32nd Diary

トップ | 最新 | 過去の日記 | もっと過去の日記

2006年
12月
1 2
3 4 5 6 7 8 9
10 11 12 13 14 15 16
17 18 19 20 21 22 23
24 25 26 27 28 29 30
31
めーるあどれす
ruby -rbase64 -e'puts Base64.decode64 %q(dGFrYW5vMzJAZ21haWwuY29t)'



2006-12-22 (Friday) [長年日記]

[Linux][Security][Net] BASE + Snort

BASEとはSnortのアラート情報を表示するためのフロントエンドで,以前はACIDという名前で開発されていたソフトウェアの後継にあたります.

データベースの作成

まずはSnortのためのユーザを作成します. 閉じられていないネットワークなら権限の設定やパスワードの設定もしましょう.

GRANT ALL PRIVILEGES ON *.* TO snort@"%" WITH GRANT OPTION;
GRANT ALL PRIVILEGES ON *.* TO snort@"localhost" WITH GRANT OPTION;

接続してSnortのためのデータベースを作成します.

create database snort;
create database snort_archive;

インストール

まずは関連するパッケージを導入します.

yum install php-adodb jpgraph php-mysql

そして,BASEのインストールです.今回は横着してRPMを使います.

rpm -iv base-1.2.6-1.i386.rpm

/usr/share/base-php4 以下にいろいろインストールされます.

Apacheの設定ファイルもインストールされるので確認します.

cat /etc/httpd/conf.d/base-php4.conf

.htaccess で error_reporting の値を変更したいので,Optionsもくわえました.

Alias /base/ /usr/share/base-php4/
<Directory "/usr/share/base-php4">
        AllowOverride AuthConfig Options
</Directory>
cat .htaccess
php_value error_reporting 204

Snortの設定とデータベースの設定

ほいほいといじってみると

"Table 'snort.iphdr' doesn't exist"

というエラーでBASEがおこってます.

どうやらデータベースにSnortのデータが書き込まれていない様子. snort.confのdatabase行はもちろん,/etc/init.d/snortd を以下のように書き換える必要がありました.

- daemon /usr/sbin/snort -A fast -b -l /var/log/snort -d -D
+ daemon /usr/sbin/snort -b -l /var/log/snort -d -D

既定では -A fast というオプションで ALERTMODE を fast に設定しているため,データベースに書き込まれないようでした.

他,スキーマを実行してテーブルを作成します.

mysql -u snort snort < snort-2.6.1.2/schemas/create_mysql
mysql -u snort snort_archive < snort-2.6.1.2/schemas/create_mysql
mysql -u snort snort < base-php4/sql/create_base_tbls_mysql.sql
mysql -u snort snort_archive < base-php4/sql/create_base_tbls_mysql.sql

動作確認

これでようやく動きました. 不具合がある場合は /var/log/messages あたりを参考に対処するとよいでしょう. どうでもいいですが, base-php4 というディレクトリ名なのに PHP5 で動いているのは気持ち悪いなぁ.

グラフについては以下のように pear で必要なパッケージをインストールすれば書けるようになります.

pear install Image_Graph-0.7.2 Image_Canvas-0.3.0 Numbers_Roman Numbers_Words-0.15.0
本日のPingbacks(全0件)