今日はServersmanにSnortの設定をしてみた。
基本的にセキュリティ対策なんぞは、hosts.allowでOKと思う私。
だって、必要最低限を許可して他を拒否すればいいし、パスワードをスーパー長くして
自身のシェルログインは極力公開鍵認証を使うしさ。
ま、とにかく物は試し。それに知識と経験が増えることはいいことだ。
で、インストールをして動かしてみた。
参照元URL:http://centossrv.com/snort-base.shtml
若干の情報の老朽化を感じるが、そこはグーグル先生に教えてもらうことにして・・・
とにかくインストールできた!
しかし、起動をすると/var/log/messagesに以下のエラー+起動できない。
Jul 21 12:35:01 trippyboy snort[9382]: Initializing Network Interface eth0
Jul 21 12:35:01 trippyboy snort[9382]: FATAL ERROR: OpenPcap() device eth0 open: ioctl: No such device
/etc/sysconfig/snort にて「INTERFACE=eth0」となっているため、んなの無いとのエラー。
OpenVZ環境ではここはvenet0:0が相応しい(ifconfigで確認)。
「INTERFACE=venet0:0」という記述に変えて起動成功。
感想としてSnortとかその他のセキュリティ対策があるけれど、複数を組み合わせて
監視だけでなく、リアルタイム対応も出来るといいなと思った。
その点Swatchは簡単、シンプルで改造が出来る点お勧めです。
コメント