Note 2021 : Cette machine a encore été changée après 5 années de bons et loyaux services ... elle a été "recyclée" en machine Bureautique pour madame.
De même Snorby n'existe plus et a été remplacé par un petit développement personnel qui fournit le même genre de service. Et la nouvelle machine est, bien sûr, beaucoup plus belle. Le core I5 a été remplacé par un AMD Ryzen 5 3600.
--------------------------------- Article Original -----------------------------
La machine qui me sert de tête de réseau et qui "supporte" Suricata/Barnyard2/Snorby a récemment présenté quelques signes de faiblesse et s'est mise à chauffer de manière exagérée sans qu'il y ait une cause évidente, en plus de dater de quelques années ses disques commençaient à saturer.
Je me suis donc attelé à tout transporter dans une autre machine, avec des disques plus "gros". Après l'installation du système et avec des disques bien mirrorés (Raid 1) et partitionnés j'ai commencé à installer les mêmes logiciels que sur l'ancienne machine en utilisant "dpkg --get-selections >toto" vous fournit un gentil fichier que vous n'avez plus qu'à transporter sur une autre machine et à faire "cat toto | dpkg --set-selections" et vous avez exactement les mêmes paquets (y compris tous les paquets -dev nécessaires à la compilation de suricata, NtopNG ... et autres).
Pourtant malgré cela Snorby (recopié bêtement) s'est planté lamentablement et quand j'ai voulu faire comme la fois précédente ("bundle update") j'ai obtenu tellement d'insultes que j'ai renoncé. Vous pensez il veut du Ruby 1.9.3 et Debian fournit aujourd'hui du 2.1. J'ai donc pris les grands moyens et vidé intégralement le répertoire "snorby" (j'ai toujours les fichiers sur l'ancienne machine, surtout le paramétrage) et j'ai réinstallé complètement le produit en commençant par quelques "gems" :
wkhtmltopdf
bundler
rails -v 4
rake
Puis j'ai réinstallé Snorby depuis le dépot Git :
cd /opt
git clone git://github.com/Snorby/snorby.git
puis
cd snorby
bundle install
qui "gueule" un peu car j'installe en "root" et se termine par :
An error occurred while installing builder (3.0.4), and Bundler cannot continue.
Make sure that `gem install builder -v '3.0.4'` succeeds before bundling.
en rouge dans le texte.
J'installe le truc demandé, qui malgré quelques warnings fini par dire OK et je relance.
Après un certain temps encore une erreur :
An error occurred while installing closure-compiler (1.1.11), and Bundler cannot
continue.
Make sure that `gem install closure-compiler -v '1.1.11'` succeeds before
bundling.
On installe le gem "a mano" et on relance ... enfin cela se termine. C'est quand même ennuyeux toutes ces interruptions !
On va maintenant configurer l'accès à la base de données (déjà recopiée avec mysqldump --all-databases et ré-importée).
Je recopie es fichiers de config de l'ancienne machine :
database.yml
snorby_config.yml
Et je recompare mes fichiers aux fichiers suffixés "example" pour voir s'il n'y a pas un changement de format, mais non tout est correct ...
Je me dépêche de lancer le truc "init_snorby start" et il me crache quelques phrases bien senties ... :
/var/lib/gems/2.1.0/gems/actionpack3.2.22/lib/action_dispatch/http/mime_type.rb:102: warning: already initialized constant Mime::PDF /var/lib/gems/2.1.0/gems/actionpack3.2.22/lib/action_dispatch/http/mime_type.rb:102: warning: previous definition of PDF was here
syck has been removed, psych is used instead
/var/lib/gems/2.1.0/gems/actionpack3.2.22/lib/action_dispatch/http/mime_type.rb:102: warning: already initialized constant Mime::PDF
/var/lib/gems/2.1.0/gems/actionpack3.2.22/lib/action_dispatch/http/mime_type.rb:102: warning: previous definition of PDF was here
syck has been removed, psych is used instead
/var/lib/gems/2.1.0/gems/actionpack3.2.22/lib/action_dispatch/http/mime_type.rb:102: warning: already initialized constant Mime::PDF
/var/lib/gems/2.1.0/gems/actionpack3.2.22/lib/action_dispatch/http/mime_type.rb:102: warning: previous definition of PDF was here
Warning: no instances running. Starting...
Mais comme j'ai vu le mot magique "Starting..." je me précipite sur Firefox "localhost:3000" qui m'affiche l'écran de login. La suite se passe tout aussi bien, j'ai droit aux mêmes remarques à chaque démarrage mais cela fonctionne.
Quelques images , le dashboard :
La liste des alertes :
Rassurez-vous je n'ai rien contre les vietnamiens, j'ai de bons amis de ce pays, mais aujourd'hui quelques uns des habitants passent leur temps à essayer de pirater le port 23 de mes machines .... et peut-être des vôtres !