Openbsd / Partition voll

[Knittelfeld]

Hab noch eine Frage. Wie oben empfohlen will ich jetzt meine snort rules die in etc liegen verschieben und verlinken.
Muss ich dabei was beachten? Muss ich dann meine snort config aendern?

 

[Andy_m4]

Alles jetzt mal, ohne Snort im Detail zu kennen:

Muss ich dann meine snort config aendern?

Na kommt drauf an. Wenn Du sie verlinkst im Sinne Symlink (a-k-a ln) eher nicht, weil dann die "Umleitung" durch den Link geschieht.
Wenn Du sie einfach nur in /usr/local/etc/ ablegst, dann kommts drauf an. Nämlich ob Snort automatisch unter /usr/local/etc/ nachguckt.
Du kannst ja auch einfach mal in den Snort-Konfigurationsdateien nachschauen, ob da entsprechend was zu finden ist (was ich eher glaube). Und ggf. einfach mal ausprobieren und gucken was passiert.
Mal abgesehen davon, das die Infos vermutlich auch in den Snort-Docs zu finden ist. Weiß nicht, was beim OpenBSD-Port da noch an Hinweisen
gegeben wird. Da könnte man auch mal nachschauen.

 

[Knittelfeld]

Okay werd mich belesen. Danke

 

[CommanderZed]

Also /dev/sd0 ist unter OpenBSD gar kein device, das wäre, sd0c oder rsd0c - wenn du etwas nach /dev/sd0 geschrieben hast, hast du das halt ins Dateisystem geschrieben und nicht auf den Stick

 

[midnight]

Richtig. Wie das genau funktioniert ist in der OpenBSD-FAQ beschrieben: https://www.openbsd.org/faq/faq4.html#MkInsMedia Schreiben sollte man immer aufs raw device, z.B. /dev/rsd0c (mit einem r davor).

 

[morromett]

Also /dev/sd0 ist unter OpenBSD gar kein device, ...

Es kann auch eine SD-Karte gewesen sein. Z. B.:

:~# lsblk
NAME SIZE TYPE COMMENT
sd0 14G SCSI SD/MMC SB16G
├─sd0a 358M 4.2BSD
├─sd0b 497M swap
├─sd0c 14G unused
├─sd0d 454M 4.2BSD
├─sd0e 623M 4.2BSD
├─sd0f 1.8G 4.2BSD
├─sd0g 509M 4.2BSD
├─sd0h 1.6G 4.2BSD
├─sd0i 16M MSDOS
├─sd0j 1.5G 4.2BSD
├─sd0k 5.1G 4.2BSD
└─sd0l 2.2G 4.2BSD

:~# dmesg | grep -i sd0
sd0 at scsibus0 targ 1 lun 0: <Sandisk, SB16G, 0080> removable
sd0: 15193MB, 512 bytes/sector, 31116288 sectors

 

[Andy_m4]

kann auch eine SD-Karte gewesen sein

Darauf deutet ja auch das dmesg und die Beschreibung (wollte Image schreiben) hin.

 

[midnight]

Der Themestarter schrieb weiter oben, dass er ein Debian-Image nach sd0 schreiben wollte. -rw-r--r-- 1 root wheel 536M Jun 6 19:13 sd0 sieht nicht nach einem Device aus, sondern nach dem falsch geschriebenen Debian-Image. Ich wuerde das einfach mit # rm -f /dev/sd0 loeschen.

 

[CommanderZed]

Es kann auch eine SD-Karte gewesen sein. Z. B.:

Das ist trotzdem falsch, unter OpenBSD haben auch SD-Karten /dev/sd0c für das gesamte Device.

/dev/sd0 gibt es unter OpenBSD schlicht nie.

In der dmesg und mit lsblk wird zwar sd0 angezeigt, aber es gibt kein entsprechendes /dev/sd0 device.

 

[dettus]

Auch wenn die Loesung mit dem "sd0 existiert unter OpenBSD nicht!" schon kam, empfehle ich dir nochmal

OpenBSD FAQ: Disk Setup

zu lesen. Dort steht unter anderem

All OpenBSD platforms use the disklabel program as the primary way to managefilesystem partitions.On the platforms that use fdisk, one MBR partition is used to hold all of theOpenBSD filesystems.This partition can be sliced into 16 disklabel partitions, labeleda through p.A few labels are special:

• a: The boot disk's a partition is your root partition.
• b: The boot disk's b partition is usually a swap partition.
• c: The c partition is always the entire disk.

 

[dettus]

Ausserdem ist es m.E. noch wichtig, an dieser Stelle auch /dev/rsd0c zu erwaehnen:

dd if=debian.iso of=/dev/sd0c

geht, aber

dd if=debian.iso of=/dev/rsd0c

ist schneller.

 

[peterle]

Bei dev hab ich keine ahnung warum und etc sind ca. 318MB snort rules

Wenn ich mich recht entsinne, dann sind snort rules einfache .txt Dateien?
Die snort community rules umfassen dabei schon beeindruckende 1,8 MB
Was bitte steht in 318MB snort rules?

 

[medV2]

soweit ich weiß gibts da auch binäre Rules für komplexere Dinge.

 

[mr44er]

Ich weiß nicht, wie sich das exakt aufbläht, aber ein bissl clamav, snort, suricata hier und da frisst Unmengen an RAM. Das geht wahrscheinlich exponentiell je IP und Regel nach oben.
Das ist auch der Grund warum ich damals in der Kaufberatung (der Routerthread, du weißt ) sagte, dass man lieber auf doppelt dimensioniert und keinesfalls auf Kante, weil man dann doch mit den Möglichkeiten auf den Geschmack kommt.

 

[Knittelfeld]

Wenn ich mich recht entsinne, dann sind snort rules einfache .txt Dateien?
Die snort community rules umfassen dabei schon beeindruckende 1,8 MB
Was bitte steht in 318MB snort rules?

knappe 40Mb sind bei mir die normalen "rules" und ca.270MB sind die “Shared Object rules”, “SO rules” und “pre-compiled rules”.
Hab mir das Set fuer Registrierte User runtergeladen da ist ein wenig mehr enthalten.....

 

[Knittelfeld]

This partition can be sliced into 16 disklabel partitions, labeleda through p

Versteh ich das richtig das ich beim mounten alle Buchstaben von a bis p verwenden kann,
bloss a, b und c sind fuer extra partionen falls vorhanden?

und gilt das dann auch fuer z.B. rsd0c? Also kann ich auch rsd0i verwenden?

 

[Knittelfeld]

Ich weiß nicht, wie sich das exakt aufbläht, aber ein bissl clamav, snort, suricata hier und da frisst Unmengen an RAM. Das geht wahrscheinlich exponentiell je IP und Regel nach oben.
Das ist auch der Grund warum ich damals in der Kaufberatung (der Routerthread, du weißt ) sagte, dass man lieber auf doppelt dimensioniert und keinesfalls auf Kante, weil man dann doch mit den Möglichkeiten auf den Geschmack kommt.

kann man snort und suricata gleichzeitig nutzen ohne Probleme?

 

[double-p]

Auf einer unpartitionierten (fdisk) Platte kannst Du mit disklabel a-z (ohne c) verwenden. Gerade 'i' ist nochmal so nen automatisch special, wenn auf was mit partitionen und FAT rumgammelt (USB sticks+co).

 

[mr44er]

kann man snort und suricata gleichzeitig nutzen ohne Probleme?

Ich hab das noch nicht bis Exitus ausgereizt, sollte aber gehen.

 

[Knittelfeld]

Ich hab das noch nicht bis Exitus ausgereizt, sollte aber gehen.

Gut dann werd ich das gleich mal Testen