侵入検知: Snort (IDS)、OSSEC (HbIDS) および Prelude (HIDS) の Ubuntu Gutsy Gibbon - ページ 2

Prewikka のインストール

Prewikka は、Web サーバーを使用する Prelude のグラフィカルフロントエンドです。

インストール

Prewikka には、Prelude アラートを取得するためのデータベースと、自身のデータを保存するためのデータベース (prewikka) の 2 つが必要です。実際、Ubuntu パッケージは prewikka データベースのみを作成し、Prelude アラートへのアクセスを構成しないため、アラートのインストールは手動で行う必要があります。

Prewikka のインストール

apt-get install prewikka

パッケージは必要な依存関係 (例: python) をインストールし、データベースの構成を求めます。Prelude の場合、dbconfig-common を使用することを選択し、管理者パスワードを入力し、DB パスワードの生成を dbconfig-common に任せるためにエンターを押します。

Prelude-Manager アクセスの構成

prelude-manager 構成ファイル /etc/prelude-manager/prelude-manager.conf からパスワードを取得し、prewikka 構成ファイル /etc/prewikka/prewikka.conf を編集します:

vi /etc/prewikka/prewikka.conf

[idmef_database]
type: mysql
host: localhost
user: prelude
pass: **********
name: prelude

[database] セクションは dbconfig-common によって自動的に構成されるため、変更しないでください。

Web サーバーの構成:

構成はファイル /usr/share/doc/prewikka/README.Debian に説明されています。次の 3 つの構成の中から選択できます:

• Apache / CGI セットアップと VirtualHost
• Apache / mod_python セットアップと VirtualHost
• コマンドラインツールからの Prewikka

例として、mod_python セットアップを使用します。

apt-get install libapache2-mod-python

次の内容で Apache 構成に VirtualServer を追加します:

NameVirtualHost *  
  
        ServerAdmin [email protected]  
          
                SetHandler mod_python  
                PythonHandler prewikka.ModPythonHandler  
                PythonOption PrewikkaConfig /etc/prewikka/prewikka.conf  
          
  
          
                SetHandler None  
          
  
        Alias /prewikka /usr/share/prewikka/htdocs  
        Alias /htdocs /usr/share/prewikka/htdocs  

Apache Web サーバーを再起動し、prewikka インターフェースにログインできます。

注意: もちろん、次のように Apache の設定を常に使用できます:

NameVirtualHost xxx.xxx.xxx.xxx:80

これは、Apache サーバーで他のサービスを実行している場合に便利です。

パート 2: Snort のインストールと構成

この件についての完全な手順を書くつもりはありません。なぜなら、Snort に関する手順があるからです: 侵入検知: Snort、Base、MySQL、および Apache2 の Ubuntu 7.10 (Gutsy Gibbon) (更新版)。

ここでは、snort を prelude にログ記録するために必要な手順を説明します。このセットアップでは、mysql データベースとベース Web インターフェースをインストールする必要はありません。snort は prelude にログを記録し、prewikka インターフェースを使用して snort アラートを確認できます。

上記の手順に従い、以下のエントリを新しいものに置き換えます:

置き換え

./configure -enable-dynamicplugin --with-mysql  
make  
make install

を

./configure -enable-dynamicplugin --eanble-prelude  
make  
make install

次のようにする代わりに:

リストを下にスクロールして、” # output database: log, mysql, user= “ のセクションに移動し、この行の前の “ # “ を削除します。
“ user=root “ を “ user=snort “ に変更し、” password=password “ を “ password=snort_password “ に変更し、” dbname=snort “
ユーザー名、パスワード、および dbname をメモしてください。この情報は、Mysql データベースを設定する際に必要です。
保存して終了します。

次のようにします:

リストを下にスクロールして、”# output alert_prelude: profile=snort “ のセクションに移動し、この行の前の “#” を削除します。それで終わりです。

ステップ 5 以降 ( 5. Mysql データベースの設定。) はすべてスキップできます。

次に、prelude manager に snort エージェントを登録する必要があります:

prelude-adduser register snort "idmef:w"  --uid snort --gid snort

prelude manager サーバーで:

prelude-adduser registration-server prelude-manager

これにより、snort エージェントが prelude manager に登録されます。上記で prelude-lml のために行ったように。

登録プロセスが完了したら、次を実行します:

snort -c /etc/snort/snort.conf

すべてが正しく行われれば、次のように表示されます:

Initializing Network Interface eth0
Decoding Ethernet on interface eth0

• Connecting to 127.0.0.1:4690 prelude Manager server.
• TLS authentication succeed with Prelude Manager.

エントリ eth0 は、指定したイーサネットアダプタに依存します。重要なのは、snort が prelude manager サーバーに接続しており、tls 認証が成功したことが確認できることです。

エージェントが接続しており、prewikka のエージェントリストに snort が表示されている場合は、ctrl-c でプロセスを停止し、次を実行します:

snort -c /snort/snort.conf -D

snort をデーモンとして起動します。上記の行では、すべてのネットワークインターフェースをリッスンしていない場合は、-i ethX を追加して特定のインターフェースを指定できます。