2004年3月16日アーカイブ

以前Tripwireをインストールして、1日一回ファイルシステムをチェックしている。
で、1週間に一回cvsupで/usr/srcと/usr/portsを更新しているので、その日が過ぎるとtripwireが大量に「ファイルが変わったぜ～！！」とメールを出してくる。
結局、レポートを読むのも面倒なので、メールを読まずに捨ててしまい、tripwireを動かしている意味がないじゃーん状態だった。
そこで、もうちょっとなんとかしようと思い、twpol.txtを修正して/usr/srcのチェックをやめることにした。（このページを読んでいるあなた！だからと言ってうちに侵入してsrcを書き換えてbackdoorを作ってやろうなどと考えないように）
これで、もうちょっと真面目にメールを読むようになるかしらん・・・。

以前、頻繁に落ちるので止めていたsnortですが、バージョンが2.0.0から2.1.1に上がっていたのでバージョンアップしてみました。
設定ファイルも微妙に新しくなっていたので、新しいものをベースに以前の設定と同じように変更します。
が、起動しません。「tun0_ADDRESSなんて変数は知らないよ」って言われます。
そこで、とりあえずIPアドレスを直接書き込んでみたら、なんとか起動したみたいです。
うちの設定では、/var/log/snortとpostgresにログが溜まるようになっていて、acidで見れるようになっています。
acidから、以前のデータを全て消してみて、ただいまalert0件の状態。果たして、今回はちゃんと動くのでしょうか？

それ以前に、HOME_NETとEXTERNAL_NETの意味を調べなくっちゃ～。

なんとなく、ウィルス対策もしてみることにする。
動機は、spamを少しでもこれではじけるんじゃないかと言うもの。
freeのウィルス対策ソフトでは、H+BEDV って言うのと、f-prot って言うのが有名らしい。
（OpenAntiVirusって言うのも見つけたんだけど、どうもウィルス定義ファイルが更新されてないっぽいので見送った）
で、今回はこのf-protって言うのと、AmaVisって奴と、postfixを組み合わせてメールのウィルス対策をしてみたいと思う。