snortで不正侵入検知
2006年04月08日 10:06:02
IDS(Intrusion Detection System)であるSnortのインストールを行うことにした。
それにしてもsnortって名前はやっぱり豚がクンクンとトリフを探し当てるように、ネットワーク上の怪しい何かを嗅ぎ分けるようなので付けられた名前なのでしょうか?
このセキュリティ対策も食べ物で決まったようなので食べ物対策シリーズ第3弾のはじまりです。(ちょっと強引ですが)
パッケージの確認
gentooez8 ~ # emerge -pv snort
These are the packages that I would merge, in order:
Calculating dependencies ...done!
[ebuild N ] dev-libs/libpcre-6.3 -doc 552 kB
[ebuild N ] net-analyzer/snort-2.4.3-r1 -flexresp -inline +mysql +odbc +postgres -prelude (-selinux) -sguil -snortsam +ssl 3,457 kB
Total size of downloads: 4,010 kB
事前にlibpcreが必要みたいですね。これは正規表現がPerlと仲良くするライブラリでしょうか?
インストール gentooez8 ~ # emerge snort
省略
* To use a database as a backend for snort you will have to
* import the correct tables to the database.
* You will have to setup a database called snort first.
*
* MySQL: zcat /usr/share/doc/snort-2.4.3-r1/schemas/create_mysql.gz | mysql -p snort
* PostgreSQL: import /usr/share/doc/snort-2.4.3-r1/schemas/create_postgresql.gz
* SQL tables need to be created - look at /usr/share/doc/snort-2.4.3-r1/schemas/
*
* Also, read the following Gentoo forums article:
* http://forums.gentoo.org/viewtopic-t-399801.html
*
* Only a basic set of rules was installed.
* Please add your other sets of rules to /etc/snort/rules.
* For more information on rules, visit http://www.snort.org/.
省略
MySQLでデータベース作れって書いてけどまずは!
動作確認
--== Initialization Complete ==--
,,_ -*> Snort! <*-
o〝 )~ Version 2.4.3 (Build 26)
’ ’ ’ ’ By Martin Roesch & The Snort Team: http://www.snort.org/team.html
(C) Copyright 1998-2005 Sourcefire Inc., et al.
NOTE: Snort's default output has changed in version 2.4.1!
The default logging mode is now PCAP, use "-K ascii" to activate
the old default logging mode.
すごい豚が出てきた!
MySQLデータベースの作成
webminあたりでsnortのユーザとデータベースを作成し
zcat /usr/share/doc/snort-2.4.3-r1/schemas/create_mysql.gz | mysql -p snort
を実行
よく考えたらPostgreSQLでも良かったな〜なんて!
confファイルの修正
gentooez8 ~ # vi /etc/snort/snort.conf
@@ -568,7 +579,7 @@
# See the README.database file for more information about configuring
# and using this plugin.
#
−# output database: log, mysql, user=root password=test dbname=db host=localhost
+ output database: log, mysql, user=snort password=xxxxxxxxxxxxxxxx dbname=snort host=localhost
# output database: alert, postgresql, user=snort dbname=snort
# output database: log, odbc, user=snort dbname=snort
# output database: log, mssql, dbname=snort user=snort password=test
サービスの起動
gentooez8 ~ # /etc/init.d/snort start
OKならばrc-update add snort defaultしておく
解析
パッケージの確認!
gentooez8 ~ # emerge -pv acid
These are the packages that I would merge, in order:
Calculating dependencies
!!! All ebuilds that could satisfy "acid" have been masked.
!!! One of the following masked packages is required to complete your request:
For more information, see MASKED PACKAGES section in the emerge man page or
refer to the Gentoo Handbook.
こんなんでたらこんなんで!ぽん
gentooez8 # ACCEPT_KEYWORDS="~x86" emerge -pv acid
These are the packages that I would merge, in order:
Calculating dependencies ...done!
[blocks B ] dev-php/mod_php (is blocking dev-lang/php-5.1.2)
[blocks B ] dev-php/php (is blocking dev-lang/php-5.1.2)
[blocks B ] dev-php/mod_php (is blocking dev-lang/php-4.4.2)
[blocks B ] dev-php/php (is blocking dev-lang/php-4.4.2)
[ebuild N ] app-admin/php-toolkit-1.0-r2 0 kB
[ebuild N ] dev-lang/php-5.1.2 -adabas -apache +apache2 -bcmath +berkdb -birdstep +bzip2 -calendar -cdb -cgi +cjk -cli +crypt -ctype +curl -curlwrappers -db2 -dba -dbase -dbmaker -debug -discard-path -doc -empress -empress-bcs -esoob +exif -fastbuild -fdftk -filepro -firebird -flatfile -force-cgi-redirect -frontbase -ftp +gd -gd-external +gdbm +gmp -hardenedphp -hash -hyperwave-api -iconv +imap -informix -inifile -interbase -iodbc +ipv6 -java-external +kerberos +ldap -libedit -mcve -memlimit +mhash -ming -msql -mssql +mysql +mysqli +ncurses +nls -oci8 -oci8-instant-client +odbc -pcntl +pcre -pdo -pdo-external -pic -posix +postgres -qdbm +readline -recode -reflection -sapdb +sasl -session -sharedext -sharedmem -simplexml -snmp -soap -sockets -solid +spell -spl -sqlite +ssl -sybase -sybase-ct -sysvipc -threads -tidy -tokenizer +truetype -vm-goto -vm-switch -wddx +xml -xmlreader -xmlrpc -xmlwriter -xpm -xsl -yaz -zip +zlib 6,178 kB
[ebuild N ] dev-php/adodb-4.72 416 kB
[ebuild N ] app-arch/cabextract-1.1 183 kB
[ebuild N ] media-fonts/corefonts-1-r2 +X 0 kB
[ebuild N ] dev-lang/php-4.4.2 -adabas -apache +apache2 -bcmath +berkdb -birdstep +bzip2 -calendar -cdb -cgi +cjk -cli +crypt -ctype +curl -db2 -dba -dbase -dbmaker -dbx -debug -discard-path -doc -empress -empress-bcs -esoob +exif +expat -fastbuild -fdftk -filepro -firebird -flatfile -force-cgi-redirect -frontbase -ftp +gd -gd-external +gdbm +gmp -hardenedphp -hyperwave-api -iconv +imap -informix -inifile -interbase -iodbc +ipv6 -java-external -java-internal +kerberos +ldap -libedit -mcal -mcve -memlimit +mhash -ming -mnogosearch -msql -mssql +mysql +ncurses +nls -oci8 -oci8-instant-client +odbc -oracle7 -overload -ovrimos -pcntl +pcre -pfpro -pic -posix +postgres +readline -recode -sapdb -session -sharedext -sharedmem -snmp -sockets -solid +spell -sqlite +ssl -sybase -sybase-ct -sysvipc -threads +tiff -tokenizer +truetype -wddx +xml -xmlrpc -xpm -xsl -yaz -zip +zlib 4,282 kB
[ebuild N ] dev-php4/jpgraph-1.20.2 +truetype 4,423 kB
[ebuild N ] net-analyzer/acid-0.9.6_beta23-r1 +apache2 +vhosts 113 kB
Total size of downloads: 15,597 kB
これはdev-php/mod_phpとdev-php/phpがブロックしている。通常はこれらを削除してインストールすればOKなのだが、今回はやめてバックアップ機にインストールすることにした。
つまりメイン機で収集した情報(MySQLデータ)をバックアップ機が解析するって感じで。
それにしてもsnortって名前はやっぱり豚がクンクンとトリフを探し当てるように、ネットワーク上の怪しい何かを嗅ぎ分けるようなので付けられた名前なのでしょうか?
このセキュリティ対策も食べ物で決まったようなので食べ物対策シリーズ第3弾のはじまりです。(ちょっと強引ですが)
赤いウクレレより
パッケージの確認
gentooez8 ~ # emerge -pv snort
These are the packages that I would merge, in order:
Calculating dependencies ...done!
[ebuild N ] dev-libs/libpcre-6.3 -doc 552 kB
[ebuild N ] net-analyzer/snort-2.4.3-r1 -flexresp -inline +mysql +odbc +postgres -prelude (-selinux) -sguil -snortsam +ssl 3,457 kB
Total size of downloads: 4,010 kB
事前にlibpcreが必要みたいですね。これは正規表現がPerlと仲良くするライブラリでしょうか?
インストール gentooez8 ~ # emerge snort
省略
* To use a database as a backend for snort you will have to
* import the correct tables to the database.
* You will have to setup a database called snort first.
*
* MySQL: zcat /usr/share/doc/snort-2.4.3-r1/schemas/create_mysql.gz | mysql -p snort
* PostgreSQL: import /usr/share/doc/snort-2.4.3-r1/schemas/create_postgresql.gz
* SQL tables need to be created - look at /usr/share/doc/snort-2.4.3-r1/schemas/
*
* Also, read the following Gentoo forums article:
* http://forums.gentoo.org/viewtopic-t-399801.html
*
* Only a basic set of rules was installed.
* Please add your other sets of rules to /etc/snort/rules.
* For more information on rules, visit http://www.snort.org/.
省略
MySQLでデータベース作れって書いてけどまずは!
動作確認
--== Initialization Complete ==--
,,_ -*> Snort! <*-
o〝 )~ Version 2.4.3 (Build 26)
’ ’ ’ ’ By Martin Roesch & The Snort Team: http://www.snort.org/team.html
(C) Copyright 1998-2005 Sourcefire Inc., et al.
NOTE: Snort's default output has changed in version 2.4.1!
The default logging mode is now PCAP, use "-K ascii" to activate
the old default logging mode.
すごい豚が出てきた!
MySQLデータベースの作成
webminあたりでsnortのユーザとデータベースを作成し
zcat /usr/share/doc/snort-2.4.3-r1/schemas/create_mysql.gz | mysql -p snort
を実行
よく考えたらPostgreSQLでも良かったな〜なんて!
confファイルの修正
gentooez8 ~ # vi /etc/snort/snort.conf
@@ -568,7 +579,7 @@
# See the README.database file for more information about configuring
# and using this plugin.
#
−# output database: log, mysql, user=root password=test dbname=db host=localhost
+ output database: log, mysql, user=snort password=xxxxxxxxxxxxxxxx dbname=snort host=localhost
# output database: alert, postgresql, user=snort dbname=snort
# output database: log, odbc, user=snort dbname=snort
# output database: log, mssql, dbname=snort user=snort password=test
サービスの起動
gentooez8 ~ # /etc/init.d/snort start
OKならばrc-update add snort defaultしておく
解析
パッケージの確認!
gentooez8 ~ # emerge -pv acid
These are the packages that I would merge, in order:
Calculating dependencies
!!! All ebuilds that could satisfy "acid" have been masked.
!!! One of the following masked packages is required to complete your request:
- net-analyzer/acid-0.9.6_beta23 (masked by: ~x86 keyword)
- net-analyzer/acid-0.9.6_beta23-r1 (masked by: ~x86 keyword)
For more information, see MASKED PACKAGES section in the emerge man page or
refer to the Gentoo Handbook.
こんなんでたらこんなんで!ぽん
gentooez8 # ACCEPT_KEYWORDS="~x86" emerge -pv acid
These are the packages that I would merge, in order:
Calculating dependencies ...done!
[blocks B ] dev-php/mod_php (is blocking dev-lang/php-5.1.2)
[blocks B ] dev-php/php (is blocking dev-lang/php-5.1.2)
[blocks B ] dev-php/mod_php (is blocking dev-lang/php-4.4.2)
[blocks B ] dev-php/php (is blocking dev-lang/php-4.4.2)
[ebuild N ] app-admin/php-toolkit-1.0-r2 0 kB
[ebuild N ] dev-lang/php-5.1.2 -adabas -apache +apache2 -bcmath +berkdb -birdstep +bzip2 -calendar -cdb -cgi +cjk -cli +crypt -ctype +curl -curlwrappers -db2 -dba -dbase -dbmaker -debug -discard-path -doc -empress -empress-bcs -esoob +exif -fastbuild -fdftk -filepro -firebird -flatfile -force-cgi-redirect -frontbase -ftp +gd -gd-external +gdbm +gmp -hardenedphp -hash -hyperwave-api -iconv +imap -informix -inifile -interbase -iodbc +ipv6 -java-external +kerberos +ldap -libedit -mcve -memlimit +mhash -ming -msql -mssql +mysql +mysqli +ncurses +nls -oci8 -oci8-instant-client +odbc -pcntl +pcre -pdo -pdo-external -pic -posix +postgres -qdbm +readline -recode -reflection -sapdb +sasl -session -sharedext -sharedmem -simplexml -snmp -soap -sockets -solid +spell -spl -sqlite +ssl -sybase -sybase-ct -sysvipc -threads -tidy -tokenizer +truetype -vm-goto -vm-switch -wddx +xml -xmlreader -xmlrpc -xmlwriter -xpm -xsl -yaz -zip +zlib 6,178 kB
[ebuild N ] dev-php/adodb-4.72 416 kB
[ebuild N ] app-arch/cabextract-1.1 183 kB
[ebuild N ] media-fonts/corefonts-1-r2 +X 0 kB
[ebuild N ] dev-lang/php-4.4.2 -adabas -apache +apache2 -bcmath +berkdb -birdstep +bzip2 -calendar -cdb -cgi +cjk -cli +crypt -ctype +curl -db2 -dba -dbase -dbmaker -dbx -debug -discard-path -doc -empress -empress-bcs -esoob +exif +expat -fastbuild -fdftk -filepro -firebird -flatfile -force-cgi-redirect -frontbase -ftp +gd -gd-external +gdbm +gmp -hardenedphp -hyperwave-api -iconv +imap -informix -inifile -interbase -iodbc +ipv6 -java-external -java-internal +kerberos +ldap -libedit -mcal -mcve -memlimit +mhash -ming -mnogosearch -msql -mssql +mysql +ncurses +nls -oci8 -oci8-instant-client +odbc -oracle7 -overload -ovrimos -pcntl +pcre -pfpro -pic -posix +postgres +readline -recode -sapdb -session -sharedext -sharedmem -snmp -sockets -solid +spell -sqlite +ssl -sybase -sybase-ct -sysvipc -threads +tiff -tokenizer +truetype -wddx +xml -xmlrpc -xpm -xsl -yaz -zip +zlib 4,282 kB
[ebuild N ] dev-php4/jpgraph-1.20.2 +truetype 4,423 kB
[ebuild N ] net-analyzer/acid-0.9.6_beta23-r1 +apache2 +vhosts 113 kB
Total size of downloads: 15,597 kB
これはdev-php/mod_phpとdev-php/phpがブロックしている。通常はこれらを削除してインストールすればOKなのだが、今回はやめてバックアップ機にインストールすることにした。
つまりメイン機で収集した情報(MySQLデータ)をバックアップ機が解析するって感じで。
コメント
とか (2006年04月10日 10:57:43)
なんあだ。赤いウクレレって!
bouichi (2006年04月10日 13:06:29)
これ結婚式の引き出物で。まあ引き出物に赤いウクレレを使う人は、そうはいませんから、例のカタログのやつで家族の意見をまったく無視して私がいただいたのです。
気になるのは音でしょうか? いっくらチューニングしても一番太い開放弦がフラットしますね。でもまあそこそこ楽しめます。現在The tide is highを比嘉栄昇さんみたいに無理ですが。もちろんビールはDRAFT ONE?はーこれはその他雑種でしたね。
気になるのは音でしょうか? いっくらチューニングしても一番太い開放弦がフラットしますね。でもまあそこそこ楽しめます。現在The tide is highを比嘉栄昇さんみたいに無理ですが。もちろんビールはDRAFT ONE?はーこれはその他雑種でしたね。
コメント送信
このアイテムは閲覧専用です。コメントの投稿、投票はできません。