Jistou dobu jsem mel zapnuteho Pakone a i “device-detect” . Pak prisel Ludus, tak jsem jej pridal. Po nejakem case (jsem zjistil ze si uzira dost cpu a pameti).
Takze jsem Pakone a “device-detect” balicky odebral ve Forisu. (ale pakon uci config zustal (uvnitr ve stavu disabled), podobne “suricata-monitor” (uci config na miste, ale nic nenastaveno a obecne vypnuto). Velde toho v /etc/ je k suricate nekolik slozek 
…
Ludus/Ludus-gui mam zapnute.
“suricata-pakon” balicek je ocividne soucasti nejakeho “listu” a vzdy se vrati zpet s nejblizsim “updaterem”.(Je nekde nejaky seznam co jaky list obsahuje za balicky???)
Aktualne jsem vypnul v “init.d” , “suricata-pakon” a “suricata-monitor” (ten je v uci configu vypnut, ale pak si suricata stejne stezuje ze nenaleza prislusny .sock file) sluzby a mam pusteny jen “ludus” (vypada ze bezi a sbira data).
Tak me ted tak trosku zajima zda-li je nektery suricata proces potreba pro nejakou esencialni funkci a je lepe ho zapnout.
Par let zpet si jeden uzivatel stezoval ze po instalaci pakone+ids se mu pak nedarilo tyto odinstalovat. Mozna je to i muj pripad. Celkem bych predpokladal ze budu mit suricata-bin a suricata-for-ludus a to bude tak vse.
Zajimave ze nejakou dobu zpet jsem mel zapnute snad vse co na turisu slo a nemel sem problemy s vykonem (cpu/mem), tak dve TOS verze nazpet jsem zacal pozorovat narust vykonu a celkem to zacalo i swapovat (coz jsem predim mel tak do 50MB, ted je to 300-500MB). Proto jsem se jal vypnout pakone/idsko a jestli to pujde dal i ludus pujde pryc.
jak by rekl klasik:
KRYTON: Uvedu pregnantní ilustraci...
KOCOUR: Já bych radši nějakej příklad...
update:
Tak jsem pres Luci “suricata-monitor” normalne odebral. Bez jakekoliv hlasky. Pote jsem stejnym zpusobem odebral “suricata-pakon” (sice to zarvalo ze je to soucasti balicku), ale nasledny rucni “pkgupdate” tento balicek uz nevratil. Asi bylo potreba to odebrat v poradi a obe sluzby predtim vypnout.
1 Like
Zkousel jsem upravovat suricata.yaml a i suricata_for_ludus.yaml (ve smyslu snizeni poctu vlaken, snizeni naroku na pamet a tak).
U “enabled: yes” bloku, kde byla zminka o vlaknech ci pameti jsem upravil. I presto porad vidim 4 vlakna porad to chce kolem 180-210MB na vlakno. To same u “stats.log” ktery jsem zapnul, je porad prazdny (sice se vytvori pri startu ale nic v nem neni, ani po zapnuti stats-per-thread).
Vedle toho jsem jeste dumal nad tim jestli nejde snizit i pocet vlaken pro “fcgi” nad kterym bezi ludus-gui (bohuzel neuspesne, neni mi jasne kde to muzu zmenit aby to zabralo)
Nema nekdo nejakou light verzi tech yaml souboru? Neni tu nejaka hlava pomazana co by me nakopla spravnym smerem ?
Jinak z puvodnich 210MB na vlakno to ted jede 190MB na vlakno, ale cekal bych snizeni na 128 co jsem si dal jako limit.
Koukal jsem nedavno do Ludus dashboardu a vsimnul jsem si ze tam figuruje “unknown country” (nektere ip rucne umim zpetne dohledat). Je to normalni a nebo ne? Je neco co muzu udelat, aby Ludus i tyto ip/zeme spravne detekoval? Principialne mi to neva, jen nevim jestli je problem u me z pohledu dns serveru a nebo clienta. A i chapu, ze v case detekce to zrovna nemuselo fungovat i z jinych duvodu (a ted to funguje a nebo ip uz patri jine zemi).
Nevim co se kde zmenilo, ale Ludus dashboard se tvari okej, ale nezobrazuje zadne grafy. eve.json a fast.log se normalne plnej. Po chvilce laborovani jsem zjistil ze ludus.py ma problem najit iptables “chain”.
err ludus.py[21198]: iptables: No chain/target/match by that name.
Tak jsem se pokusil to nejak poresit, ale bez uspechu (upravy yaml a configu , zmeny cest pro logy a rundir atp…). Ani reinstall nepomohl. Takze ve finale jsem Ludus musel odebrat. Nevim jak to udelat aby kvuli tomu nekricel, nenasel jsem kde ta hlaska vznika.