IDSを使ったLinuxセキュリティアップ入門(13)
前回は、Snortのルールセットの更新作業を自動化するツール「Oinkmaster」の基本設定と、実行するための前準備を行った。引き続きOinkmasterの使用について説明していこう。今回は、Oinkmasterの実行プロセスについて言及する。
特集
特集
●Oinkmasterの実行プロセス
Oinkmasterの実行に移る前に、現在の環境の構築プロセスを簡単に整理しておこう。
1.スクリプト本体と設定ファイルのコピー
Oinkmasterの本体であるoinkmaster.plと設定ファイルoinkmaster.confは、アーカイブファイル解凍後、ユーザのホームディレクトリである/home/user01以下に作成したフォルダoinkmasterにコピーした。
2.バックアップフォルダの作成
Oinkmasterでは、ルールセットの更新にあたってバックアップを取ることができる。そこで、ルールセットの関連ファイルをバックアップするためのフォルダbackupを、/etc/snortフォルダ以下に作成、フォルダのパーミッションをユーザsnortで利用できるよう変更した。
3.専用ユーザの作成
root権限で実行できないOinkmasterのために、専用ユーザoinkmasterを作成した。ユーザoinkmasterは、snortグループに属するように設定する。
前回、useraddコマンドを使ったコマンドラインからのユーザ作成の説明でパスワードの設定に言及しなかったが、できれば設定しておいたほうがいいだろう。passwdコマンドの書式は、passwd 〔ユーザー名〕となる。このとき、入力するパスワードは表示されない。
# passwd oinkmaster
Changing password for user oinkmaster.
New password:
Retype new password:
passwd: all authentication tokens updated successfully.
4./etc/snortフォルダ以下のパーミッションの変更
Oinkmasterはルールセットを書き換えるため、/etc/snort以下のフォルダのパーミッションを、snortグループに属しているユーザならばアクセス可能なように変更した。
上記のような環境を整えたところで、いよいよOinkmasterを実行してみることにしよう。
なお、現在稼動中のSnortのルールセットを、いきなり更新するのは気が引ける場合もあると思う。そのような場合は、テスト用のフォルダを作成してルールセットのファイルをコピーし、コピーされたルールセットに対して更新を実行してもいいだろう。Oinkmasterの実際の動作を確認して、問題がないならば運用中のシステムに組み込めばいいのだ。
Oinkmasterを実行するには、スクリプト本体や設定ファイルの所有者を作成した専用ユーザであるoinkmasterに変更しておく必要がある。スクリプトがおかれているフォルダ/home/user01/oinkmasterに対して、以下のようにchownコマンドを実行する。
# chown -R oinkmster:snort /home/user01/oinkmaster
これで、Oinkmaster本体のスクリプトをユーザoinkmasterで実行することが可能になる。
実行は、ターミナルのコマンドラインから行う。まず、専用ユーザoinkmasterに切り替えよう。
$ su oinkmaster
Password:
ユーザの切り替えに伴って、実際には、コマンドプロンプトなどが変化するはずだ。
【執筆:磯野康孝】
(この記事には続きがあります。続きはScan本誌をご覧ください)
http://www.ns-research.jp/cgi-bin/ct/p.cgi?m-sc_netsec
《ScanNetSecurity》