[Di]Snort+ACIDを入れる

トップページ> コンピュータ , 2004年11月06日

IDS(侵入感知システム）であるSnortと、そのデータをウェブ上で見ることのできるACIDをインストールしてみましょう。

MySQLをインストールする

snort-mysqlを使用するので、MySQLがインストールされていることが前提です。

#apt-get install mysql-client mysql-server

として、MySQLをインストールしておきましょう。（設定などはGoogle等で検索してお調べください）

Snortのインストール

Snortをインストールしましょう。
#apt-get install snort-mysql
これでインストールされます。
その間に3つ質問をされます。

On which interface snort shuld listen?

どのネットワークインターフェースを監視しますか？
ということです。通常はeth0です。

.....Please enter the address range that snort will listen on.

監視するネットワークの範囲を書けということです。
ルーターを解している場合は192.168.x.0/24の場合が多いです。
特殊なケースの場合は、IPアドレスとサブネットマスクを使用して自分で計算するか、問い合わせましょう。

Who should receive the daily statistic mails?

Snortは毎日「監視報告」みたいなメールを送ってくるのですが、そのメールをどのユーザーが受け取るか？というものです。初期設定ではrootとなっていますが、たとえば[info]というアカウントに受け取らせたい場合は、そのように指定します。

acidのインストール

acidを使用すると、ブラウザを使用して簡単に監視レポートを見ることができます。
#apt-get install acidlab
ここでも質問がされます。

ACIDlab supports any web server that .....

ようするに、ACIDはPHPがうごくいろんなサーバーをサポートしてるけど、この自動設定ではApacheかApache-ｓｓｌしかサポートしてないよ。どれ？
ってことです。
通常はＡｐａｃｈｅです。

ACIDlab supports MySQL, PostgreSQL, and MS....

どのデーターベースを使用しますか？というものです。
MySQLを前提としているので、MySQLを選択しましょう。

What is the name of your alart database name? ...

Snortのデータが格納されているDBはなんて名前？ということ。
あとで設定を変更しますので、ひとまずそのままにしてGo。

Which host does your alart database reside on? ...

データーベースのホスト名を入力しろ、と。
通常はlocalhostでOKです。

Which user dows ACIDLab need to connect...

データーベースへのアクセス時に使用するユーザーを選べ、と。
セキュリティ上問題がありそうですが、rootにしておきましょう。

What password should be used when...

前の質問で入力したユーザーのパスワードを入力してください。

What is the name of your archive database name?...

アーカイブデーターベースの名前は何？とのこと。
通常はsnort_archive。

Which host does your archive database reside on?

アーカイブデーターベースのあるホスト名を書け。と

Which user does acidlab need to...

さっき書いたユーザー名を記入します。

What password should be used when..

さっき書いたパスワードを記入します。
通常はlocalhostでOK.

MySQLを設定する

MySQLにsnort_logとsnort_archiveという二つのデーターベースを製作してください。

#mysql -u root -p
Enter Password: (パスワード）
mysql> create database snort_log;
mysql> create database snort_archive;

テーブルデータの製作

/usr/share/doc/snort-mysql/contribにパッチがありますので、それを当てます。
それにより、テーブルデータが製作されます。

# cd /usr/share/doc/snort-mysql/contrib
# zcat create_mysql.gz | mysql -u root -p -D snort_log
Enter password: (パスワード）
# zcat create_mysql.gz | mysql -u root -p -D snort_archive
Enter password: (パスワード)

Snortの設定変更

最後に、Snortの設定ファイルをいじり、変更しよう。

#vi /etc/snort/snort.conf

Step3の

#output database: log, mysql,....

というところのコメントアウトをはずし、

output database: log, mysql, user=root password=(パスワード） dbname=snort_log host=localhost

とする。
最後にSnortを再起動しよう。

#/etc/init.d/snort restart

この後、http://(サーバー名)/acidlab/にアクセスすると、Setup画面が出る。指示に従って設定を行う。

これで完成。

投稿者 admin : 2004年11月06日 21:42

トップページ | AudioScrobbler Now Playing »

現在の記事：Snort+ACIDを入れる