Install Snort on CentOS 7

Facebooktwittermail

CentOS 7にSnortをインストールしてみました。

https://www.snort.org/


環境
・CentOS Linux release 7.4.1708 (Core)
・Kernel 3.10.0-693.21.1.el7.x86_64

参考サイト
How to Install Snort on CentOS 7
https://www.upcloud.com/support/installing-snort-on-centos/

  1. epel repoのインストール
  2. libnghttp2をインストールする為にepel repoをインストールします。

  3. libnghttp2,libdnetのインストール
  4. daqのインストール
  5. 最新のdaq-2.0.6-1.centos7.x86_64.rpmをインストールしました。

  6. snortのインストール
  7. 最新のsnort-2.9.11.1-1.centos7.x86_64.rpmをインストールしました。

  8. ルールの取得
  9. ルールにはCommunity rules, Registered rules, Subscriber ruleがあります。
    snort.orgにユーザ登録するとRegistered rules(無償)、さらにSubscriber rule(有償)が利用できます。
    今回はユーザ登録をしてRegistered rulesを利用してみます。

  10. ユーザ登録
  11. https://www.snort.org/users/sign_upにアクセスして登録します。



    ちなみにPersonal(個人利用,教育目的)ライセンスは$29.99/Yearなので利用しやすいと思います。

    もし、メーリングリスト購読にチェックが入っていると”Confirmation instructions”メールが登録メールアドレスに届きます。
    文中の”Confirm my account”をクリックして確認します。

  12. Oinkcodeの確認
  13. Registered rulesをダウンロードするにはOinkcodeが必要になります。
    ログインしてOinkcodeを確認します。


  14. Registered rulesのダウンロード
  15. サイトにログインしていればhttps://www.snort.org/downloads#rulesから最新のRegistered rulesがダウンロードできますが、wgetなどのコマンドではOinkcodeを付加してダウンロードします。

  16. ruleの設置
  17. ダウンロードしたsnortrules-snapshot-29111.tar.gzをツールフォルダ(/etc/snort/rules)に設置します。

  18. snort.confの編集
  19. snort_dynamicrulesはどうも有償ライセンスでないと利用できない(?)ようなので無効にしています。

  20. ruleファイルの作成
  21. local.rules, white_list.rules, black_list.rulesが無いとエラーになったので、取り敢えず空ファイルを作成します。

  22. libdnetのエラー対処
  23. 起動すると下記のエラーが表示されました。

    Apr 20 11:21:11 centos7 snortd: Starting snort: /usr/sbin/snort: error while loading shared libraries: libdnet.1: cannot open shared object file: No such file or directory
    Apr 20 11:21:11 centos7 snortd: [失敗]

  24. Interfaceの設定
  25. /etc/sysconfig/snortの監視インターフェイスを必要に応じて変更して下さい。
    今回はVMwareに仮想マシンでのインストールなので変更しました。

  26. 起動

ログにはWARNINGが多数でていますが、どうにが起動までたどり着きました。

Leave a Reply