IDSを使ったLinuxセキュリティアップ入門(2)
前回は、Snort本体の入手について説明したところまでだった。今回は、Snortのインストールに着手する前に済ませておくべき準備と便利ツールについて説明していきたい。
特集
特集
●Linux上の操作について
本題に入る前に、Linux上の操作について若干補足しておこう。前回、Snortの公式サイト( http://www.snort.org/ )からSnort本体とルールセットのアーカイブファイルをダウンロードした。このとき、単にサイトにアクセスしダウンロードするといった記述しかしていなかったが、具体的には、ブラウザを使ってサイトにアクセスし、そこからダウンロードしたのである。つまり、X Windowを起動し、GUI環境下でダウンロードを行ったのだ。
Windows環境ではGUIが前提なので、ダウンロードといえばブラウザを使った方法が一般的である。しかし、LinuxのようなキャラクタベースのOSでは、コマンドラインからFTPを使ってダウンロードする方法もポピュラーだ。従来、Linux系記事の解説などでは、この方法による手順説明が多い。FTPはファイル転送に特化したプロトコルであり、ファイルをダウンロードするだけならHTTPを利用するより簡単で高速である。ただ、本稿では、ビギナー管理者を前提にするということで、GUIで可能なものはできるだけGUIで処理していきたいと考えている。ファイルのダウンロードなどは、その最右翼といっていいだろう。処理が軽い、早いといっても、コマンドラインでURLやファイル名を打ち込むのは結構つらい。GUIベースでブラウザを使えば、バージョンを間違えることもないだろうし、ついでに一般的なテキスト情報も入手できるというものだ。
無論、すべてをGUIで行うことも、現状でのLinuxの機能では難しい面もある。そのような場合は、ターミナルウィンドウを使ってコマンドラインで処理をしていく。
ちなみに、X WindowによるGUI環境は、インストール時にXの利用を選択しておけば基本的に組み込まれているはずだ。起動オプションで、直接、gnomeなどのデスクトップが起動しないようになっている場合に、コマンドラインからX Windowを起動させるには、適当なユーザでログイン後、以下のようにコマンドを実行する。
$ startx
これでデスクトップが表示される。
このとき表示されるのは、通常、ログインしたユーザのホームフォルダになる。デスクトップにある「○○のホーム(○○はユーザ名)」というアイコンをダブルクリックすると、ファイルマネージャが起動しホームフォルダの中を表示してくれる。もちろん、現時点では何もないはずだ。Snortの関連アーカイブファイルは、このホームディレクトリ上にダウンロードし保存しておこう。
なお、本稿では、とりあえずuser01というユーザーを作成し、このユーザを使って操作手順を説明していくつもりである。
●Snortを効率的に利用するためのツール
さて、次にSnortを効率よく運用・管理するためのツールについて見てみよう。
Windows版Snortの解説のときにも書いたことだが、Snortは高機能な上にキャラクタベースのプログラムであるため、ビギナー管理者にとってはかなり扱いづらいものといえる。また、当然のことながら、攻撃情報や各種のログを分かりやすく表示する機能や、ルールセットを自動的に更新してくれる機能などもない。こういった機能は、商用のIDSなら最低限備わっているものだ。ログの表示やルールセットの自動更新などは、ビギナーのみならずとも欲しい機能だろう。
そこで登場するのが、Snortと連携するフリーツールである。どのようなものがあるのか簡単に分類すると、以下のようになる。
・管理コンソール
・ログ解析
・シグネチャ(ルールセット)管理
【執筆:磯野康孝】
(詳しくはScan本誌をご覧ください)
http://www.ns-research.jp/cgi-bin/ct/p.cgi?m-sc_netsec
《ScanNetSecurity》