snort IDS on internal nic?

Great. I've never played with CHROOT before, but I have a friend who is a Linux Admin. I'll bribe him with some beer and pizza and see if I can get it to work. Do you know of any good HOW-TOs that explain CHROOT?

Hi There...

The basics of CHROOT are
   cd directory
   chroot .
Where LINUX now thinks that the directory and it's sub directories IS the entire system. There are scripts showing how ASL sets up CHROOT in /etc/rc.d and also maybe in the chroot environment. 

The idea is that if anyone does break in using snort all they can affect is the snort environment. There is no way back to the rest of the system. The rest of the system can go the orther way though.

I tend to develop in a CHROOT in one window, and a non-chroot in another. There are generally no or few utilities in a chroot environment. Oh, and devices might not be available in CHROOT unless you create them :-). 

Basically you are setting up a miniture LINUX distribution in directories...

Hope this helps

Darryl

How exactly did you get the files over there? I've tried using a floppy but can't get the drive to mount (no kernel support?) and ftp doesn't work either. I can't think of any other way to get them there ...

Nevermind, I was mounting to the wrong place. It is:

mount -t ext2 /dev/fd0 /floppy

NOT

mount -t ext2 /dev/fd0 /mnt/floppy

friz

The easy way to get files around is to use SCP. It is basically SSH... Do a search on this site for SCP and WinSCP

Darryl

Hi hackers,

please add your private crontab entries under /etc/ with the filename syntax crontab.YOUR_PROJECT_NAME and our MiddleWare will include your entrie automatically after restarts or config changes via WebAdmin.

I played with this a little over the weekend, but I'm having tons of problems out of the HD in the machine, so I gotta replace it before doing anything else...

I was planning on using MySQL rather than postgres SQL, I belive there is a build (or source) for MySQL on the snort site. Also, I was going to use ACID just cause I am more familiar with it (although nothing is locked in stone). From a performance stand point, should I go with the method above or try the ACID/SQL route? Will these scripts work for that as well? 

Darryl, great work on the scripts btw.

Hi pplz!

what about to include a snort pakage to next version of ASL?

Markus

Are you sure that crontab.PROJECT will start when changes are made with WebADMIN. I named the crontab file crontab.local, and it has not been running. The reboot recreated the contents in the crontab file, so I decided to try crontab.local and it is not running...

Am I missing something?

Darryl
(The Hackers :-) )

OK, so awesome job on snort. Works like a champ. I only have 2 questions. I get reports that a local machine is using 8080 (I have squid enabled), and that it detected public SNMP on port 161. How can I disable these alerts? I added the host IP to the DNS_SERVERS part, no luck...

I all,
ASL team,please,could you include snort package in
a update so I and newbe like me can use it?

I just found this post and wanted to know if this work is available somewhere to try on my ASL system.

I just found this post and wanted to know if this work is available somewhere to try on my ASL system.