IDSを使ったLinuxセキュリティアップ入門（２）

　前回は、Snort本体の入手について説明したところまでだった。今回は、Snortのインストールに着手する前に済ませておくべき準備と便利ツールについて説明していきたい。

●Linux上の操作について

　本題に入る前に、Linux上の操作について若干補足しておこう。前回、Snortの公式サイト（ http://www.snort.org/ ）からSnort本体とルールセットのアーカイブファイルをダウンロードした。このとき、単にサイトにアクセスしダウンロードするといった記述しかしていなかったが、具体的には、ブラウザを使ってサイトにアクセスし、そこからダウンロードしたのである。つまり、X Windowを起動し、GUI環境下でダウンロードを行ったのだ。

　Windows環境ではGUIが前提なので、ダウンロードといえばブラウザを使った方法が一般的である。しかし、LinuxのようなキャラクタベースのOSでは、コマンドラインからFTPを使ってダウンロードする方法もポピュラーだ。従来、Linux系記事の解説などでは、この方法による手順説明が多い。FTPはファイル転送に特化したプロトコルであり、ファイルをダウンロードするだけならHTTPを利用するより簡単で高速である。ただ、本稿では、ビギナー管理者を前提にするということで、GUIで可能なものはできるだけGUIで処理していきたいと考えている。ファイルのダウンロードなどは、その最右翼といっていいだろう。処理が軽い、早いといっても、コマンドラインでURLやファイル名を打ち込むのは結構つらい。GUIベースでブラウザを使えば、バージョンを間違えることもないだろうし、ついでに一般的なテキスト情報も入手できるというものだ。

　無論、すべてをGUIで行うことも、現状でのLinuxの機能では難しい面もある。そのような場合は、ターミナルウィンドウを使ってコマンドラインで処理をしていく。

　ちなみに、X WindowによるGUI環境は、インストール時にXの利用を選択しておけば基本的に組み込まれているはずだ。起動オプションで、直接、gnomeなどのデスクトップが起動しないようになっている場合に、コマンドラインからX Windowを起動させるには、適当なユーザでログイン後、以下のようにコマンドを実行する。

$ startx

　これでデスクトップが表示される。
　このとき表示されるのは、通常、ログインしたユーザのホームフォルダになる。デスクトップにある「○○のホーム（○○はユーザ名）」というアイコンをダブルクリックすると、ファイルマネージャが起動しホームフォルダの中を表示してくれる。もちろん、現時点では何もないはずだ。Snortの関連アーカイブファイルは、このホームディレクトリ上にダウンロードし保存しておこう。
　なお、本稿では、とりあえずuser01というユーザーを作成し、このユーザを使って操作手順を説明していくつもりである。

●Snortを効率的に利用するためのツール

　さて、次にSnortを効率よく運用・管理するためのツールについて見てみよう。
　Windows版Snortの解説のときにも書いたことだが、Snortは高機能な上にキャラクタベースのプログラムであるため、ビギナー管理者にとってはかなり扱いづらいものといえる。また、当然のことながら、攻撃情報や各種のログを分かりやすく表示する機能や、ルールセットを自動的に更新してくれる機能などもない。こういった機能は、商用のIDSなら最低限備わっているものだ。ログの表示やルールセットの自動更新などは、ビギナーのみならずとも欲しい機能だろう。
　そこで登場するのが、Snortと連携するフリーツールである。どのようなものがあるのか簡単に分類すると、以下のようになる。

・管理コンソール
・ログ解析
・シグネチャ（ルールセット）管理

【執筆：磯野康孝】

（詳しくはScan本誌をご覧ください）
http://www.ns-research.jp/cgi-bin/ct/p.cgi?m-sc_netsec