極楽せきゅあブログ

ときどきセキュリティ

Snort2.8インストール

セキュリティ

sonodam2008-01-03

というわけでスニョートを動かしたいon CnetOS5.1。
でもそのためにはまずlibpcap(http://www.tcpdump.org/)必要。これyum installでは入らないみたいすね。まあそうかな。
で、makeするわけだけど、そうなるとlibpcapのためにはまずflex必要。なんかbisonも要るみたい。
あと、libpcre(http://www.pcre.org/)も必要。・・・といういつもの泥縄的依存関係解消な作業をしつつ、インストール。ちなみに、flexとbisonはyumでインストールしましたが、libpcreとlibpcapはソースからコンパイルインストールしました。
ここでようやくSnort本体をmakeし(make installはしない)、ルールをゲットしてきて解凍し、/var/log/snortディレクトリをこしらえてmakeディレクトリをカレントとして起動。あ、その前に一個だけ、etc/snort.confのモジュールのロード先を変えていたですよ。

# Load all dynamic preprocessors from the install path
# (same as command line option --dynamic-preprocessor-lib-dir)
#
#dynamicpreprocessor file /usr/local/lib/snort_dynamicpreprocessor/libsf_dcerpc_preproc.so
#dynamicpreprocessor file /usr/local/lib/snort_dynamicpreprocessor/libsf_dns_preproc.so
#dynamicpreprocessor file /usr/local/lib/snort_dynamicpreprocessor/libsf_ftptelnet_preproc.so
#dynamicpreprocessor file /usr/local/lib/snort_dynamicpreprocessor/libsf_smtp_preproc.so
#dynamicpreprocessor file /usr/local/lib/snort_dynamicpreprocessor/libsf_ssh_preproc.so
dynamicpreprocessor file /root/software/snort-2.8.0.1/src/dynamic-preprocessors/build/usr/local/lib/snort_dynamicpreprocessor/libsf_dcerpc_preproc.so
dynamicpreprocessor file /root/software/snort-2.8.0.1/src/dynamic-preprocessors/build/usr/local/lib/snort_dynamicpreprocessor/libsf_dns_preproc.so
dynamicpreprocessor file /root/software/snort-2.8.0.1/src/dynamic-preprocessors/build/usr/local/lib/snort_dynamicpreprocessor/libsf_ftptelnet_preproc.so
dynamicpreprocessor file /root/software/snort-2.8.0.1/src/dynamic-preprocessors/build/usr/local/lib/snort_dynamicpreprocessor/libsf_smtp_preproc.so
dynamicpreprocessor file /root/software/snort-2.8.0.1/src/dynamic-preprocessors/build/usr/local/lib/snort_dynamicpreprocessor/libsf_ssh_preproc.so

おわかりのとおり、makeしたディレクトリは/root/software/snort-2.8.0.1です。まあ、make installしちゃったら全部整合性とれるはずだし楽なんだけど、あとで掃海するのが面倒だしなあ。さらに言えば、configureのところでいじるのもちょっと気持ち悪いので(笑)。VMのスナップショットもそうやたらと増やしたくないしね。
いやぁ、なんだかいろいろ入れるのたいへんですね相変わらず>CentOS
とにかくブツが入ってない(まあ、だからこそサーバー用としてイイんだけどね)。追加で入れるのも基本的に操作はyumなので楽なんだけど、yumする先も増強せんと何とも足りないみたいだしね。
で、Snort以降はここらあたりの情報を頼りにしてリポジトリ追加してます。
CentOS 5.0 での yum repository の設定
って元旦あたりはdriesのリポジトリさんにアクセスできなかったんだけど、今はできるみたいですね。ニューイヤーカウントダウンとかでお休みしてたのかな(笑)。今もできないみたい。なんでじゃろ?行く先設定が違ってるのかな。