BUG DE ZENTYAL CON SURICATA

[klausneil]

Saludos:

He probado con la instalación de de la versión 3.3 y 3.4 y esta presentando problemas con el modulo IDS pues no inicia y mucho menos desinstala, alguien sabe algo al respecto? el mensaje es el siguiente

/etc/init.d/suricata status
 * NFQUEUE support not found !
 * Please ensure the nfnetlink_queue module is loaded or build in kernel

[jbahillo]

Hola

Se trata de un bug de ubuntu en el init.d de suricata
https://bugs.launchpad.net/bugs/1250439

[klausneil]

osea lo mas recomendable es no instalar el modulo IDS?

[jbahillo]

... o instalarlo y corregir el init.d con el parche del bug

[klausneil]

si, pero el problema es que no me permite desinstalarlo,a no ser que vuelva a instalar desde 0 y podrias decirme cual es el parche o en donde lo puedo encontrar? desde ya muchas gracias.

[pive]

Buenos días.

Yo ahora estoy con ese mismo problema y no me aclaro con el tema de los parches diff. En el enlace citado antes desde Ubuntu dicenq ue suricata se encuentra en "proposal", lo he añadido como repositorio y al instalar me sigue diciendo lo mismo, ni descargando y luego usando dpkg lo he conseguido. ¿Hay forma de arreglar esto?

Gracias.

[jbahillo]

Hola:

 Puedes adjuntar el /etc/init.d/suricata , asíc omo la salida del comando lsmod | grep nfnetlink_queue ?

[pive]

Hola.

La salida del lsmod me da vacía.

El /etc/init.d/suricata va adjunto.

Gracias.

[jbahillo]

Hola::

Entonces tu problema vendra dado casi seguro por no tener el modulo cargado:

Ejecuta modprobe nfnetlink_queue y prueba de nuev

[pive]

Ok, ahora lo pruebo En volver del café 

Para aplicar el parche lo que he hecho es guardar el texto en un archivo, darle permisos de ejecución y listo. Es así, ¿correcto?

[jbahillo]

Si te lias con el parche, lo mas sencillo  es que busques esto en el init.d de suricata:

check_nfqueue() {
if [ ! -e /proc/net/netfilter/nf_queue ]; then
    log_failure_msg "NFQUEUE support not found !"
    log_failure_msg "Please ensure the nfnetlink_queue module is loaded or built in kernel"
    exit 5
fi
}


y lo cambies por
check_nfqueue() {
if [ ! -e /proc/net/netfilter/nfnetlink_queue ]; then
    log_failure_msg "NFQUEUE support not found !"
    log_failure_msg "Please ensure the nfnetlink_queue module is loaded or built in kernel"
    exit 5
fi
}

[pive]

Vale, ahora va, se deja actualizar pero me advierte de que el init.d/suricata está modificado y que el proveedor tiene una versión más actualizada. Entiendo que ya con la nueva versión de suricata esto estará corregido y debería decirle que use la del proveedor del paquete, ¿correcto? ¿o lo dejo con el mío por si acaso?

[jbahillo]

Hola: Puedes instalar la del  mantenedor, en el peor de los casos siempre puedes volverla a modificar (aunque si se te esta actualizando a la nueva que se genero a partir del reporte a Ubuntu, ya no deberias tener ese problema)

[pive]

¡Por fin! ya está solucionado después de un reinicio del servidor.

Muchísimas gracias por la ayuda, pensaba ya que no iba a poder usar esta magnífica solución unificada.

Un gran saludo.

[Lilith.cuba]

Hola gracias por el post... yo tube este mismo problemas pero antes de hacer el cambio que dices en /etc/init.d/suricata, cambie en /etc/default/suricata RUN=no por RUN=yes, despues reinstale el paquete con dpkg y listo, todo bien, gracias nuevamente

Saludos