:36:09
Database: snort@localhost (Schema Version: 107)
Time Window: no alerts detected

[22] Comentário enviado por andyblessing em 14/09/2014 - 12:19h

Olá
muito bom tutorial
estou com um problema na parte de configurar acessei

http://192.168.0.1/snort/base-1.4.5/setup/setup2.php?action=check

coloco as configuraçoes e minha senha mas aparece o seguinte erro
Database connection failed!
Please try again!

Pode me ajudar
agradeço

[23] Comentário enviado por jmsb em 19/06/2015 - 18:58h

ola , vc poderia ajudar com o guardian , ele não esta executando da essa mensagem, com isso não gera as logs
OS shows Linux
Warning! Logfile is not writeable! Engaging debug mode, output to STDOUT
eth3 address and interface are: 192.168.2.201
Loaded 1 addresses from /etc/guardian.ignore
Running in debug mode..


Contribuir com comentário