Я пытаюсь настроить кластер Zeek IDS ( v.3.2.0-dev.271 ) на 3 хостах Ubuntu 18.04 LTS безрезультатно - выполнение команды zeek deploy завершается неудачно со следующей Вывод:
fatal error: problem with interface ens3 (pcap_error: socket: Operation not permitted (pcap_activate))
Я следовал официальной документации (что в лучшем случае довольно обобщенно c) и настроил аутентификацию S SH без пароля между узлами Zeek.
Я также предварительно создал путь /usr/local/zeek на всех хостах и дал пользователю zeek полные права на этот каталог. В документации написано The Zeek user must be able to either create this directory or, where it already exists, must have write permission inside this directory on all hosts.
В документации также сказано, что on the worker nodes this user must have access to the target network interface in promiscuous mode.
Мой пользователь Zeek является пользователем sudoer и членом группы netdev на всех 3 узлах. Тем не менее, развертывание кластера не удается. По-видимому, когда zeekctl устанавливает соединение S SH с рабочими, он не может овладеть сетевыми интерфейсами и установить ограничения.
В конце концов я смог успешно запустить кластер, выполнив this article - однако требуется, чтобы вы настроили весь кластер как root, чего я хотел бы избежать, если это вообще возможно.
Итак, мой вопрос, есть ли что-нибудь явно очевидное, что я пропускаю? Насколько мне известно, эта установка должна работать, иначе я не знаю, как заставить zeekctl запускать sudo перед каждой командой S SH, которую он должен выполнять на рабочих, или как выполнить это требование. .
Любое руководство будет с благодарностью, спасибо!