このスレッドは未解決です(解決したらこちらで解決済にしてください)
<<戻る

Snortについて このメッセージに返信する
日時: 2009/06/20 18:07
名前: aki
URL:
Snortを新規インストールしてみました。

[root@centos ~]# wget http://dl.snort.org/snort-current/snort-2.8.4.1.tar.gz

[root@centos ~]# rpmbuild -tb --clean snort-2.8.4.1.tar.gz

[root@centos ~]# rpm -Uvh /usr/src/redhat/RPMS/i386/snort-2.8.4.1-1.i386.rpm

[root@centos ~]# rm -f /usr/src/redhat/RPMS/i386/snort-*

[root@centos ~]# rm -f snort-2.8.4.1.tar.gz

/etc/yum.conf /etc/snort/snort.confの編集

Snortルールファイルセットアップ

[root@centos ~]# tar zxvf snortrules-snapshot-CURRENT.tar.gz

[root@centos ~]# /bin/cp -r rules/* /etc/snort/rules/

[root@centos ~]# rm -f snortrules-snapshot-CURRENT.tar.gz

/etc/logrotate.d/snortの編集

Snort起動

PerlのTime-modulesインストール

/etc/yum.confの編集

SnortSnarfインストール

[root@centos ~]# wget http://jaist.dl.sourceforge.net/sourceforge/snortsnarf/SnortSnarf-1.0.tar.gz

[root@centos ~]# tar zxvf SnortSnarf-1.0.tar.gz

[root@centos~]# cp SnortSnarf-1.0/snortsnarf.pl /usr/local/snortsnarf/

[root@centos ~]# cp -r SnortSnarf-1.0/include/ /usr/local/snortsnarf/

[root@centos ~]# rm -rf SnortSnarf-1.0*

SnortSnarf設定

Webサーバー設定

nortSnarf実行スクリプト作成

SnortSnarf確認

SnortSnarf日本語化

SnortSnarf文字化け対策  1580行目位(探すの面倒なので一応記載)

SnortSnarf定期自動実行設定


ルールファイルの自動更新

[root@centos ~]# vi /etc/oinkmaster.conf
url = http://www.snort.org/pub-bin/oinkmaster.cgi/<oinkcode>/snortrules-snapshot-2.8.tar.gz

一行だけ追記

Oinkmaster確認

[root@centos ~]# oinkmaster.pl -o /etc/snort/rules/
Loading /etc/oinkmaster.conf
Downloading file from http://www.snort.org/pub-bin/oinkmaster.cgi/*oinkcode*/snortrules-snapshot-2.8.tar.gz... done.
Archive successfully downloaded, unpacking... done.
Setting up rules structures...
WARNING: duplicate SID in your local rules, SID 3017 exists multiple times, you may need to fix this manually!
done.
Processing downloaded rules... disabled 0, enabled 0, modified 0, total=8150
Setting up rules structures...
WARNING: duplicate SID in your local rules, SID 3017 exists multiple times, you may need to fix this manually!
done.
Comparing new files to the old ones... done.
Updating local rules files... done.

[***] Results from Oinkmaster started 20090620 16:15:33 [***]

[*] Rules modifications: [*]
None.

[---] Removed non-rule lines: [---]

-> Removed from exploit.rules (9):
### OLD VERSION
### len = 192 (max len for name) + 12 bytes of other headers
### this may false positive... please send pcap to bmc@snort.org
### new version : this version uses a complicated pcre to validate that the
### values for write are within the appropriate ranges:
### * W2K Server: 0x05371E90 - 0x05373070
### * W2K3 Server: 0x00000000 - 0x00000041
### * NT Server 4: 0x026805C0
### * Oh, and 0x00000000

[*] Added files: [*]
None.


何だかよく分からないがWARNINGがあったので再度実行

[root@centos ~]# oinkmaster.pl -o /etc/snort/rules/
Loading /etc/oinkmaster.conf
Downloading file from http://www.snort.org/pub-bin/oinkmaster.cgi/*oinkcode*/snortrules-snapshot-2.8.tar.gz... done.
Archive successfully downloaded, unpacking... done.
Setting up rules structures... done.
Processing downloaded rules... disabled 0, enabled 0, modified 0, total=8150
Setting up rules structures... done.
Comparing new files to the old ones... done.

[***] Results from Oinkmaster started 20090620 16:40:55 [***]

[*] Rules modifications: [*]
None.

[*] Non-rule line modifications: [*]
None.

[*] Added files: [*]
None.

こんな感じになりました。
一応、参考までに・・・

記事編集 編集

Page: | 1 | 2 | 3 |

Page: | 1 | 2 | 3 |

件名※必須
名前※必須
URL
任意のパスワード (投稿後のコメント修正・削除時に使用)
画像認証※必須 投稿キー(画像で表示されている数字を入力)
コメント※必須

※質問を投稿後に自己解決された場合は、原因と行った対処を具体的に書き込み下さるよう、よろしくお願いします。

- WEB PATIO -