「エアコンの安全な修理・適切なフロン回収」はこちら

Fedora36 ; SNORT2 , Tripwire インストール

2022.10.18

SNORT インストール

Snortは、 Linuxで使える侵入検知システム(IDS)です。ネットワーク型IDSは、ネットワーク上を流れる通信の内容を監視し、攻撃を受けているか否かを検出します。ポートスキャンなどは「攻撃」というよりも「攻撃のための事前調査」とした方が表現としては適切かもしれません。ネットワーク型IDSは、このポートスキャンなども検知できます。また、疑わしい通信を検出することで、侵入などの被害を未然に防ぐことができます。

1.事前準備

①CodeReady Red Hat リポジトリを追加し、必要なソフトウェアをインストールする

②DAQ のインストール

③Lua のインストール

④偽のリリース ファイルを作成

2. Snort をダウンロード、コンパイル、インストール

偽のリリース ファイルを削除

3.グルーブとユーザー作成、必要なディレクトリー、ファイル作成

設定ファイルのセットアップ・・・すべてのファイルを構成ディレクトリにコピーします。

4.コミュニティルールの使用

①コミュニティルールを取得

②ルールを抽出し、構成フォルダーにコピー

コミュニティルールに含まれていないさまざまなルールファイルがある。
sedコマンドを使用して、不要な行をコメントアウトする。

5. 登録済みユーザールールの取得

Snortのウェブサイトに登録すると、Oink コードを使用して登録済みユーザールールをダウンロードできます。Oink コードは Snort ユーザーアカウントの詳細にあります。
次のコマンドのoinkcode を個人コードに置き換えます。

ダウンロードが完了したら、構成ディレクトリにルールを抽出

6. ネットワークおよびルールの構成

7. 設定の検証

パラメーター -T を使用して構成をテストし、テスト・モードを使用可能にします

エラーが出た場合該当のファイルを /etc/snort/rulesにコピーする
当方の場合、下記のファイルでエラーが出た

unicode.mapエラーが出る場合は

また、「/etc/snort/rules/snort.conf(322) => Invalid keyword '}'」エラーが出る場合
該当行
decompress_swf { deflate lzma } \  をコメントにしてください
# decompress_swf { deflate lzma } \

8. 構成のテスト

①Snort がアラートをログに記録しているかどうかをテストするには、着信 ICMP 接続に関するカスタム検出ルールアラートを local.rules ファイルに追加します。

②コンソールで Snort を起動し、アラートを stdout に出力します。正しいネットワーク インターフェイス(eth0 など)を選択する必要があります

9. バックグラウンドで Snortを実行する

①Snort のスタートアップスクリプトを作成

②サービスを定義した後、systemctl デーモンを再ロードし実行する

Tripwire インストール

1.インストール

2.初期設定

サイトパスフレーズとローカルパスフレーズを設定する

3.Tripwire の設定

①設定ファイル編集

②Tripwire 設定ファイル(暗号署名版)を作成

③Tripwire 設定ファイル(テキスト版)削除

④ポリシーファイル設定

twpolmake.plの内容

⑤ポリシーファイル最適化

⑥最適化済ポリシーファイルを元に、ポリシーファイル(暗号署名版)作成
⑦データベースを作成、動作確認

テスト用ファイルを作成

Tripwire の動作確認

テスト用ファイルを削除

⑧Tripwire 定期実行スクリプト

tripwire.shの内容
⑨Tripwire 自動実行スクリプト実行設定

参考: メールで結果報告用スクリプト

タイトルとURLをコピーしました