[vine-users:080843] Re: <ご教授願い>Vine5.2へのsnortの導入手法

Hajime Satono hsatono @ iodata.jp
2011年 2月 20日 (日) 22:14:06 JST


岸様。

里野@金沢です

On 2011/02/20 20:11,, swing4jazzy @ gmail.com-san wrote:
> 確かに紛らわしい表現だったかも知れません。修正しておきました。
	・
> このような指摘はありがたいです。自分でも試行錯誤状態でメモってますので、
> いつの間にかどこにいるのやら分からなくなってしまう事はよくあります(汗。
> 次のようにコマンドを変えておきました。

ありがとうございます、後に続く道迷い者が少なくなれば幸いです(笑)

>> −−−−−−−−−−−−
>> データベースライブラリがロードできません:  from
>> "/home/httpd/html/adodb/adodb.inc.php"
>>
>> データベース抽象ライブラリのパスを確認してください ($DBlib_path) in
>> base_conf.php
>>
>> データベースライブラリはADODBを使用しています。ダウンロードはこちら→
>> http://adodb.sourceforge.net/
>> −−−−−−−−−−−−
> このエラーは、上記に出ている通りだと思うのですが・・・
> 
> base_conf.php の中の $DBlib_path は /home/httpd/html/adodb になっているのですよね?

今ほど再確認しました。

/home/httpd/htpl/base/base_conf.php
の内容ですが

「$DBlib_path = '/home/httpd/html/adodb';」

となってます。。
ひょっとしてこれもシングルクォーツでの囲みが要らないとかって
オチでしょうか(^^;)?

でも他の行の「$DBtype = 'mysql';」とかの事例からはそうは見えないです。

> 里野@金沢さんの場合は、やはりパスの問題だと思うのですが、今一度ご確認
下さい。

・・・とのことで、しげしげと眺めていたら気づきました。
パスが違う(^^;;)

adodbは
/home/httpd/html/adodb/
ではなく
/home/httpd/html/base/adodb/
に存在していました_(_ _;;)_

早速
/home/httpd/htpl/base/base_conf.php
の当該箇所を修正して

>● BASE の確認
>http://サーバアドレス/base/ へアクセス

からリスタート。。動きました(^^;)

次に進みます。
「● ルールファイルの自動更新 」

$ cd rpm/SOURCES/
$ wget http://sourceforge.net/projects/oinkmaster/files/oinkmaster/2.0/
oinkmaster-2.0.tar.gz/download

$ cd ../BUILD/
$ tar zxvf ../SOURCES/oinkmaster-2.0.tar.gz
$ sudo cp oinkmaster-2.0/oinkmaster.pl /usr/local/bin
$ sudo cp oinkmaster-2.0/oinkmaster.conf /etc/
$ sudo cp oinkmaster-2.0/oinkmaster.1 /usr/share/man/man1/

(全て成功)

「Oinkmaster の設定」
(修正)

「Oinkmaster の確認」

-----------------------------
url = http://www.snort.org/pub-bin/oinkmaster.cgi/ここに手に入れたOink
Code貼り付け/
snortrules-snapshot-2900.tar.gz
-----------------------------
一旦ハマりましたが解決。。。これは途中改行しちゃいけないんですね(^^;)

(全て成功)

「Oinkmaster の cron 登録」
$ sudo vi /etc/cron.daily/snort-rule-update

「snort-rule-update」を新規作成。ここは改行必要ですね(^^)

ということで
「● 上記の設定で snort は動いているのですが・・・」
までたどり着けました。

長々とご指導いただき誠にありがとうございました_(_ _)_

ところでこれでsnortの導入は完了したと考えて良いのでしょうか?

ちなみにsnortは当たり前ですが、性悪説ベースでルール更新していると
思っておるのですが、portや一部のネットワークグループの為に
穴を開ける手法はご存じでしょうか?

自宅のLocalnetからは何の問題もないのですが、
例えば外部(会社とかでnetworkアドレスがある程度限定できる環境)から
Webmin(デフォルトPort:10000)へのアクセスをしたいとかって時、
snortを動かしている環境ではportへのアクセスが通りません。

メジャーな確認手法では・・・

http://www.cman.jp/network/

・・・からアクセスした場合、iptablesのみの設定だったときは
port10000がオープンしている事を確認できたのですが、
snortが起動してからはNGとなってしまいます。

このあたりのコントロール設定はどのようにしたら良いのでしょう?
若干ググってみたのですが、いまいち解りかねてます。

また、逆にwebmin-snortといったモジュールもある模様ですが、
このあたりの情報もお持ちでしたらご教授願えれば幸いです_(_ _)_

	By Hajime-Satono / hsatono @ iodata.jp


vine-users メーリングリストの案内