とりあえず動かすsnort+ACID
snort+ACIDのできあがり
さて、これで準備は整ったはず。まず、httpd、postgreSQLが動作していることを確認の上、snortを動かしましょう。
snort -i eth0 -D -u snort_username -g snort_username -c /etc/rules/snort.conf
とすると、ユーザ名snort_username、グループ名snort_usernameでsnortが起動します。もちろん、ユーザは作っておいてくださいね。もちろん、さっきのデータベースユーザ(snort_log)を使ってもかまいませんが。
そして、ブラウザを起動し、
http://自分のマシン(localhostで指定するのは止めておいた方がいいです)/acid/
と入力してください。エラーはないですか?なければ右上あたりにボタンがあるはずです。これをクリックしましょう。
数秒後、画面が変わったら、もう一度上記URLにアクセスしてみてください。0%の並んだACIDの画面がでてくるはずです。
その後、pingを一回、eth0に割り振ったアドレスにでも打っておきましょう。
そして、ブラウザで再読込してみてください。さぁ、ICMPは100%になりましたか?なっていれば(少なくとも0%じゃなければ)作業は終了、とりあえずsnort+ACIDが動くようになりました。
もし、ならなければ、やり残したことがあるか、ここに書き忘れたことがあるか(^^;のどちらかです。後者の場合は、ぜひご一報ください。