Snort 起動に関する設定・起動スクリプト作成

-c /etc/snort/snort.conf

設定ファイルを指定しています。これにより snort.conf に記述された設定が、初めて有効になります。 つまり " ネットワーク不正侵入検知モード "で snort を実行させる場合に、必要となるオプションです。注意して下さい。

---

-A fast
/var/log/snort/alert に出力されるログのレベルを指定します。
full fast unlock none
上記の例ではfastを指定していますが、この場合、/var/log/snort/alert に以下のように一行にまとめられます。

特に Swatch でリアルタイムにメール、スクリプト等アクションを起こしたい場合に有効です。

注意
この指定を行った場合、MySQLへの出力が機能しませんでした。また、syslog も無視されてしまうようです。ACID を利用する場合は注意して下さい。

---

-d
アプリケーションレイヤーを記録します。

---

-e
レイヤー2のパケットヘッダを記録します。

---

-D
デーモンモードで起動します。テスト段階でコンソール上で動作状況を確認したい場合は指定しません。このオプションは、動作検証後の運用段階で指定します。 -v
このオプションを指定した場合、コンソール上にパケットを出力します。動作確認を行う段階で指定します。負荷が高い上、パケットの取りこぼしが発生するため、通常の運営には指定してはいけません。

---

-l /var/log/snort/ （小文字のエル）
ログディレクトリの指定します。

---

-i eth0
パケットを監視するインターフェイスを指定します。複数のインターフェイスに飛んで来るパケットを監視したい場合は、 -i any とします。この場合、全てのインターフェースが対象となります。（any は kernelバージョンに依存します。FC2、CentOS は問題ありません）

---

-o
lert → Pass → Log の評価順を Pass → Alert → Logの順に変更します。これにより、 local.rules などで pass アクションを指定し、特定のネットワークを除外するような設定を行った場合、pass アクションが有効に機能します。pass アクションについては後述します。

---

-p
プロミスキャスモードを無効にします。これを有効にした場合、自分宛てに届くパケット以外は破棄されるため、自ホストのみが監視対象となります。内部の盗聴行為の監視が必要がない、監視するサーバーが自身のみの場合に使用します。

---

-z
stream4 プリプロセッサを有効にします。ハッカーが管理者の目を詐くための連続するダミー攻撃を回避します。以下のサイトで解り易く解説されています。

参考URL => Snortへの攻撃とその対策

#!/bin/sh
#
# Startup script for the Snort IDS
#
# chkconfig: 345 91 35
# description: Snort IDS system.
# processname: snort
# pidfile: /var/run/snort_eth0.pid

# Source function library.
. /etc/rc.d/init.d/functions

SERVER="/usr/local/snort/bin/snort"
ARGS="-i eth0 -Ddeoz -u snort -g snort -c /etc/snort/snort.conf -l /var/log/snort"

# See how we were called.
case "$1" in
　　　start)
　　　　　echo -n "Starting snort: "
　　　　　daemon "$SERVER $ARGS"
　　　　　echo
　　　　　touch /var/lock/subsys/snort
　　　　　;;
　　　stop)
　　　　　echo -n "Shutting down snort: "
　　　　　killproc snort
　　　　　echo
　　　　　rm -f /var/lock/subsys/snort
　　　　　;;
　　　restart)
　　　　　$0 stop
　　　　　$0 start
　　　　　;;
　　　　　*)
　　　　　echo "Usage: $0 {start|stop|restart}"
　　　　　exit 1
esac

exit 0