Englisch Französisch Spanisch

Amazon Best VPN GoSearch

OnWorks-Favicon

oinkmaster - Online in der Cloud

Führen Sie oinkmaster im kostenlosen OnWorks-Hosting-Provider über Ubuntu Online, Fedora Online, Windows-Online-Emulator oder MAC OS-Online-Emulator aus

Dies ist der Befehl oinkmaster, der im kostenlosen OnWorks-Hosting-Provider über eine unserer zahlreichen kostenlosen Online-Workstations wie Ubuntu Online, Fedora Online, Windows-Online-Emulator oder MAC OS-Online-Emulator ausgeführt werden kann

PROGRAMM:

NAME/FUNKTION


Oinkmeister - Snort-Signaturen aktualisieren

ZUSAMMENFASSUNG


Oinkmeister -o draußen [Optionen]

BESCHREIBUNG


Oinkmaster ist ein einfaches Tool, mit dem Sie Ihre Snort-Regeln mit wenig oder gar keinem auf dem neuesten Stand halten können
Benutzerinteraktion. Es lädt einen Tarball mit den neuen Regeln herunter und kann dann aktivieren,
deaktivieren oder sogar beliebige Änderungen an bestimmten Regeln vornehmen, bevor Sie Ihr lokales Aktualisieren
Rules-Dateien. Es wird Ihnen auch die genauen Änderungen gegenüber Ihren vorherigen Regeln mitteilen.

OPTIONAL


Das einzige erforderliche Argument für Oinkmaster ist -o draußen woher draußen ist das Verzeichnis, das abgelegt werden soll
die neuen Regeldateien in. Hier sollten Sie Ihre Regeln lokal speichern. Das heruntergeladene
Dateien werden mit den hier enthaltenen verglichen, bevor sie möglicherweise überschrieben werden.

Optionale Argumente:

-b dir Wenn die Regeln geändert wurden, wird ein Tarball Ihrer alten Regeln eingefügt dir
bevor Sie sie mit den neuen Dateien überschreiben. Es wird kein Backup erstellt, wenn keine Datei vorhanden ist
geändert oder wenn Oinkmaster im vorsichtigen Modus läuft.

-c Führen Sie im vorsichtigen Modus aus. Das bedeutet, dass Oinkmaster nur nach Updates sucht und
drucken, aber nichts aktualisieren.

-C cfg Verwenden Sie diese Konfigurationsdatei anstelle der Standarddatei. Wenn nicht angegeben,
oinkmaster.conf wird gesucht in / Etc / und dann /usr/local/etc/. Du kannst dich
mehrere angeben -C cfg um mehrere Konfigurationsdateien zu laden. Sie werden geladen
in der Reihenfolge des Erscheinens in der Befehlszeile. Wenn eine Option neu definiert wird, überschreibt sie
der vorherige Wert (mit Ausnahme der Option "url", die Sie angeben dürfen
mehrere URLs).

-e Aktivieren Sie Regeln, die standardmäßig im heruntergeladenen Regelarchiv deaktiviert sind von
Entfernen Sie alle führenden "#" von ihnen. Wenn es deaktivierte Regeln im
archivieren, bleiben sie so, es sei denn, Sie verwenden diese Option. Denken Sie daran, dass sie
sind aus einem bestimmten Grund deaktiviert (sie funktionieren möglicherweise nicht einmal), also verwenden Sie diese Option mit Vorsicht.

-h Gültige Befehlszeilenargumente mit kurzen Beschreibungen anzeigen

-i Aktivieren Sie den interaktiven Modus. Sie werden aufgefordert, die Änderungen (falls vorhanden) vorher zu genehmigen
etwas aktualisieren.

-m Minimieren/vereinfachen Sie die Differenz beim Drucken des Ergebnisses für geänderte Regeln durch Entfernen
gemeinsame führende und nachfolgende Teile der alten und neuen Regel, damit es leichter zu erkennen ist
tatsächliche Veränderung. Ein paar Zeichen links und rechts neben der Änderung sind auch
gedruckt, damit Sie einen Kontext erhalten. Das Schlüsselwort rev wird ignoriert, wenn der Vergleich
und Entfernen von gemeinsamen Teilen wird durchgeführt, weil es oft die ganze Idee machen würde
Scheitern. (Wenn Sie es für wichtig halten, überprüfen zu können, ob die Drehzahl
erhöht, wenn eine Regel aktualisiert wurde, verwenden Sie nicht den minimierten Diff-Modus.)

Normalerweise, wenn sich eine Regel geändert hat, werden die gesamte alte und neue Version gedruckt, aber
der tatsächliche Wechsel zwischen ihnen kann schwer zu erkennen sein, wenn die Regeln lang und komplex sind
und viele.

Die normale Ausgabe könnte so aussehen:

Alt: alert tcp any any -> any 22 (msg: "foo"; flags: A+; rev:1;)
Neu: alert tcp any any -> any 123 (Nachricht: "foo"; Flags: A+; rev:2;)

Beim Benutzen -m es würde stattdessen ungefähr so ​​aussehen:

Alt: ...beliebig beliebig -> beliebig 22 (msg: "foo";...
Neu: ...any any -> any 123 (msg: "foo";...

-q Lauf im leisen Modus. Es wird nichts gedruckt, es sei denn, es gibt Änderungen in den Regeln oder wenn
es gibt Fehler oder Warnungen.

-Q Lauf im superleise Modus. Dies ist das gleiche wie -q aber noch leiser beim Drucken
die Ergebnisse (das Zeug "Keine." wird nicht gedruckt). Es wird auch einige andere unterdrücken
Warnmeldungen wie die für doppelte SIDs und nicht übereinstimmende Modifizierungs-IDs
Ausdrücke.

-r Suchen Sie nach Regeldateien, die im Ausgabeverzeichnis vorhanden sind, aber nicht im heruntergeladenen
Regelarchiv, dh Dateien, die möglicherweise aus dem Verteilungsarchiv entfernt wurden.

-s Lassen Sie Details beim Drucken von Ergebnissen aus (auch bekannt als bmc-Modus). Dies bedeutet, dass die gesamte
hinzugefügte / entfernte / geänderte Regeln werden nicht gedruckt, nur ihre SID und Msg
Zeichenfolge plus den Dateinamen. Nicht-Regeländerungen werden wie gewohnt gedruckt. Dieser Ausgabemodus
könnte zum Beispiel nützlich sein, wenn Sie die Ausgabe per E-Mail an Personen senden, die dies nicht tun
sich wirklich um die Details der Regeln kümmern, nur die Tatsache, dass sie es waren
Aktualisiert. Beispielausgabe bei Ausführung mit -s

[+++] Regeln hinzugefügt: [+++]

1607 - WEB-CGI HyperSeek hsx.cgi-Zugriff (web-cgi.rules)
1775 - MYSQL-Root-Anmeldeversuch (mysql.rules)

[///] Geänderte aktive Regeln: [///]

302 - EXPLOIT Redhat 7.0 lprd-Überlauf (exploit.rules)
304 - EXPLOIT SCO-Calserver-Überlauf (exploit.rules)
305 - EXPLOIT-Delegierten-Proxy-Überlauf (exploit.rules)
306 - EXPLOIT VQServer-Administrator (exploit.rules)

-S Datei
Wird in Verbindung mit verwendet -U um anzugeben, welche Datei(en) im heruntergeladenen
Archiv(e), um nach neuen Variablen zu suchen. Wenn nicht angegeben, wird snort.conf überprüft.
Sie können mehrere angeben -S Datei um in mehreren Dateien nach neuen Variablen zu suchen.

-T Überprüfen Sie die Konfigurationsdatei(en) auf schwerwiegende Fehler und beenden Sie sie dann. Mögliche Warnung
Nachrichten werden auch gedruckt.

-u URL Laden Sie das Regelarchiv herunter von URL anstelle des im angegebenen Ortes
Konfigurationsdatei. Es muss mit file://, ftp://, http://, https:// oder . beginnen
scp:// und enden Sie mit ".tar.gz" oder ".tgz". Die Datei muss ein mit Gzip komprimierter Tarball sein
enthält ein Verzeichnis namens "rules", das alle Regeldateien enthält. Es darf nicht
enthalten alle symbolischen Links. Sie können auch mit auf ein lokales Verzeichnis verweisen
dir:// . Für die offiziellen Snort-Regeln hängt die zu verwendende URL von den
Version von Snort, die Sie ausführen, und möglicherweise ist auch eine Registrierung erforderlich. Besuchen Sie die Regeln
Download-Bereich auf der Snort-Website, um die richtige URL und weitere Informationen zu finden.
Denken Sie daran, die URL zu aktualisieren, wenn Sie auf eine neue Hauptversion von Snort aktualisieren.

Sie können mehrere angeben -u URL um mehrere Regelarchive von verschiedenen zu greifen
Standorte. Alle Regeldateien in den Archiven werden im selben Ausgabeverzeichnis abgelegt
Wenn also derselbe Dateiname in mehreren Archiven vorhanden ist, druckt Oinkmaster einen Fehler
Nachricht und verlassen. Aus diesem Grund wird normalerweise empfohlen, stattdessen Oinkmaster auszuführen
einmal für jede URL und verwenden Sie separate Ausgabeverzeichnisse. Wenn -u URL angegeben ist, es
überschreibt alle URLs, die in der/den Konfigurationsdatei(en) angegeben sind. Beachten Sie, dass bei mehreren
URLs sind angegeben und eine davon ist defekt, Oinkmaster wird sofort beendet
ohne weitere Bearbeitung. Dies kann je nach Situation gut oder schlecht sein.

-U Datei
Variablen (zB "var foo bar" Zeilen), die in der heruntergeladenen snort.conf vorhanden sind, aber nicht in
Datei wird hinzugefügt Datei direkt nach allen anderen darin enthaltenen Variablen.
Geänderte vorhandene Variablen werden nicht zusammengeführt, nur neue. Datei ist normalerweise dein
Produktionskopie von snort.conf (die keine Datei sein sollte, die von
Oinkmaster ganz normal). Diese Funktion soll verhindern, dass Snort im Fall bricht
den heruntergeladenen Regeln wurden neue Variablen hinzugefügt, da Snort nicht starten kann, wenn
die Regeln verwenden Variablen, die nirgendwo definiert sind. Standardmäßig bei Verwendung -U ,
die Datei snort.conf im heruntergeladenen Archiv sucht nach neuen Variablen, aber Sie
kann dies mit dem überschreiben -S Datei Streit. Wenn Sie von mehreren URLs herunterladen,
Oinkmaster sucht in jedem heruntergeladenen Regelarchiv nach einer snort.conf.

-v Im ausführlichen/Debug-Modus ausführen. Sollte wahrscheinlich nur verwendet werden, wenn Sie debuggen müssen
Ihre Einstellungen, z. B. die Überprüfung komplexer modifysid-Anweisungen. Es wird dir auch sagen
wenn Sie versuchen, "disablesid" für nicht vorhandene SIDs zu verwenden. Warnhinweise zur Verwendung
enableid/localsid/modifysid auf nicht existierenden SIDs werden immer gedruckt, es sei denn, es wird ausgeführt
im stillen Modus, da diese normalerweise wichtiger sind (mit "disablesid" auf einem
bestehende Regel ist sowieso ein NOOP).

-V Version anzeigen und beenden.

Beispiele:


Laden Sie das Regelarchiv vom in oinkmaster.conf angegebenen Standardspeicherort herunter und legen Sie das neue
Regeln in /etc/rules/:

Oinkmeister -o /etc/regeln

Holen Sie sich das Regelarchiv aus dem lokalen Dateisystem und drucken Sie nichts, es sei denn, es enthält
aktualisierte Regeln:

Oinkmeister -u file:///tmp/rules.tar.gz -o /etc/regeln -q

Laden Sie das Regelarchiv vom Standardspeicherort herunter, erstellen Sie ein Backup der alten Regeln, falls vorhanden
Updates und senden Sie die Ausgabe per E-Mail. (Beachten Sie jedoch, dass, wenn Sie Dateien verteilen möchten
mit Oinkmaster, die als sensibel angesehen werden könnten, wie z. B. Snort-Konfigurationsdateien
Datenbankpasswörter enthalten, sollten Sie die Ausgabe natürlich nicht ohne
zuerst den Inhalt verschlüsseln.):

Oinkmeister -o / etc / snort / rules -b /etc/snort/backup 2> & 1 | \
E-mail -s "Gegenstand" [E-Mail geschützt]

Schnappen Sie sich drei verschiedene Regelarchive und führen Sie Variablen zusammen, die in heruntergeladenen Dateien vorhanden sind
snort.conf und foo.conf, aber nicht in der lokalen /etc/snort/snort.conf:

Oinkmeister -u file:///tmp/foo.rules.tar.gz \
-u http://somewhere/rules.tar.gz -u https://blah/rules.tar.gz \
-o /etc/regeln -S snort.conf -S foo.conf -U /etc/snort/snort.conf

Laden Sie die Einstellungen aus zwei verschiedenen Dateien, verwenden Sie scp, um das Regelarchiv von einer Fernbedienung herunterzuladen
Host, auf dem Sie das Regelarchiv abgelegt haben, Variablen aus der heruntergeladenen snort.conf zusammenführen und
Ergebnisse per E-Mail nur versenden, wenn sich etwas geändert hat oder Fehlermeldungen aufgetreten sind. Es
geht davon aus, dass der Befehl "mktemp" auf dem System verfügbar ist:

TMP=`mktemp /tmp/oinkmaster.XXXXXX` && \
(Oinkmeister -C /etc/oinkmaster-global.conf \
-C /etc/oinkmaster-sensor.conf -o /etc/regeln \
-U /etc/snort.conf \
-u scp://[E-Mail geschützt] :/home/user/rules.tar.gz \
> $TMP 2>&1; if [ -s $TMP ]; dann E-mail -s "Gegenstand" \
[E-Mail geschützt] < $TMP; fi; rm $TMP)

Verwenden Sie oinkmaster online mit den onworks.net-Diensten


Kostenlose Server & Workstations

Laden Sie Windows- und Linux-Apps herunter

Linux-Befehle

Ad




Copyright ©2025 OffiDocs Group OU. Alle Rechte vorbehalten. OffiDocs® ist eine eingetragene Marke.

Verwaltet von Organisationseinheit der OffiDocs-Gruppe | VPS-Hosting by OnWorks | OffiDocs IT-Sicherheit.

×
Werbung
❤ ️Hier einkaufen, buchen oder kaufen – kostenlos, damit die Dienste kostenlos bleiben.