Snort インストール

Linuxサーバー

以下、snort-2.9.0.2で動作確認した内容となります。

Snort最新版をCentOS5等にインストールする場合、CentOS5のlibpcapのバージョンが0.9.4なのに対して、Snort2.9ではlibpcap 1.0以上が必要になります。

CentOS5オリジナルのlibpcapとlibpcap1.0以上を共存するようにインストールすることも可能ですが、インストール作業は複雑になります。
ソースコードからコンバイルして依存ライブラリをスタティックリンクすると比較的簡単にインストールできます。

以下インストール先をデフォルトの/usr/local/にした場合のconfigになります。

• daq-0.4のインストール

 # wget http://www.snort.org/dl/snort-current/daq-0.4.tar.gz -O daq-0.4.tar.gz
 # tar zxvf daq-0.4.tar.gz
 # cd daq-0.4
 # ./configure --enable-static --with-libpcap-includes=/usr/local/include \
 --with-libpcap-libraries=/usr/local/lib
 # make
 # make install

• snort-2.9.0.2のインストール

 # wget http://www.snort.org/dl/snort-current/snort-2.9.0.2.tar.gz -O snort-2.9.0.2.tar.gz
 # tar zxvf snort-2.9.0.2.tar.gz
 # cd snort-2.9.0.2
 # ./configure --enable-ipv6 --enable-gre --enable-mpls --enable-targetbased \
 --enable-decoder-preprocessor-rules --enable-ppm --enable-perfprofiling --enable-zlib \
 --enable-dynamicplugin --enable-reload --enable-reload-error-restart \
 --enable-perfprofiling --with-mysql \
 --with-daq-includes=/usr/local/include --with-daq-libraries=/usr/local/lib \
 --with-libpcap-includes=/usr/local/includes --with-libpcap-libraries=/usr/local/lib 

• snortルールの取得

 # wget http://www.snort.org/reg-rules/snortrules-snapshot-2901.tar.gz/<OINKCODE> -O snortrules-snapshot-2901.tar.gz

なお、下記のように、libpcapを使わずにsnortを実行することも可能です。

 snort --daq afpacket -i eth0 -vde -c /etc/snort/snort.conf

参考
http://seclists.org/snort/2010/q4/119

共有:

• クリックして Twitter で共有 (新しいウィンドウで開きます)
• Facebook で共有するにはクリックしてください (新しいウィンドウで開きます)
• クリックして Google+ で共有 (新しいウィンドウで開きます)

いいね:

いいね 読み込み中...

関連