前回は、Snortに必要な関連プログラムおよび本体のコンパイルとインストールまでを行った。今回は、インストール後に行う作業として挙げた項目のうち前回できなかった分を、順に消化していくことにする。●インストール後の作業の確認 まず、インストール後に行う作業について確認しておこう。だいたい以下の通りだったはずだ。1.ルールセットおよび設定ファイル等の保存フォルダの作成2.ルールセットおよび設定ファイル等のコピー3.ログファイルの出力先フォルダの作成4.設定ファイル(snort.conf)の修正5.専用ユーザーの作成6.関連フォルダのパーミッションの変更 1と2については前回完了しているので、今回はログファイルの出力先フォルダの作成からである。●ログフォルダの作成と設定ファイルの修正 ログファイルは、通常、/var/log/snortに作成される。このフォルダの作成は以下の通りだ。前回からの流れで、作成はroot権限で行う。# mkdir /var/log/snort 続いて、設定ファイルsnort.confの修正に移ろう。snort.confは、通常のテキストファイルである。主な修正点は、監視対象とするネットワークもしくはマシンのアドレスの指定と、ルールセットが格納されているフォルダのパスの指定だ。 さて、snort.confのようなテキストファイルの編集をLinux上で行う場合、viというテキストエディタを利用するのが一般的である。viは、Linuxをはじめ多くのUNIXに標準で搭載されており、UNIXの世界ではスタンダードなエディタだ。viの操作を覚えておけば、どのUNIX環境でも自由に設定ファイル等の編集ができるということから、システム管理者にはある意味で必須のアプリケーションといわれてきたものである。 ただ、カーソルの移動などを行う編集モードや文字を入力する挿入モードといった、独特の操作環境をマスターする必要がある。また、操作自体はキー中心で、Windowsのグラフィカルなエディタに慣れている身には、結構つらいかもしれない。 とはいっても、基本的なキー操作さえ覚えてしまえば、テキストファイルの編集などは最低限行えるようになるので、やっておいて損はないだろう。 まず、起動だが、コマンドラインから「vi」と入力すれば、ファイルを新規作成する状態で起動する。ファイルを指定して起動することも可能だ。snort.confの場合は、以下のように実行する。# vi /etc/snort/snort.conf これで、ターミナルの画面に、snort.confの内容が表示されるはずだ。起動直後の状態は「編集モード」といい、カーソルの移動や文字(行)の削除などが可能である。カーソルの移動は、通常の矢印キーでも行えるため、それほど難解ではない。 最初の編集箇所は「var HOME_NET」である(44行目)。ここには、監視対象とするネットワークもしくはマシンのアドレスを指定する。さらに、このすぐ下辺り(47行目)にある「var EXTERNAL_NET」も編集箇所だ。こちらには、「var HOME_NET」で指定されたアドレス以外のアドレス、すなわち不正なアクセスを行ってくると思われるアドレスもしくはネットワークを指定する。【執筆:磯野康孝】(詳しくはScan本誌をご覧ください)http://www.ns-research.jp/cgi-bin/ct/p.cgi?m-sc_netsec
