LINUXサーバーセキュリティの質問です。

ポートスキャンされたらメールで知らせてくれる様にしたいのですが、
（snortも有料らしいです。
）

有料ので構いませんので、良い商品をご紹介下さい。
（日本語等のマニュアルがあるとうれしいです）

ちなみに英語でわからないのですが、snortの有料版は、
http://www.snort.org/vrt/buy-a-subscription

年間、29.99ドルと思ってよいのですか？

VRTとは何でしょうか？

Sensor センサ（複数可）とはなんでしょうか？

ルールファイルが一つしか使えないという事でしょうか？

No.1 ベストアンサー 回答者： Wr5 回答日時： 2014/07/08 13:51

使っていたのは昔で、ちょっと試した程度でしたが……

>（snortも有料らしいです。

無料でも使えますよ。

「snort 無料 違い」とかで検索してみました？
# 検索トップには出てきませんでしたが、
# http://e-garakuta.net/techinfo/doku.php/linux/sn …
# というのも見つかりますよ。
# >ダウンロードするためには、Snort.orgに登録しなければいけない。 登録は無料で可能。有償ユーザ
# >との違いはオフィシャルルールセットが更新されてから無料ユーザには数日後に反映される点。
# と……。


あとの細かいところは詳しくもないのでなんとも……。
「snort 日本語」辺りで検索すれば導入レポートとか書いているページも見つかるかと思われます。

私自身が試した時は家庭内LANで外部からのアクセスはルータで大概ブロックされていたので…snortで引っかかったのはLAN内のWindowsが普通に投げるパケットくらいでしたね。
ルールをカスタマイズしていけばそんなのもアラートに掛からなくなるんでしょうが…その前にsnortの運用止めてしまったので。
# カスタマイズしないとそこそこアラート上がっていたような…。


ルータでブロックしているのでポートスキャンっぽい程度でアラートメール上げるようにはしませんでしたねぇ。
iptablesなんかでログに吐いて、logwatchなりでレポートを…って程度で済んでいましたし。
# sshを標準ポートで開けていた頃はログがウザくなってswatchでIP指定ブロックとかしたこともありますけど……。

他の質問とあわせて…ポートスキャンで即ブロックが必要。
とかいうレベルで対処が必要ならば、素人がどうにかするのではなくプロに依頼した方がいいと思いますよ。

この回答へのお礼

大変重要なヒントありがとうございました！！

お礼日時：2014/07/09 05:33