1. APM이 구축되어 있는 LINUX 서버에서
2. yum install libpcap* // 별로 오래걸리지 않음
3. yum install pcre* // 역시 금방 설치됨
4. www.snort.org에서 GET SNORT -> STABLE 을 DOWNLOAD 함
5. snort-2.8.x의 압축을 풀고 설치함
6. ./configure --with-mysql --prefix=/usr/local/snort
7. make; make install
8. mysql 에서 snort DB를 만들고 아래를 실행(물론 snort는 사용자가 snort이고, 모든 권한과 grant가 '예'로 설정한다)
13. http://www.filewatcher.com/p/snort-rules-default_2.3.3-11_all.deb.233592/etc/snort/rules.htm
위의 사이트에서는 debian 형태로 download가능하다. 느려서 나는 snort.conf에 include된 rule file을 모두 주석처리 했다.
14. Preprocessor 나 snort_dynamicengine/libsf_engine.so 의 경로가 틀렸다는 메세지, alert 로그 폴더나 파일이 없다는 메세지가 나오면 경로를 세팅해 주고, file과 directory를 생성해 주면 무리없이 아래의 명령으로 conf파일을 로딩하여 snort를 실행할 수 있다.
# vi 경로/snort.conf
아래 행을 찾아서 주석을 제거하면 mysql에 기록할 수 있다.
output database: log, mysql, user=snort password=snort비번 dbname=snort디비 host=localhost
output database: alert, mysql, user=snort password=snort비번 dbname=snort디비 host=localhost
# /usr/local/snort/bin/snort -c /home/archi/Download/snort-2.8.3.2/etc/snort.conf
*잘못 설치하여 재 설치 할 때,
초기 cofigurtion 경로 snort-2.x.x.x 에서
# make clean
한 후에, 6번부터 다시 실행 한다.
rule은 잘 모르겠다. 적어도 rules/ftp.rules 에
alert tcp $EXTERNAL_NET any -> $HOME_NET 21 (msg:"FTP EXPLOIT pro-ftpd Linux"; flow:to_server, established; content: "PWD"; reference:bugtraq,1387; reference:CVE,CAN-2000-0573; reference:arachnids,287; classtype:attempted-admin; sid:344; rev:4;)
위와 같이 추가하면, log를 남길 수 있다. 그런데, 알 수 없는 형태의 snort.log.xxxxxxxxx 파일이 생성되어 읽을 수 없다.
db test결과 data 테이블에 기록된 것을 확인 할 수 있었고, BASE를 통해 log를 읽을 수 있었다.
2. yum install libpcap* // 별로 오래걸리지 않음
3. yum install pcre* // 역시 금방 설치됨
4. www.snort.org에서 GET SNORT -> STABLE 을 DOWNLOAD 함
5. snort-2.8.x의 압축을 풀고 설치함
6. ./configure --with-mysql --prefix=/usr/local/snort
7. make; make install
8. mysql 에서 snort DB를 만들고 아래를 실행(물론 snort는 사용자가 snort이고, 모든 권한과 grant가 '예'로 설정한다)
#cd /root/snort-.2.X/schemas && ls -l
#less create_mysql
#scp create_mysql root@192.168.247.20:/root
#mysql -u root -p snort < create_mysql
9. nmap 설치(www.nmap.org)
rpm -vhU http://nmap.org/dist/nmap-4.85BETA7-1.i386.rpm
#namp -sV localhost
]
10. adodb를 받아서 apache/htdocs에 압축을 푼다.
wget http://nchc.dl.sourceforge.net/sourceforge/adodb/adodb496a.tgz
11. base를 받아서 역시 apache/htdocs에 압축을 푼다
wget http://jaist.dl.sourceforge.net/sourceforge/secureideas/base-1.3.8.tar.gz
(Basic Analysis and Security Engine 는 log분석기 같은데, db에 저장된 내용을 분석하는 듯 싶다.)
htdocs/base로 옮겨 웹으로 실행한다.
13. http://www.filewatcher.com/p/snort-rules-default_2.3.3-11_all.deb.233592/etc/snort/rules.htm
위의 사이트에서는 debian 형태로 download가능하다. 느려서 나는 snort.conf에 include된 rule file을 모두 주석처리 했다.
14. Preprocessor 나 snort_dynamicengine/libsf_engine.so 의 경로가 틀렸다는 메세지, alert 로그 폴더나 파일이 없다는 메세지가 나오면 경로를 세팅해 주고, file과 directory를 생성해 주면 무리없이 아래의 명령으로 conf파일을 로딩하여 snort를 실행할 수 있다.
# vi 경로/snort.conf
아래 행을 찾아서 주석을 제거하면 mysql에 기록할 수 있다.
output database: log, mysql, user=snort password=snort비번 dbname=snort디비 host=localhost
output database: alert, mysql, user=snort password=snort비번 dbname=snort디비 host=localhost
# /usr/local/snort/bin/snort -c /home/archi/Download/snort-2.8.3.2/etc/snort.conf
*잘못 설치하여 재 설치 할 때,
초기 cofigurtion 경로 snort-2.x.x.x 에서
# make clean
한 후에, 6번부터 다시 실행 한다.
rule은 잘 모르겠다. 적어도 rules/ftp.rules 에
alert tcp $EXTERNAL_NET any -> $HOME_NET 21 (msg:"FTP EXPLOIT pro-ftpd Linux"; flow:to_server, established; content: "PWD"; reference:bugtraq,1387; reference:CVE,CAN-2000-0573; reference:arachnids,287; classtype:attempted-admin; sid:344; rev:4;)
위와 같이 추가하면, log를 남길 수 있다. 그런데, 알 수 없는 형태의 snort.log.xxxxxxxxx 파일이 생성되어 읽을 수 없다.
db test결과 data 테이블에 기록된 것을 확인 할 수 있었고, BASE를 통해 log를 읽을 수 있었다.
댓글 달기