Host Intrusion Detection System Administrator's Guide Release 3.0

ManualsBrandsHP ManualsSoftwareHP-UX Host Intrusion Detection System Software

Contents

Remote Communication Conﬁguration. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 219

F. Messages

Summary . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 222

Agent Messages . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 223

System Manager Messages . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 230

G. Troubleshooting

Summary . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 238

Troubleshooting . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 240

Agent and System Manager cannot communicate with each other. . . . . . . . . . . . . . . . . . . . . . . . . . 240

Agent complains that idds has not been enabled, yet lsdev shows /dev/idds is present. . . . . . . . . . 241

Agent does not start on system boot . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 241

Agent halts abnormally, leaving ids_* ﬁles and message queues . . . . . . . . . . . . . . . . . . . . . . . . . . . 242

Agent host appears to hang and/or you see message “disk full” . . . . . . . . . . . . . . . . . . . . . . . . . . . . 242

Agent needs further troubleshooting. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 242

Agent does not start after installation. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 243

Agents appear to be stuck in polling status . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 243

Alert date/time sort seems inconsistent . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 243

Alerts are not being displayed in the alert browser . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 243

Buffer overﬂow triggers false positives . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 244

Duplicate alerts appear in System Manager. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 244

Idsadmin needs installed agent certiﬁcates . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 244

Idsadmin notiﬁes of bad certiﬁcate when pinging a remote agent . . . . . . . . . . . . . . . . . . . . . . . . . . 244

IDS_checkInstall fails with a kmtune error . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 245

IDS_genAdminKeys or IDS_genAgentCerts does not complete successfully . . . . . . . . . . . . . . . . . . 245

IDS_genAdminKeys or idsgui quits early . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 245

Large ﬁles in /var/opt/ids . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 246

Log ﬁles are ﬁlling up. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 246

No Agent Available. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 246

Normal operation of an application generates heavy volume of alerts . . . . . . . . . . . . . . . . . . . . . . . 247

Reﬂection X rlogin produces multiple login and logout alerts . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 247

Schedule Manager timetable screen appears to hang . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 247

SSH does not perform a clean exit after idsgent is started . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 247

System Manager appears to hang . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 248

System Manager does not let you save ﬁles to speciﬁc directories . . . . . . . . . . . . . . . . . . . . . . . . . . 248

System Manager does not start after idsgui is started. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 248

System Manager starts with no borders or title bar in X client programs on Windows. . . . . . . . . . 248

System Manager times out on agent functions such as Activate and Status Poll . . . . . . . . . . . . . . 248

UNKNOWN program and arguments in certain alert messages . . . . . . . . . . . . . . . . . . . . . . . . . . . 249

Using HP-UX HIDS with IPFilter and SecureShell. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 249

H. HP Software License

Attention. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 254

LICENSE ISSUES . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 254

OpenSSL License . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 254