以前、頻繁に落ちるので止めていたsnortですが、バージョンが2.0.0から2.1.1に上がっていたのでバージョンアップしてみました。
設定ファイルも微妙に新しくなっていたので、新しいものをベースに以前の設定と同じように変更します。
が、起動しません。「tun0_ADDRESSなんて変数は知らないよ」って言われます。
そこで、とりあえずIPアドレスを直接書き込んでみたら、なんとか起動したみたいです。
うちの設定では、/var/log/snortとpostgresにログが溜まるようになっていて、acidで見れるようになっています。
acidから、以前のデータを全て消してみて、ただいまalert0件の状態。果たして、今回はちゃんと動くのでしょうか?

それ以前に、HOME_NETとEXTERNAL_NETの意味を調べなくっちゃ~。
と思って調べていたら、日本 Snort ユーザ会(Japan Snort Users Group)なんてものが立ち上がっていました。
あとは、うちの場合だと、標準のルールセットだと local → local のアクセスが大量にalertとして警告されてしまうので、local.rulesに以下の記述を足してあったのですが、
pass ip 210.254.71.72 any > 210.254.71.72 any
どうも2.1.1では書式が変わったらしく、
pass ip 210.254.71.72 any -> 210.254.71.72 any
のように修正しました。
何故か、syslog経由のログが出なくなってしまったんだけど・・・(汗)

なんとなくは動いているようなので、acidで見てみたところ、グラフが出ません。
pukiwikiなんかを入れたときにphpを入れなおして、gdサポートがなくなってしまった模様。
そこで、mod_php4 に WITH_GDを付けて再インストール。
これで、一応グラフも出るようになりました。

カテゴリ

,

トラックバック(0)

このブログ記事を参照しているブログ一覧: snort復活

このブログ記事に対するトラックバックURL: https://www.wizard-limit.net/cgi-bin/mt/mt-tb.cgi/253

コメントする

このブログ記事について

このページは、falseが2004年3月16日 14:55に書いたブログ記事です。

ひとつ前のブログ記事は「Tripwireの変更」です。

次のブログ記事は「ウィルス対策」です。

最近のコンテンツはインデックスページで見られます。過去に書かれたものはアーカイブのページで見られます。

広告

Powered by Movable Type 6.1.1