Intrusion-Prevention-System startet nicht (mehr)? Ein paar Tipps.

Hier kommen HOWTOs und Dokumentationen rein!
Post Reply
ChrisK
Posts: 86
Joined: November 10th, 2014, 7:19 am

Intrusion-Prevention-System startet nicht (mehr)? Ein paar Tipps.

Post by ChrisK » August 15th, 2019, 5:40 pm

Wenn das IDS "Suricata" nicht startet könnte das folgende Ursachen haben:
  • Ihr habt ein altes Backup eingespielt wo es das IDS noch nicht gab.
  • Ihr habt ein altes Backup eingespielt wo das IDS noch Snort war.
  • Irgend etwas ist beim Update schief gelaufen.
Wie vorgehen?

Als erstes müssen wir uns einen Überblick darüber verschaffen WIESO das IDS nicht starten will.
Also per SSH verbinden und das Messages-Log nach Einträgen vom IDS durchsuchen lassen:

Code: Select all

cat /var/log/messages | grep suricata
Hier nach Einträgen mit "[ERRCODE: SC_ERR_XXXXXXXX]" Ausschau halten.

Bsp.:

Code: Select all

Aug 15 19:09:45 examplehost suricata: [ERRCODE: SC_ERR_INITIALIZATION(45)] - pid file '/var/run/suricata.pid' exists but appears stale. Make sure Suricata is not running and then remove /var/run/suricata.pid. Aborting!
Aug 15 19:10:26 examplehost suricata: [ERRCODE: SC_ERR_UID_FAILED(155)] - unable to get the user ID, check if user exist!!
Das erste Problem kann man leicht lösen:

Code: Select all

rm -f /var/run/suricata.pid
Das zweite ist schon etwas kniffeliger. Hier lohnt sich ein Blick in die "passwd":

Code: Select all

getent passwd
Dies erzeugt einen Output wie:

Code: Select all

root:x:0:0:root:/root:/bin/bash
(...)
snort:x:101:101:ftp:/var/log/snort:/bin/false
(...)
samba:x:1000:1000:Samba User:/var/empty:/bin/false
Wie wir sehen, gibt es hier einen "snort"-User aber keinen für Suricata.
Der korrekte Eintrag sollte so aussehen:

Code: Select all

(...)
suricata:x:101:101:Suricata:/var/log/suricata:/bin/false
(...)
Um unseren Eintrag zu korrigieren, brauchen wir "usermod":

Code: Select all

usermod -l suricata snort
usermod -d /var/log/suricata suricata
Nun will das IDS aber immer noch nicht starten, denn es fehlt noch die Gruppe:

Code: Select all

root:x:0:root
(...)
snort:x:101:
(...)
samba:x:1000:
Hier das gleiche Spiel wie beim User, nur diesmal mit "groupmod":

Code: Select all

groupmod -n suricata snort
Zum Schluss zur Sicherheit nochmal das PID-File löschen...

Code: Select all

rm -f /var/run/suricata.pid
...und das IDS per Weboberfläche starten.

Vielleicht helfen diese Schritte bei euch ja auch. :)

Viel Erfolg! O0
Last edited by ChrisK on September 28th, 2019, 10:09 am, edited 2 times in total.
Top
imbio
Posts: 66
Joined: March 10th, 2011, 7:22 pm
Location: Bonn

Re: Intrusion-Prevention-System startet nicht (mehr)? Ein paar Tipps.

Post by imbio » September 12th, 2019, 7:15 am

Hallo ChrisK!

Hab ganz vielen, herzlichen Dank! - das war genau mein Problem, war schon beinahe am verzweifeln ^^

Beste Grüße :)
Image
Top
Ipon
Posts: 15
Joined: March 31st, 2014, 8:29 pm

Re: Intrusion-Prevention-System startet nicht (mehr)? Ein paar Tipps.

Post by Ipon » December 16th, 2019, 6:34 pm

Volltreffer! -> herzlichen Dank :)
Top
Post Reply

Return to “HOWTOs”