これは、Ubuntu Online、Fedora Online、Windows オンライン エミュレーター、または MAC OS オンライン エミュレーターなどの複数の無料オンライン ワークステーションの XNUMX つを使用して、OnWorks 無料ホスティング プロバイダーで実行できるコマンド oinkmaster です。
プログラム:
NAME
オインクマスター - Snort 署名を更新する
SYNOPSIS
オインクマスター -o 外向き [オプション]
DESCRIPTION
Oinkmaster は、ほとんどまたはまったく手間をかけずに Snort ルールを最新の状態に保つのに役立つシンプルなツールです
ユーザーのインタラクション。 新しいルールを含む tarball をダウンロードし、有効にすることができます。
ローカルを更新する前に、指定されたルールを無効にしたり、任意の変更を加えたりすることもできます。
ルールファイル。 また、以前のルールからの正確な変更点も表示されます。
OPTIONS
Oinkmaster に必要な唯一の引数は、 -o 外向き コラボレー 外向き 置くディレクトリです
新しいルール ファイルが含まれます。ここにルールをローカルに保存する必要があります。 ダウンロードしたもの
ファイルは上書きされる前に、ここにあるファイルと比較されます。
オプションの引数:
-b DIR ルールが変更されている場合は、古いルールの tarball が保存されます。 DIR
新しいファイルで上書きする前に。 ファイルが存在しない場合、バックアップは行われません。
変更された場合、または Oinkmaster が慎重モードで実行されている場合。
-c 慎重モードで実行してください。 これは、Oinkmaster が更新をチェックするだけであることを意味します。
それらを印刷しますが、何も更新しません。
-C cfg デフォルトの代わりにこの構成ファイルを使用します。 指定がない場合は、
oinkmaster.conf は次の場所で検索されます。 /等/ その後 /usr/local/etc/。 また、ご購読はいつでも停止することが可能です
複数指定する -C cfg 複数の設定ファイルをロードします。 ロードされます
コマンドラインに表示される順序で。 オプションが再定義されると、それはオーバーライドされます
以前の値 (指定できる「url」オプションを除く)
複数の URL)。
-e ダウンロードしたルール アーカイブでデフォルトで無効になっているルールを有効にします。
先頭の「#」をすべて削除します。 無効なルールがある場合は、
アーカイブした場合、このオプションを使用しない限り、そのまま残ります。 彼らは、
は何らかの理由で無効になっているため (機能しない場合もあります)、このオプションは注意して使用してください。
-h 有効なコマンドライン引数を短い説明とともに表示します
-i インタラクティブモードを有効にします。 変更がある場合は、その前に承認するよう求められます。
何かを更新すること。
-m 削除することで、変更されたルールの結果を印刷するときの差分を最小化/簡素化します。
新旧のルールの先頭部分と末尾部分が共通なので、
実際の変化。 変更の左右にあるいくつかの文字も
コンテキストを把握できるように印刷されます。 rev キーワードは比較時に無視されます。
共通部分の削除は、全体のアイデアを台無しにしてしまうことが多いため実行されます。
失敗。 (回転数を確認できることが重要だと思われる場合は、
ルールが更新されると増加するため、最小化された diff モードは使用しないでください。)
通常、ルールが変更されると、古いバージョンと新しいバージョン全体が出力されますが、
ルールが長く複雑な場合、それらの間の実際の変更を確認するのは困難になる可能性があります
そして多くの。
通常の出力は次のようになります。
旧: アラート tcp any any -> any 22 (msg: "foo"; flags: A+; rev:1;)
新規: アラート tcp any any -> any 123 (msg: "foo"; flags: A+; rev:2;)
使用時 -m 代わりに、次のようになります。
古い: ...任意の任意 -> 任意の 22 (msg: "foo";...
新規: ...任意の任意 -> 任意の 123 (メッセージ: "foo";...
-q 静音モードで実行します。 ルールに変更がない限り、または次の場合には何も印刷されません。
エラーまたは警告があります。
-Q 超静音モードで実行します。 これは以下と同じです -q 印刷時はさらに静か
結果 (「なし」のものは出力されません)。 それはまた他のものを抑制します
重複した SID や一致しない Modifysid などの警告メッセージ
式。
-r 出力ディレクトリには存在するが、ダウンロードされたディレクトリには存在しないルール ファイルを確認します。
ルール アーカイブ、つまり配布アーカイブから削除された可能性のあるファイル。
-s 結果を印刷するときは詳細を省略します (別名 bmc モード)。 これは、全体が
追加/削除/変更されたルールは出力されず、SID とメッセージのみが出力されます。
文字列にファイル名を加えたもの。 ルール以外の変更は通常どおり印刷されます。 この出力モードは
たとえば、出力を電子メールで送信しない人に送信する場合に便利です。
ルールの詳細を本当に気にしているのは、ルールがすでに変更されているという事実だけです。
更新しました。 で実行した場合の出力例 -s
[+++] 追加されたルール: [+++]
1607 - WEB-CGI HyperSeek hsx.cgi アクセス (web-cgi.rules)
1775 - MYSQL ルート ログイン試行 (mysql.rules)
[///] 変更された有効なルール: [///]
302 - Exploit Redhat 7.0 lprd オーバーフロー (exploit.rules)
304 - EXPLOIT SCO カルサーバーのオーバーフロー (exploit.rules)
305 - EXPLOIT デリゲート プロキシ オーバーフロー (exploit.rules)
306 - VQServer 管理者のエクスプロイト (exploit.rules)
-S file
と組み合わせて使用されます -U ダウンロードするファイルを指定するには
アーカイブして新しい変数を検索します。 指定しない場合は、snort.conf がチェックされます。
複数指定できます -S file 複数のファイルで新しい変数を検索します。
-T 構成ファイルに致命的なエラーがないか確認して、終了します。 警告の可能性
メッセージも印刷されます。
-u URL ルール アーカイブを次からダウンロードします。 URL で指定された場所の代わりに、
設定ファイル。 file://、ftp://、http://、https://、または
scp:// で終わり、「.tar.gz」または「.tgz」で終わります。 ファイルは gzip 圧縮された tarball である必要があります
このディレクトリには「rules」という名前のディレクトリが含まれており、すべてのルール ファイルが保存されています。 それはあってはならない
シンボリックリンクが含まれています。 次のコマンドを使用してローカル ディレクトリを指定することもできます。
ディレクトリ:// 。 公式の Snort ルールの場合、使用する URL は
実行している Snort のバージョンに応じて登録が必要になる場合もあります。 ルールにアクセスしてください
Snort Web サイトのダウンロード セクションにアクセスして、適切な URL と詳細情報を見つけてください。
Snort の新しいメジャー バージョンにアップグレードするときは、必ず URL を更新してください。
複数指定できます -u URL 異なるルールから複数のルールアーカイブを取得するには
場所。 アーカイブ内のすべてのルール ファイルは同じ出力ディレクトリに配置されます。
したがって、同じファイル名が複数のアーカイブに存在する場合、Oinkmaster はエラーを出力します。
メッセージを表示して終了します。 そのため、通常は代わりに Oinkmaster を実行することが推奨されます。
URL ごとに XNUMX 回ずつ実行し、別々の出力ディレクトリを使用します。 もし -u URL 指定されている場合、それは
構成ファイルで指定された URL をオーバーライドします。 複数ある場合は注意してください
URL が指定されていますが、そのうちの XNUMX つが壊れているため、Oinkmaster はすぐに終了します
それ以上の処理なしで。 これは状況に応じて良くも悪くもなります。
-U file
ダウンロードされた snort.conf には存在するが、ダウンロードされた snort.conf には存在しない変数 (つまり、「var foo bar」行)
file に追加されます file 含まれる可能性のある他の変数の直後。
変更された既存の変数はマージされず、新しい変数のみがマージされます。 file 通常はあなたのものです
snort.conf の実稼働コピー (これは、によって更新されるファイルであってはなりません)
Oinkmaster の通常の方法)。 この機能は、万が一の場合に Snort が壊れるのを防ぐためのものです。
次の場合には Snort を開始できないため、ダウンロードしたルールに新しい変数が追加されています。
ルールでは、どこにも定義されていない変数が使用されます。 使用時のデフォルトでは -U ,
ダウンロードしたアーカイブ内のファイル snort.conf は新しい変数を検索しますが、
これをオーバーライドできます -S file 口論。 複数のURLからダウンロードする場合は、
Oinkmaster は、ダウンロードされた各ルール アーカイブで snort.conf を検索します。
-v 詳細/デバッグ モードで実行します。 おそらくデバッグが必要な場合にのみ使用する必要があります
複雑なmodifysidステートメントの検証などの設定。 それも教えてくれます
存在しない SID に対して「disablesid」を使用しようとした場合。 使用上の注意
存在しない SID の Enablesid/localsid/modifysid は、実行しない限り常に出力されます。
通常、それらの方が重要であるため、Quiet モードでは (非アクティブな環境で「disablesid」を使用)
いずれにせよ、既存のルールは NOOP です)。
-V バージョンを表示して終了します。
例
oinkmaster.conf で指定されたデフォルトの場所からルール アーカイブをダウンロードし、新しいファイルを配置します。
/etc/rules/ 内のルール:
オインクマスター -o /etc/ルール
ローカル ファイル システムからルール アーカイブを取得し、次の内容が含まれていない限り何も出力しません。
更新されたルール:
オインクマスター -u ファイル:///tmp/rules.tar.gz -o /etc/ルール -q
デフォルトの場所からルール アーカイブをダウンロードし、古いルールが存在する場合はバックアップを作成します。
更新し、出力を電子メールで送信します。 (ただし、ファイルを配布する予定がある場合は、
Snort 設定ファイルなど、機密性が高いと見なされる可能性のある Oinkmaster を使用した場合
データベースのパスワードが含まれている場合は、出力を電子メールで送信しないでください。
最初にコンテンツを暗号化します。):
オインクマスター -o /etc/snort/ルール -b /etc/snort/バックアップ 2>&1 | \
電子メール -s "主題" [メール保護]
XNUMX つの異なるルール アーカイブを取得し、ダウンロードされたルール アーカイブに存在する変数をマージします。
snort.conf と foo.conf はありますが、ローカルの /etc/snort/snort.conf にはありません。
オインクマスター -u ファイル:///tmp/foo.rules.tar.gz \
-u http://somewhere/rules.tar.gz -u https://blah/rules.tar.gz \
-o /etc/ルール -S snort.conf -S foo.conf -U /etc/snort/snort.conf
XNUMX つの異なるファイルから設定をロードし、scp を使用してリモートからルール アーカイブをダウンロードします。
ルール アーカイブを配置したホスト、ダウンロードした snort.conf からの変数をマージし、
何か変更があった場合、またはエラー メッセージがあった場合にのみ、結果を電子メールで送信します。 それ
「mktemp」コマンドがシステムで使用できることを前提としています。
TMP = `mktemp /tmp/oinkmaster.XXXXXX` && \
(オインクマスター -C /etc/oinkmaster-global.conf \
-C /etc/oinkmaster-sensor.conf -o /etc/ルール \
-U /etc/snort.conf \
-u scp://[メール保護]:/home/user/rules.tar.gz \
> $ TMP 2>&1; if [ -s $ TMP ]; その後 電子メール -s "主題" \
[メール保護] < $TMP; フィ; rm $TMP)
onworks.net サービスを使用して oinkmaster オンラインを使用する
