구텐모르겐 AmeriKa

리모트 엑세스는 vnc를 가장 많이 이용하는데 이상하게 vnc가 내 컴퓨터에서는 작동이 되지 않았다. xrdp도 xvnc를 이용하는 똑같은 방식이기는 하나 윈도우 7 64비트에서의 작동은 xrdp에서만 된다. 웹사이트에서 어떤 공식적인 스펙은 찾지 못했지만 vnc를 통해서 윈도우에서 우분투로 연결해서 사용하는 분들은 xrdp를 이용하는게 나을듯 하다.

다운은 http://sourceforge.net/projects/xrdp/에서 받으면 된다. 2011년 7월 현재 최신버전은 xrdp-0.4.2.tar.gz이다.

설치는 리모트로 작동하고자 하는 우분투 서버로 가서 다음과 같은 설치과정을 거친다.
# sudo tar zxvf xrdp-0.4.2.tar.gz
# sudo ./configure
# sudo make
# sudo make install



그런다음 윈도우 7 64비트에서 remote desktop connection을 이용해서 해당서버의 이름, 혹은 아이피를 이용해 접속하면 된다.

윈도우와 윈도우간의 접속보다는 부드럽지는 않지만 일반적인 서버의 구동시에는 하등의 문제가 없다.

몇번의 설치시도후 알게 됐는데 이 설치설명서는 libdnet.1에 대한 오류가 계속 나더군요. 그리고 snort.txt도 따로 웹에서 구해서 넣어야 합니다. 제가 가지고 있는것도 있지만 이 메뉴얼은 본인이 전문가가 아니라면 사용하지 않는게 나을 듯 합니다. 한번 읽어보시고 컨셉만 기억하고 넘어가는게 좋을 듯 합니다.

다음 글은 groups.google.com/gruop/snortusers/ 에서 발췌한 글로 우분투 최신버전인 11.04에 스노트 2.9.0.5를 설치하는 법에 대한 간단한 설명이 있어서 좋은 정보이기에 나누고자 번역해 올려요. 우분투 소프트웨어센타나 apt-get install snort를 해서 설치하면 차후에 추가적인 세팅을 할때 몹시 불편하므로 약간의 번거로움을 감수하더라도 아래의 프로세스를 따르는게 육체적, 정신적 건강에 이로울 둣 합니다. 아래부터는 본문글입니다.

이것은 내가 우분투 11.04에 스놀트 2.9.0.5를 설치하는 방법입니다.
sudo apt-get install libpcap0.8-dev
sudo apt-get install libpcre3-dev
sudo apt-get install g++
sudo apt-get install bison
sudo apt-get install flex
sudo apt-get install make
sudo apt-get install zlib1g-dev
wget http://www.snort.org/dl/snort-current/daq-0.5.tar.gz -O daq-0.5.tar.gz
sudo tar zxvf daq-0.5.tar.gz cd daq-0.5/
sudo ./configure sudo make
sudo make install
sudo ldconfig wget http://libdnet.googlecode.com/files/libdnet-1.12.tar.gz
sudo tar zxvf libdnet-1.12.tar.gz cd libdnet-1.12/
sudo ./configure sudo make sudo make install
sudo ln -s /usr/local/lib/libdnet.1.0.1 /usr/lib/libdnet.1
wget http://www.snort.org/dl/snort-current/snort-2.9.0.5.tar.gz -O
snort-2.9.0.5.tar.gz tar zxvf snort-2.9.0.5.tar.gz cd snort-2.9.0.5
sudo ./configure --enable-decoder-processor-rules --enable-zlib
sudo make sudo make install
sudo mkdir /var/log/snort
sudo groupadd snort
sudo useradd -g
snort snort
sudo chown
snort:snort /var/log/snort
wget http://pulledpork.googlecode.com/files/pulledpork-0.6.1.tar.gz -O pulledpork-0.6.1.tar.gz
tar zxvf pulledpork-0.6.1.tar.gz
sudo apt-get install libssl-dev sudo perl -MCPAN -e 'install Crypt::SSLeay'
sudo perl -MCPAN -e 'install LWP::Simple'
#second interface for monitoring is eth1-make sure it's turned on sudo vim /etc/network/interfaces auto eth1 iface eth1 inet manual ifconfig eth1 up
snortd.txt를 /etc/init.d/snortd 에 복사
syslog모니터를 위해 아래의 글들을 /etc/rsyslog.conf 에 복사
# # Send Snort syslog output to the NitroESM server xxx.xxx.xxx.xxx
# auth.alert @ xxx.xxx.xxx.xxx
스놀트 시작하는 법
sudo /etc/init.d/snortd start
스놀트 업데이트 하는 법
sudo pulledpork.pl -c /usr/local/etc/pulledpork/pulledpork.conf -i /usr/local/etc/pulledpork/disablesid.conf vv

http://groups.google.com/group/snortusers/browse_thread/thread/33b96ee9207dcc2d

snort.org에서 제시한 메뉴얼과 폴더의 위치가 다르므로 주의하세요. 

Ubunto 11.04, Snort-2.8.5.5, php5

snort가 IDS로는 가장 강력한 툴인것을 알면서도 그놈의 디펜던시 때문에 번번히 설치를 실패했었다. 책을 사서 읽어봐도 매번 버전이 바뀌니 바뀌면서 폴더도 바뀌고 그 바뀐거 어딨냐고 구글에 아무리 외쳐도 대답하는놈 하나 없고.근데 최근에 우분투를 깔아보고 신세계를 경험했다. 이건 뭐 apt-get이면 웬만하면 다 갖다 붙는다. 물론 디펜던시 문제는 계속 나타나긴 하지만 페도라에 비하면 이정도쯤이야 우습게 넘겨줄 수 있다.

구글을 아무리 뒤져서 잘 쓰여진 설치가이드를 봐도 결국에는 정식사이트의 메뉴얼만 못한게 정석이라는게 내 생각이다. 블로거들이 저마다 자신의 독특한 방법을 (초심자의 입장에서) 설명하지만 정작 시스템도 다르고 버전도 바꼈고 해서 결국 적영가능한 설명서는 정식사이트의 설치가이드가 아닌가 싶다.

Snort로 돌아와서, 획기적으로 간단한 설치법이 있으므로 Snort 설치에 실패한 사용자여 돌아오라'를 외치고 싶다. 그리고 돈주고 IDS사지마라'도 역시 외쳐주고 싶다. 설치에 들어가자.

우선 관리자 권한을 받자.
# sudo -i

apt-get을 업데이트 하자.
# apt-get update
# apt-get upgrade

Snort를 mysql과 함께 설치하자. 잘 모르겠지만 이 한줄의 컴멘드가 몇시간의 삽질을 단축시켰는지 모를것이다.
# apt-get install snort-mysql

Oinkmaster는 Snort rule을 항상 업데이트 시켜준다.
# apt-get install oinkmaster

설치가이드에서는 최신 룰을 받아서 업데이트 하라는데 일단 생략하겠다.

snort.conf를 환경에 맞게 변경한다.
# gedit /etc/snort/snort.conf

output log_tcpdump: tcpdump.log의 컴멘트(#)를 제거한다.

Snort의 작동을 확인한다.
# pgrep -; snort

시작하지 않는다면 Snort를 실행해준다.
# /etc/init.d/snort start

만약 에러메세지가 나오면 다음의 파일을 제거한다.
# rm /etc/snort/db-pending-config

Snort가 로그파일을 잘 뿌려주는지 확인해보자.
# tail -f /var/log/snort/alert

nmap을 통해서 포트스캔을 이루어 snort가 로그를 생성하는지 보겠다. (nmap은 네트워크 포트 스캐닝 툴로써 거의 모든 포트스캐닝의 원조격이다. 없다면 apt-get install nmap으로 설치하라. 참고로 nmap.org에서 영어공부와 병행해서 공부를 좀 해보던가 어설프지만 내가 연제한 nmap 사용법을 참고하기 바란다.)
# nmap -sX 당신의 아이피 입력

이 명령어는 오픈되어있는 포트가 있어야 로그가 생성되므로 ssh를 깔아준다.
# apt-get install ssh

XMAS스캔에 관련된 로그메세지가 나오면 당신의 침입탐지시스템은 작동완료!

이제 mysql로 웹에 뿌려줘서 가독성을 높이자.
# apt-get install mysql-server

snort.conf파일을 연다.
# gedit /etc/snort/snort.conf

gedit에서 다음의 명령어들을 적절하게 수정해준다.
output log_tcpdump: tcpdump.log
output database: log, mysql, user=snort password=snort_password dbname=snort host=localhost

mysql로 접속해서 데이타베이스를 생성해준다.
# mysql -u root
# set password for root@localhost=password('본인패스워드생성');
# create database snort;
# grant insert,select on root.* to snort@localhost;
# set password for snort@localhost=password('PASSWORD_SNORT_CONF');
# grant create,delete,insert,select,update on snort.* to snort@localhost;
# grant create,delete,insert,select,update on snort.* to snort;
# exit

Snort 테이블환경을 설정한다.
# gunzip /usr/share/doc/snort-mysql/create_mysql.gz
mysql -u root -p < /usr/share/doc/snort-mysql/create_mysql snort

Snort를 다시 시작한다.
# /etc/init.d/snort restart

Base 시스템을 위해서 다음을 설치해준다
# apt-get install apache2 php5-mysql libphp-adodb

http://base.secureideas.net/ 에서 최신버전을 받아서 풀고 옮겨준다. 설치는 필요하지 않다.
# tar -xvzf /home/username/Desktop/base-1.3.6.tar.gz
# mv base-1.3.6 /var/www/base

복사후 약간의 수정을 거쳐준다.
# cd /var/www/base
# cp base_conf.php.dist base_conf.php
# gedit base_conf.php

base_conf.php에서 다음과 같게 혹은 본인의 설정에 맞게 바꿔준다.
# $Base_urlpath = “/base”
# $Dblib_path = “/usr/share/adodb/”;
# $alert_dbname = 'snort';
# $alert_password = 'SNORT_PASSWORD';

아파치를 다시 실행하고 웹브라우저에서 localhost/base를 확인한다.
/etc/init.d/apache2 restart

Base AG를 클릭해서 설치를 완료한다. 이것으로 모든 작업은 끝이다. 추가로 그래픽적인 면을 높이기 위해 다음을 설치한다.
# apt-get install php5-gd php-pear
# pear install Image_Color
# pear install Image_Canvas-alpha
# pear install Image_Graph-alpha

아파치를 재 실행한다.
# /etc/init.d/apache2 restart

추가로 내부사용자들의 포트스캔을 로그화하지 않으려면 다음의 명령어를 /etc/snort/threshold.conf에 삽입한다.
# suppress gen_id 1 sig_id 2466, track by_src, ip 192.168.1.0/24

이제 Snort를 즐기세요!!!


원문출처:http://ubuntuforums.org/showthread.php?t=483488