カスタム検索
このエントリーをはてなブックマークに追加
tomo.gif (1144 ツバツイツト)line.gif (927 ツバツイツト)line.gif (927 ツバツイツト)line.gif (927 ツバツイツト)To previous pageTo home pageMailing to me

Oinkmaster1.2の実験

Modified: 11 June 2005

Oinkmasterは、Snortのルールを更新するツールです。Perlで書かれており、定期的に実行すればルールが自動更新できるようになります。

OINKコードを確認する方法
以下を開いて、左下からログインすれば、開いたページで確認できます。
http://www.snort.org/

ダウンロード

以下のOinkmasterのサイトからダウンロードできます。

http://oinkmaster.sourceforge.net/

2005年6月4日に、"oinkmaster-1.2.tar.gz"がダウンロードできました。


解凍とインストール

解凍し、どこでもいいのでディレクトリを移動し、2つのファイルをコピーします。スクリプトファイルには実行権を設定します。 

# tar zxvf oinkmaster-1.2.tar.gz
    :
# mv oinkmaster-1.2 /var/www
# cd /var/www/oinkmaster-1.2

# cp oinkmaster.pl /usr/local/bin
# chmod 755 /usr/local/bin/oinkmaster.pl

# cp oinkmaster.conf /etc
#

oinkmasterは、perlで書かれていますので、perlのパスを確認します。 

# whereis perl
perl: /usr/bin/perl /usr/share/man/man1/perl.1.gz
# head -1 /usr/local/bin/oinkmaster.pl
#!/usr/bin/perl -w
#


OinkCodeの入手

ユーザ登録

ルールを更新するためには、ユーザ登録して、OinkCodeというのを取得してから実行します。

http://www.snort.org/reg-bin/forums.cgi

上記のFORUMSのページを開くと、「BECOME A MEMBER」のボタンをクリックして、ユーザ登録します。

しばらくすると、登録したメールアドレスに、パスワードが送られてきます。

OinkCodeの入手

メールで、ユーザIDとパスワードが送られてきますので、左のフレームのところの「Account」のところに、入力して、「LOGIN」ボタンをクリックします。

開いたページの下のほうに、「Get Code」のボタンがありますので、それをクリックすると、そのボタンのすぐ上に、以下のようなコードが表示されます。

e0fd2c05b196f319435c715999d731a1066d7777  (このコードは例であり、使えませんよ

これがルールを取得するときのURLとなります。後のステップで使います。

このページは、後日でも、ログインすれば確認することができます。


設定をする

ログイン画面に書いてある方法で、"oinkmaster.conf"に書いてある、ルールを取得するURLを変更します。

"oinkmaster.conf"を開き、以下を変更します。 

     :

# Example for Snort 2.3
# url = http://www.snort.org/pub-bin/oinkmaster.cgi/<oinkcode>/snortrules-snapshot-2.1.tar.gz

     :

上記が変更前で、以下が変更後です。

     : 
# Example for Snort 2.3 
url = http://www.snort.org/pub-bin/oinkmaster.cgi/s0fd2c05b196f319459c715999d731a1066d7777/snortrules-snapshot-2.1.tar.gz
      :


実行してみます

バックアップ用のディレクトリを作成します。 

# mkdir /etc/snort/bkp

以下のコマンドで実行します。 

# /usr/local/bin/oinkmaster.pl -o /etc/snort/rules/ -b /etc/snort/bkp
Loading /etc/oinkmaster.conf
Downloading file from http://www.snort.org/pub-bin/oinkmaster.cgi/<oinkcode>/snortrules-snapshot-2.3.tar.gz... done.
Archive successfully downloaded, unpacking... done.
Setting up rules structures... done.
Processing downloaded rules... disabled 0, enabled 0, modified 0, total=2832
Setting up rules structures... done.
Comparing new files to the old ones... done.
No files modified - no need to backup old files, skipping.

       :

-> Removed from x11.rules (2):
        # (C) Copyright 2001,2002, Martin Roesch, Brian Caswell, et al.
        #    All rights reserved.

[+] Added files (consider updating your snort.conf to include them if needed): [+]

    -> classification.config
    -> gen-msg.map
    -> reference.config
    -> sid-msg.map
    -> threshold.conf
    -> unicode.map
    -> VRT-License.txt

[root@centos35-snort-72 oinkmaster-1.2]#

 crondで定期的に実行すれば自動更新となります。

To previous pageTo home pageMailing to meJump to Top of pageline.gif (927 ツバツイツト)line.gif (927 ツバツイツト)tomo.gif (1144 ツバツイツト)
カスタム検索



このエントリーをはてなブックマークに追加