snort
IDS(Intrusion Detection System)
俗にいう、侵入検知システム
ネットワーク型IDSということで
データの監視をするみたいです
自動でルールを更新してくれる
oinkmaster を使うなら
snort は unstable版 を入れた方がいいっぽい(下の方に)
apt-get install snort
debconf は eth0 192.168.0.0./24 root
syslogへ出力
/etc/snort/snort.conf
output alert_syslog: LOG_AUTH LOG_ALERT
logrotate
/etc/logrotate.d/snort
/var/log/snort/portscan.log /var/log/snort/alert {
daily
rotate 30
compress
notifempty
create 600 snort snort
sharedscripts
postrotate
/etc/init.d/snort restart > /dev/null
endscript
}
logcheck使ってたら、見るログに追加
/etc/logcheck/logcheck.logfiles
/var/log/snort/alert
(syslogに出力したら意味なさげ)
ACTIVE SYSTEM ATTACK!
というメールが来るようになってビビる。
ルールを自動でアップデート
apt-get install oinkmaster
更新先のファイルが無いとエラーが
確認すると、どうも更新が有料とかなんとか
5日遅れでいいなら無料らしい
どっちにしろ、登録が必要で
登録してログインすると Oink Code を取得出来る
更新先の変更
/etc/oinkmaster.conf
#url = http://www.snort.org/dl/rules/snortrules-snapshot-2_2.tar.gz
url = http://www.snort.org/pub-bin/oinkmaster.cgi//snortrules-snapshot-2.2.tar.gz
更新出来るようになったので cron に登録
/etc/cron.d/oinkmaster
/usr/sbin/oinkmaster -o /etc/snort -b /etc/snort/backup
ルール更新して snort を起動すると
そんなルールないです、とエラー
2.2用のルールなのに snort -V で 1.8.4Beta とか
サイト探したけど、1.8用のルールないっぽい
一度全部消す
apt-get remove --purge snort
新しいのを入れる
apt-get install snort-rules-default/unstable snort-common/unstable snort/unstable
apt-get install stat も要るっぽい
設定はsyslogへ出力くらいで
logrotateは、勝手にやってくれる
snort -V で Version 2.3.2
ルール更新してもOK(新しい分にはいいらしい)
詳しい説明や設定はこの辺で
Snortとは?
日本 Snort ユーザ会
コメントする