Enquanto procurava testar o suricata do repositório Debian Wheezy, tive um problema.
cat /var/log/suricata/suricata-start.log
23/9/2013 -- 19:25:03 - <Info> - This is Suricata version 1.2.1 (rev 872e3cb)
23/9/2013 -- 19:25:03 - <Warning> - [ERRCODE: SC_WARN_OUTDATED_LIBHTP(200)] - libhtp < 0.2.7 detected. Keyword http_raw_header will not be able to inspect response headers.
23/9/2013 -- 19:25:03 - <Info> - CPUs/cores online: 1
23/9/2013 -- 19:25:03 - <Info> - NFQ running in standard ACCEPT/DROP mode
23/9/2013 -- 19:25:03 - <Info> - Using PCRE match-limit setting of: 3500
Enquanto eu baixei o libhtp source para 0.5.7, instalei um arquivo .deb do Debian Jessy (0.2.12), o lib continua apontando para o antigo lib.
Adicionei include /usr/local/lib/ a /etc/ld.so.conf
Corri e reran ldconfig -v , manualmente apaguei o cache /etc/ld.co.cache e reran o que eu consegui descobrir sem sucesso.
A criação de /etc/ld.so.conf.d/libhtp.conf contendo /usr/local/lib/libhtp* pareceu resultar em
ldconfig -p | grep libhtp
libhtp-0.5.7.so.1 (libc6,x86-64) => /usr/local/lib/libhtp-0.5.7.so.1
libhtp-0.2.so.1 (libc6,x86-64) => /usr/lib/x86_64-linux-gnu/libhtp-0.2.so.1
O que está acontecendo, o que estou fazendo de errado? Há muito pouco a descobrir sobre isso.
Ambos estão desatualizados. Suricata stable está em 1.4.6 e a versão da libhtp que deve ser usada em 0.2.14, veja link
libhtp 0.5.x é o que usamos no Suricata 2.0, que está atualmente em versão beta. Não funcionará com o Suricata 1.4.6 devido a alterações na API.
Em geral, o uso de ferramentas como o Suricata dos repositórios de distribuição não é uma ótima idéia. As versões estão sempre muito atrasadas. Eu recomendo instalar da fonte.
23/9/2013 -- 19:25:03 - <Warning> - [ERRCODE: SC_WARN_OUTDATED_LIBHTP(200)] - libhtp < 0.2.7 detected. Keyword http_raw_header will not be able to inspect response headers.
Isso é apenas um aviso, não um erro. Você realmente precisa do http_raw_header ? Se não, apenas ignore.
installed a .deb archive from Debian Jessy ( 0.2.12 )
Esta é uma má ideia. Mesmo que seja possível instalar pacotes de uma versão Debian mais recente sem quebrar nada, isso tem repercussões.
Por exemplo, imagine que alguém encontre uma falha de segurança crítica em libhtp1 . O Debian então lançaria novos pacotes libhtp1 que consertam esta vulnerabilidade de segurança, mas lançaria dois pacotes, por exemplo:
Debian wheezy: libhtp1 (0.2.6-3) (instead of 0.2.6-2)
Debian jessy: libhtp1 (0.2.12-2) (instead of 0.2.12-1)
Seu sistema veria o 0.2.6-3 update porque está configurado para extrair as wheezy updates, mas ele já tem 0.2.12-2 instalado. 0.2.12-2 é maior (= mais recente) que 0.2.6-3 , por isso não instalará a atualização. Você introduziu agora uma vulnerabilidade de segurança em seu sistema que o atualizador da Debian não pode consertar.
While i've download the libhtp source for 0.5.7
Compilar e instalar algo da fonte é ainda pior. Não faça isso.
I've added include
/usr/local/lib/to/etc/ld.so.conf
Oh Deus, por favor, pare antes de você ter limpado completamente o seu sistema: (