とりあえず動かすsnort+ACID
snortのコンパイルの前に・・・configure
では、早速configureのオプションを一つずつ見てみましょう。
まず、「Configuration」セクションは必要ないです。
次の「Directory and file names」セクションは無理に指定する必要はありません。ただし、「--prefix=ディレクトリ」はsnortをどこにインストールするか、を指定するものなので、/usr/local以下にインストールしたくないのであれば指定しましょう。
「Host type」セクションはいらないです。必要ならどうぞ。
最後に、そして重要なセクションは「Fertures and packages」セクションです。
まず、「--enable and --with options recognized」までは一般的な書き方ですのでいいとしましょう。以降についてはきちんと書きたいと思います。
まず「--enable-debug」は、デバッグしてバグレポートをするときに使いますので、普通は指定しません。
次の「--with-libpcap-includes=DIR」「--with-libpcap-libraries=DIR」は、最初にインストールしたlibpcapがどこにあるかを指定するオプションです。まぁ、普通は必要ないはずなのですが、嫌な所で刺さらないように指定します。
ちなみに、libpcapのありかは、「rpm -qa|grep libpcap」して返ってきた答えを「rpm -ql 答え」としてあげたとき、ファイルリストが出ます。この時、pcap.hのあるディレクトリを「--with-libpcap-includes=ディレクトリ」とし、libpcap.aのあるディレクトリを「--with-libpcap-libraries=ディレクトリ」とします。
ちなみに、Kondara MNU/Linux2.0の場合、「--with-libpcap-includes=/usr/include/pcap --with-libpcap-libraries=/usr/lib」となります。
次に「--with-mysql=DIR」から「--with-oracle=DIR」までは、データベースを使うかどうかの設定をします。ここでは、私も利用しているpostgreSQLを使うこととして、「--with-postgresql=DIR」を指定しますが、DIRがpostgreSQLがインストールされているディレクトリになります。
このため、postgreSQLをどこにインストールする(されている)かが決まっていないと指定できません。
「--with-snmp」はsnmpを利用してアラートを出力する機能を利用する場合に指定します。私はsnmpを利用していないので指定していません。
「--with-openssl=DIR」は、SSLを利用する場合に指定しますが、これもpostgreSQLと同様、インストールディレクトリを指定しなければなりません。
「--enable-idmef」は、IDMEFメッセージを出力させる際に指定します。これも私は使っていません。また、「--with-libidmef-hoge=DIR」はインクルードファイルやライブラリファイルの置き場を指定します。
「--with-libxml2-hogehoge=DIR」は、xml形式でログを出力する際に指定します。今回は、ACIDを利用してログを整形しますので、指定する必要はないと思います。
「--with-libntp-libraries=DIR」は、ntpライブラリを利用するかどうかとそのディレクトリを指定します。これも使ってないので指定していません。使う場合には、xntp3などをインストール後、libntpの保存されているディレクトリを指定してあげればいいと思います。
「--enable-smbalerts」は、sambaの機能を利用して、例えばほかのWindowsマシンにアラートを送信するために使用します。当然、sambaが必要になると思われます(試したことないのでわかりません_o_)。
「--enable-flexresp」は、FLEXRESPと呼ばれる機能を使う場合に指定します。これは、「安全でないとsnortが判断した通信を無理矢理遮断する」機能です。
ただし、間違って通信を遮断したりする場合もありますから、使う場合には非常に注意する必要があります。私は今のところ使っていません。
#機能としてはとても面白いんですけどねぇ・・・ :-(
これらのオプションを与えたり、与えなかったりすることで、必要な機能を取捨選択できます。
また、実はライブラリなどのディレクトリ指定については、無理に指定しなくても、autoconfと呼ばれるシステムのおかげできちんとインストールされたりします。:-)
ですから、どうしてもうまくいかない場合を除いて指定しなくてもいい場合があります。