IDSを使ったLinuxセキュリティアップ入門(2) | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2018.11.14(水)

IDSを使ったLinuxセキュリティアップ入門(2)

 前回は、Snort本体の入手について説明したところまでだった。今回は、Snortのインストールに着手する前に済ませておくべき準備と便利ツールについて説明していきたい。

特集 特集
 前回は、Snort本体の入手について説明したところまでだった。今回は、Snortのインストールに着手する前に済ませておくべき準備と便利ツールについて説明していきたい。


●Linux上の操作について

 本題に入る前に、Linux上の操作について若干補足しておこう。前回、Snortの公式サイト( http://www.snort.org/ )からSnort本体とルールセットのアーカイブファイルをダウンロードした。このとき、単にサイトにアクセスしダウンロードするといった記述しかしていなかったが、具体的には、ブラウザを使ってサイトにアクセスし、そこからダウンロードしたのである。つまり、X Windowを起動し、GUI環境下でダウンロードを行ったのだ。

 Windows環境ではGUIが前提なので、ダウンロードといえばブラウザを使った方法が一般的である。しかし、LinuxのようなキャラクタベースのOSでは、コマンドラインからFTPを使ってダウンロードする方法もポピュラーだ。従来、Linux系記事の解説などでは、この方法による手順説明が多い。FTPはファイル転送に特化したプロトコルであり、ファイルをダウンロードするだけならHTTPを利用するより簡単で高速である。ただ、本稿では、ビギナー管理者を前提にするということで、GUIで可能なものはできるだけGUIで処理していきたいと考えている。ファイルのダウンロードなどは、その最右翼といっていいだろう。処理が軽い、早いといっても、コマンドラインでURLやファイル名を打ち込むのは結構つらい。GUIベースでブラウザを使えば、バージョンを間違えることもないだろうし、ついでに一般的なテキスト情報も入手できるというものだ。

 無論、すべてをGUIで行うことも、現状でのLinuxの機能では難しい面もある。そのような場合は、ターミナルウィンドウを使ってコマンドラインで処理をしていく。

 ちなみに、X WindowによるGUI環境は、インストール時にXの利用を選択しておけば基本的に組み込まれているはずだ。起動オプションで、直接、gnomeなどのデスクトップが起動しないようになっている場合に、コマンドラインからX Windowを起動させるには、適当なユーザでログイン後、以下のようにコマンドを実行する。

$ startx

 これでデスクトップが表示される。
 このとき表示されるのは、通常、ログインしたユーザのホームフォルダになる。デスクトップにある「○○のホーム(○○はユーザ名)」というアイコンをダブルクリックすると、ファイルマネージャが起動しホームフォルダの中を表示してくれる。もちろん、現時点では何もないはずだ。Snortの関連アーカイブファイルは、このホームディレクトリ上にダウンロードし保存しておこう。
 なお、本稿では、とりあえずuser01というユーザーを作成し、このユーザを使って操作手順を説明していくつもりである。


●Snortを効率的に利用するためのツール

 さて、次にSnortを効率よく運用・管理するためのツールについて見てみよう。
 Windows版Snortの解説のときにも書いたことだが、Snortは高機能な上にキャラクタベースのプログラムであるため、ビギナー管理者にとってはかなり扱いづらいものといえる。また、当然のことながら、攻撃情報や各種のログを分かりやすく表示する機能や、ルールセットを自動的に更新してくれる機能などもない。こういった機能は、商用のIDSなら最低限備わっているものだ。ログの表示やルールセットの自動更新などは、ビギナーのみならずとも欲しい機能だろう。
 そこで登場するのが、Snortと連携するフリーツールである。どのようなものがあるのか簡単に分類すると、以下のようになる。

・管理コンソール
・ログ解析
・シグネチャ(ルールセット)管理


【執筆:磯野康孝】

(詳しくはScan本誌をご覧ください)
http://www.ns-research.jp/cgi-bin/ct/p.cgi?m-sc_netsec

《ScanNetSecurity》

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

カテゴリ別新着記事

(。・ω・)ゞ !!11月末迄 ScanNetSecurity創刊20周年特別キャンペーン実施中。会員限定 PREMIUM 記事読み放題。現在通常料金半額以下!!
(。・ω・)ゞ !!11月末迄 ScanNetSecurity創刊20周年特別キャンペーン実施中。会員限定 PREMIUM 記事読み放題。現在通常料金半額以下!!

サイバーセキュリティの専門誌 ScanNetSecurity は 1998年の創刊から20周年を迎え、感謝を込めた特別キャンペーンを実施中。創刊以来史上最大割引率。次は30周年が来るまでこの価格はもうありません!

×