snortの導入(lenny)

#html{{

a href="http://px.a8.net/svt/ejp?a8mat=1TKCJ8+A3RVEA+27R4+61JSI" target="_blank">完全無料のセキュリティソフトをお探しなら</a>

img border="0" width="1" height="1" src="http://www13.a8.net/0.gif?a8mat=1TKCJ8+A3RVEA+27R4+61JSI" alt="">

br />

a href="http://px.a8.net/svt/ejp?a8mat=1IBA3N+EAZZ1U+1A8Q+1BNBJM" target="_blank">満足度で選ばれるアンチウイルス対策ソフトなら「ESET NOD32アンチウイルス 4」</a>

img border="0" width="1" height="1" src="http://www15.a8.net/0.gif?a8mat=1IBA3N+EAZZ1U+1A8Q+1BNBJM" alt="">

br />

a href="http://px.a8.net/svt/ejp?a8mat=1TQFPZ+E51N02+2C7Y+5YZ76" target="_blank">最強アンチウィルスエンジンの本家本元</a>

img border="0" width="1" height="1" src="http://www15.a8.net/0.gif?a8mat=1TQFPZ+E51N02+2C7Y+5YZ76" alt=""> }}

snortのインストール

フリーの不正侵入検知システム(IDS「Intrusion Detection System」)である、snortをインストールします。

# aptitude install snort snort-mysql
Reading package lists... Done
Building dependency tree
Reading state information... Done
Reading extended state information
Initializing package states... Done
Writing extended state information... Done
Reading task descriptions... Done
The following NEW packages will be installed:
  libcompress-raw-zlib-perl{a} libcompress-zlib-perl{a} libfont-afm-perl{a}
  libhtml-format-perl{a} libhtml-parser-perl{a} libhtml-tagset-perl{a}
  libhtml-tree-perl{a} libio-compress-base-perl{a}
  libio-compress-zlib-perl{a} libltdl3{a} libmailtools-perl{a}
  libprelude2{a} libtimedate-perl{a} liburi-perl{a} libwww-perl{a}
  oinkmaster{a} snort-common{a} snort-common-libraries{a} snort-mysql
  snort-rules-default{a}
0 packages upgraded, 20 newly installed, 0 to remove and 28 not upgraded.
Need to get 3307kB of archives. After unpacking 13.8MB will be used.
Do you want to continue? [Y/n/?] y

インストール中に、内部ネットワークを聞かれるので設定します。
[例]

192.168.0.0/24

また、「Set up a database for snort-mysql to log to?」の質問には「yes」を回答します。

続いて下記を実行

# aptitude install libio-zlib-perl libwww-perl libarchive-tar-perl

snort.confの編集

# nano /etc/snort/snort.conf


下記のように変更します。

var HOME_NET any
	↓
var HOME_NET DEBIAN_SNORT_HOME_NET


var EXTERNAL_NET any
	↓
#var EXTERNAL_NET any


#var EXTERNAL_NET !$HOME_NET
	↓
var EXTERNAL_NET !$HOME_NET


output database: log, mysql
	↓
output database: log, mysql, user=snort password='パスワード' dbname=snort host=localhost


snortデータベースの作成

# mysql -u root -p
mysql> CREATE DATABASE snort;
mysql> GRANT CREATE,SELECT,INSERT,UPDATE ON snort.* to snort@localhost;
mysql> SET PASSWORD FOR snort@localhost=PASSWORD('パスワード');
mysql> flush privileges;
mysql> exit
# cd /usr/share/doc/snort-mysql
# zcat create_mysql.gz | mysql -u snort -D snort -p


db-pending-configの削除

snort起動時に、エラーになるのでdb-pending-configを削除します。

# rm /etc/snort/db-pending-config


BASEのインストール

下記URLより、baseの最新版をダウンロードします。
http://sourceforge.net/project/showfiles.php?group_id=103348&package_id=128846
解凍、移動します。

# tar -zxvf base-1.4.5.tar.gz
# mkdir /var/www/admin
# mv base-1.4.5 /var/www/admin/base

続いて、adodbの最新版を下記URLよりダウンロードします。
http://sourceforge.net/project/showfiles.php?group_id=42718&package_id=220409

# tar -zxvf adodb511.tgz
# mv adodb5 /var/www/admin/base/adodb
# chown -R www-data:www-data /var/www/admin/base

BASEの設定

base_conf.php.distをコピーして、base_conf.phpを作成します。

# cp /var/www/admin/base/base_conf.php.dist /var/www/admin/base/base_conf.php
# vi /var/www/admin/base/base_conf.php

内容を下記のように変更します。

$BASE_Language = 'english';
	↓
$BASE_Language = 'japanese';


$BASE_urlpath = '';
	↓
$BASE_urlpath = '/admin/base';


$DBlib_path = '';
	↓
$DBlib_path = '/var/www/admin/base/adodb';


$alert_dbname = 'snort_log';
	↓
$alert_dbname = 'snort';


$alert_password = 'mypassword';
	↓
$alert_password = 'パスワード';


pearパッケージの追加

pearが入ってない場合はインストールします。

# aptitude install php-pear
Reading package lists... Done
Building dependency tree
Reading state information... Done
Reading extended state information
Initializing package states... Done
Reading task descriptions... Done
The following NEW packages will be installed:
  php-pear php5-cli{a}
The following partially installed packages will be configured:
  snort-mysql
0 packages upgraded, 2 newly installed, 0 to remove and 28 not upgraded.
Need to get 2810kB of archives. After unpacking 7827kB will be used.
Do you want to continue? [Y/n/?] y


必要なパッケージをインストールします。

# pear channel-update pear.php.net
# pear install --alldeps Image_Graph-alpha
# pear install Mail Mail_Mime


snort-mysqlの再設定

# dpkg-reconfigure snort-mysql

「Should Snort disable promiscuous mode on the interface?」
このサーバーに対して直接の通信のみ検出が Yes, このサーバーを行き来する全ての通信が No です。
通常はNoを回答。
「Should Snort's rules testing order be changed to Pass|Alert|Log?」
Noを回答。
「Additional custom options」
入力せずにENTER
「Should daily summaries be sent by e-mail? 」
集計結果をメール送信する場合はyes。 
「Recipient of daily statistics mails」
デフォルトは「root」変更する場合は送信先メールアドレスを設定する。
「Minimum occurrences before alerts are reported」
1でOK。
「Database logging can be reconfigured later by running 'dpkg-reconfigure -plow snort-mysql'.」
「OK」で続行。
「Set up a database for snort-mysql to log to?」
「Database server hostname」
localhost
「Database name」
snort
「Username for database access」
snort
「Password for the database connection」
パスワードを入力

snortの起動

# /etc/init.d/snort start

snortの停止

# /etc/init.d/snort stop

snortの再起動

# /etc/init.d/snort restart

参考

coLinux(MEM=128,SWAP=128MB)でsnortを起動したときに、statusを確認したら

# /etc/init.d/snort status
Status of snort daemon(s):  eth0  ERROR failed!

と表示されたので、syslogを見ると、

colinux kernel: Out of memory: kill process 2749 (snort) score 28184 or a child
colinux kernel: Killed process 2749 (snort) vsz:112736kB, anon-rss:84224kB, file-rss:16kB
colinux kernel: snort: page allocation failure. order:0, mode:0x280da
colinux kernel: Pid: 2749, comm: snort Not tainted 2.6.33.5-co-0.7.8 #1

とメッセージが残っていた。
そこで、MEMORYとSWAPのサイズを増やしたところ、正常に起動した。

#html{{

a href="http://px.a8.net/svt/ejp?a8mat=1TMEXB+7HPDTE+7YE+HYV1D" target="_blank">

img border="0" width="468" height="60" alt="" src="http://www21.a8.net/svt/bgt?aid=110220815453&wid=001&eno=01&mid=s00000001031003018000&mc=1"></a>

img border="0" width="1" height="1" src="http://www10.a8.net/0.gif?a8mat=1TMEXB+7HPDTE+7YE+HYV1D" alt="">

br /> }}


トップ   編集 凍結解除 差分 バックアップ 添付 複製 名前変更 リロード   新規 一覧 単語検索 最終更新   ヘルプ   最終更新のRSS
Last-modified: 2011-04-26 (火) 19:30:08 (3094d)