●Snortの導入 |
Snortをインストールするためには、事前にパケットをキャプチャするためのライブラリである「libpcap」をインストールしておく必要がある。libpcapはtcpdumpなどのツールでも利用されるため、Snortをインストールするサーバにlibpcapがインストールされているか事前にチェックし、インストールされていなければlibpcapを導入しよう。ただし、インストールされているlibpcapのバージョンが古い場合は、最新のものに入れ替えておくとよいだろう。原稿執筆時の最新バージョンは0.7.1だ。なお、今回も基本とするディストリビューションは「Red hat Linux7.3」だ。
○libpcapがインストールされているかをチェック
Red hat Linuxでは、RPMパッケージによりあらかじめインストールされている。
$ rpm -q libpcap libpcap-0.6.2-12 |
上記のように検索すると、インストールされていればパッケージリストが表示されるはずだ。
○libpcapのインストール
libpcapがインストールされていない場合は、以下の手順でインストールしよう。RPMパッケージから最新バージョンのtarboolをインストールする場合は、
# rpm -e libpcap-0.6.2-12 |
として、あらかじめアンインストールしてからインストールしたほうがよい。
$ wget http://www.tcpdump.org/release/libpcap-0.7.1.tar.gz $ tar xvzf libpcap-0.7.1.tar.gz $ cd libpcap-0.7.1 $ ./configure $ make $ su password: # make install |
○Snortのインストール
libpcapのインストールが完了したら、Snortのインストールを行う。Snortの公式サイトからダウンロードし、展開・インストールを行っていこう。執筆段階でののバージョンは1.8.6となっている。
$ wget http://www.snort.org/dl/snort-1.8.6.tar.gz $ tar xvzf snort-1.8.6.tar.gz $ cd snort-1.8.6 $ ./configure $ make $ su password: # make install |
以上で、「/usr/local/bin/snort」ができているはずだ。
○ルールセットのコピーと設定ファイルの編集
Snortの起動する前にルールセットなどのコピーと設定ファイルの編集、ログディレクトリの作成などを行う。
まず、Snortを展開したディレクトリにある、設定ファイル(classification.config、 snort.conf)とルールセット(拡張子*.rulesファイル)を適当な場所へコピーする。ここでは設定ファイル用ディレクトリ「/etc/snort」を作成し、そのディレクトリへコピーすることにした。
# mkdir /etc/snort # chmod 700 /etc/snort # cp classification.config snort.conf *.rules /etc/snort |
次に設定ファイル「snort.conf」の編集を行う。設定内容は各自の環境により違うため、環境にあわせて記述する必要がある。「var HOME_NET」(監視対象のネットワーク)、「var EXTERNAL_NET」(外部ネットワーク)、「var SMTP」(SMTPサーバ)、「var HTTP_SERVERS」(ウェブサーバ)、「var SQL_SERVERS」(SQLサーバ)、「var DNS_SERVERS」(DNSサーバ)の各項目を各自の環境に合わせて変更しよう。
# vi /etc/snort/snort.conf |
2/4 |