Linux/침입차단시스템/Snort

스노트

- 기본 라이브러리 말고도 다른 라이브러리가 많다.

- source download

• 스노트 운영을 위한 서버 소스 다운로드
  - wget https://www.snort.org/downloads/snort/daq-2.0.6.tar.gz
• 스노트 소스 다운로드
  - wget https://www.snort.org/downloads/snort2.9.11.tar.gz

- 압축해제

• tar -xvzf daq-2.0.6.tar.gz

- 라이브러리 의존성확인

• cd daq-2.0.6
• ./configure - 크래시 확인 필요한 부분을 설치.

- 라이브러리 다운로드

• yum -y install bison flex
• yum -y install libpcap-devel
• yum -y install zlib-devel pcre-devel libdnet-devel 

- daq 설치 & snort 설치

• ./configure
  make
  make install

>>http://linuxspot.tistory.com/45 Autotools 소개

- ./configure와 make makeinstall의 상관관계

- 설치 확인

• type snort
• ls /usr/local/bin/snort
• ln -s /usr/local/bin/snort /usr/sbin/snort

- 실행 계정 등록

• groupadd snort
• useradd snort -r -s /sbin/nologin -c SNORT_IDS -g snort

- 디렉토리 설정 

• mkdir -p /etc/snort/rules
• mkdir /var/log/snort
• mkdir /usr/local/lib/snort_dynamicrules
• 권한 설정
  - chmod -R 5775 /etc/snort/rules
  - chmod -R 5775 /var/log/snort
  - chmod -R 5775 /usr/local/lib/snort_dynamicrules
• 스노트 계정으로 변경
  chown -R snort:snort /etc/snort

- 룰 생성 및 이동

• touch /etc/snort/rules/white_list.rules
• touch /etc/snort/rules/black_list.rules
• touch /etc/snort/rules/local.rules
• cp [스노트 소스]/etc/*.conf /etc/snort
• cp [스노트 소스]/etc/*.map /etc/snort

- 룰 설정

• sed -i 's/include \$RULE\_PATH/#include \$RULE\_PATH/g' /etc/snort/snort.conf
• local.rules 주석해제 
• vi /etc/snort/snort.conf
• 문자열 치환
• vi /etc/snort/snort.conf
  - var RULE_PATH ../rules의 상대경로와 그아래 4개의 상대경로를 /etc/snort/*rules의 절대경로로 변경 
  - include $RULE_PATH/local.rules의 주석해제

- 실행

• snort -T -c /etc/snort/snort.conf