以前、頻繁に落ちるので止めていたsnortですが、バージョンが2.0.0から2.1.1に上がっていたのでバージョンアップしてみました。
設定ファイルも微妙に新しくなっていたので、新しいものをベースに以前の設定と同じように変更します。
が、起動しません。「tun0_ADDRESSなんて変数は知らないよ」って言われます。
そこで、とりあえずIPアドレスを直接書き込んでみたら、なんとか起動したみたいです。
うちの設定では、/var/log/snortとpostgresにログが溜まるようになっていて、acidで見れるようになっています。
acidから、以前のデータを全て消してみて、ただいまalert0件の状態。果たして、今回はちゃんと動くのでしょうか?
それ以前に、HOME_NETとEXTERNAL_NETの意味を調べなくっちゃ~。
設定ファイルも微妙に新しくなっていたので、新しいものをベースに以前の設定と同じように変更します。
が、起動しません。「tun0_ADDRESSなんて変数は知らないよ」って言われます。
そこで、とりあえずIPアドレスを直接書き込んでみたら、なんとか起動したみたいです。
うちの設定では、/var/log/snortとpostgresにログが溜まるようになっていて、acidで見れるようになっています。
acidから、以前のデータを全て消してみて、ただいまalert0件の状態。果たして、今回はちゃんと動くのでしょうか?
それ以前に、HOME_NETとEXTERNAL_NETの意味を調べなくっちゃ~。
と思って調べていたら、日本 Snort ユーザ会(Japan Snort Users Group)なんてものが立ち上がっていました。
あとは、うちの場合だと、標準のルールセットだと local → local のアクセスが大量にalertとして警告されてしまうので、local.rulesに以下の記述を足してあったのですが、
何故か、syslog経由のログが出なくなってしまったんだけど・・・(汗)
なんとなくは動いているようなので、acidで見てみたところ、グラフが出ません。
pukiwikiなんかを入れたときにphpを入れなおして、gdサポートがなくなってしまった模様。
そこで、mod_php4 に WITH_GDを付けて再インストール。
これで、一応グラフも出るようになりました。
あとは、うちの場合だと、標準のルールセットだと local → local のアクセスが大量にalertとして警告されてしまうので、local.rulesに以下の記述を足してあったのですが、
pass ip 210.254.71.72 any > 210.254.71.72 anyどうも2.1.1では書式が変わったらしく、
pass ip 210.254.71.72 any -> 210.254.71.72 anyのように修正しました。
何故か、syslog経由のログが出なくなってしまったんだけど・・・(汗)
なんとなくは動いているようなので、acidで見てみたところ、グラフが出ません。
pukiwikiなんかを入れたときにphpを入れなおして、gdサポートがなくなってしまった模様。
そこで、mod_php4 に WITH_GDを付けて再インストール。
これで、一応グラフも出るようになりました。
トラックバック(0)
このブログ記事を参照しているブログ一覧: snort復活
このブログ記事に対するトラックバックURL: https://www.wizard-limit.net/cgi-bin/mt/mt-tb.cgi/253
コメントする