Home > Debian > セキュリティ対策 > Snortのルールファイル
| Snortの不要ルールの無効化 |
ログが不要なルールで埋まると、肝心なものを見逃してしまう可能性がある為、不要と思われるルールを無効化しておく。
例えば、WEB-MISC robots.txt access にマッチするルールをSnortのログに記録しないようにするには、
以下のようにgrepで検索を行い、ルールファイルの該当行をコメントアウトする。
# grep -n "WEB-MISC robots.txt access" /etc/snort/rules/* /etc/snort/rules/web-misc.rules:295:alert tcp $EXTERNAL_NET any -> $HTTP_SERVERS $HTTP_PORTS (msg:"WEB-MISC robots.txt access"; flow:to_server,established; uricontent:"/robots.txt"; nocase; reference:nessus,10302; classtype:web-application-activity; sid:1852; rev:3;) /etc/snort/rules/web-misc.rulesの295行目をコメントアウトする # sed -i '295s/^/#/' /etc/snort/rules/web-misc.rules この変更を適用させる為、snortを再起動する # /etc/init.d/snort restart |
このような要領で、不要と思われるルールを無効化する
| ルールファイルの自動更新 |
oinkmasterを導入し、Snortのルールファイルを自動更新するようにする
# apt-get update # apt-get install oinkmaster |
設定ファイルを編集して、ルールのDL先を変更する
# vi /etc/oinkmaster.conf url = http://www.snort.org/dl/rules/snortrules-snapshot-2_2.tar.gz ←11行目 ↓ url = http://www.snort.org/pub-bin/downloads.cgi/Download/vrt_pr/snortrules-pr-2.3.tar.gz url = http://www.snort.org/pub-bin/downloads.cgi/Download/comm_rules/Community-Rules-2.3.tar.gz |
cronにoinkmasterを定期的に実行するように登録する。例として、毎日4:00に実行するようにしてみる
# crontab -e 00 04 * * * /usr/sbin/oinkmaster -o /etc/snort/rules/ |
最終更新 : 08/28/2006