זוהי הפקודה oinkmaster שניתן להריץ בספק האירוח החינמי של OnWorks באמצעות אחת מתחנות העבודה המקוונות החינמיות שלנו כגון Ubuntu Online, Fedora Online, אמולטור מקוון של Windows או אמולטור מקוון של MAC OS.
תָכְנִית:
שֵׁם
אונקמאסטר - עדכון חתימות Snort
תַקצִיר
אונקמאסטר -o outdir [אפשרויות]
תיאור
Oinkmaster הוא כלי פשוט שעוזר לך לשמור על חוקי ה-Snort שלך מעודכנים עם מעט מאוד או ללא כל ניסיון.
אינטראקציה עם המשתמש. הוא מוריד קובץ tarball המכיל את הכללים החדשים ואז יכול להפעיל,
השבת או אפילו בצע שינויים שרירותיים בכללים שצוינו לפני עדכון המקומי שלך
קבצי rules. זה גם יציג בפניך את השינויים המדויקים מהכללים הקודמים שלך.
אפשרויות
הארגומנט היחיד הנדרש לאוינמאסטר הוא -o outdir איפה outdir האם הספרייה לשים
קבצי הכללים החדשים. זה אמור להיות המקום שבו אתה שומר את הכללים שלך באופן מקומי. הקבצים שהורדת
הקבצים יושוו לאלה שבמקרה זה לפני שניתן יהיה להחליף אותם.
טיעונים אופציונליים:
-b dir אם הכללים שונו, יוכנס קובץ tarball של הכללים הישנים שלך. dir
לפני החלפתם בקבצים החדשים. לא מתבצע גיבוי אם לא קיים קובץ
השתנה או אם Oinkmaster פועל במצב זהיר.
-c הפעל במצב זהיר. משמעות הדבר היא ש-Oinkmaster יבדוק רק עדכונים ו
להדפיס אותם, אבל לא לעדכן כלום.
-C cfg השתמש בקובץ תצורה זה במקום קובץ ברירת המחדל. אם לא צוין,
oinkmaster.conf ייחפש ב /וכו/ ולאחר מכן /usr/local/etc/. אתה יכול
ציין מספר רב -C cfg כדי לטעון קבצי תצורה מרובים. הם ייטענו
לפי סדר הופעתה בשורת הפקודה. אם אפשרות מוגדרת מחדש, היא גוברת על
הערך הקודם (למעט האפשרות "url", כפי שמותר לך לציין)
כתובות URL מרובות).
-e הפעל כללים המושבתים כברירת מחדל בארכיון הכללים שהורדת על ידי
הסרת כל הסימנים ה-"#" המובילים מהם. אם ישנם כללים מושבתים ב-
ארכיון, הם יישארו כך אלא אם כן תשתמשו באפשרות זו. זכרו שהם
מושבתים מסיבה כלשהי (ייתכן שהם אפילו לא יעבדו), לכן השתמשו באפשרות זו בזהירות.
-h הצג ארגומנטים חוקיים של שורת פקודה עם תיאורים קצרים
-i הפעל מצב אינטראקטיבי. תתבקש לאשר את השינויים (אם ישנם) לפני כן.
מעדכן כל דבר.
-m מזעור/פישוט ההבדל בעת הדפסת תוצאה עבור כללים שהשתנו על ידי הסרה
חלקים משותפים מובילים ומאחורי הכלל הישן והחדש, כך שיהיה קל יותר לראות את
שינוי בפועל. כמה תווים משמאל ומימין לשינוי גם כן
מודפס כדי לקבל קצת הקשר. מילת המפתח rev מתעלמת בעת ההשוואה
והסרת חלקים משותפים מתבצעת מכיוון שלעתים קרובות זה יהפוך את הרעיון כולו
נכשל. (אם אתה מרגיש שחשוב לוודא שמספר הסיבובים
(מוגבר כאשר כלל עודכן, אין להשתמש במצב הבדל ממוזער.)
בדרך כלל, כאשר כלל משתנה, מודפסות כל הגרסאות הישנות והחדשות, אך
קשה לראות את השינוי בפועל ביניהם אם הכללים ארוכים ומורכבים
ורבים.
הפלט הרגיל יכול להיראות כך:
ישן: התראה tcp any any -> any 22 (הודעה: "foo"; דגלים: A+; גרסה:1;)
חדש: התראה tcp any any -> any 123 (הודעה: "foo"; דגלים: A+; גרסה:2;)
כשמשתמש -m זה ייראה במקום זאת משהו כזה:
ישן: ...כל כל -> כל 22 (הודעה: "foo";...
חדש: ...כל כל אחד -> כל אחד 123 (הודעה: "foo";...
-q הפעל במצב שקט. שום דבר לא מודפס אלא אם כן יש שינויים בכללים או אם
ישנן שגיאות או אזהרות.
-Q הפעל במצב שקט במיוחד. זה אותו הדבר כמו -q אבל אפילו יותר שקט בעת הדפסה
התוצאות (הדבר "אין" לא מודפס). זה גם ידכא תוצאות אחרות
הודעות אזהרה כגון אלו עבור SID כפולים ו-modifiesid שאינם תואמים
ביטויים.
-r בדוק אם קיימים קבצי כללים בספריית הפלט אך לא בקובץ שהורדת.
ארכיון הכללים, כלומר קבצים שייתכן שהוסרו מארכיון ההפצה.
-s השמט פרטים בעת הדפסת תוצאות (הידוע גם כמצב bmc). משמעות הדבר היא שהכל
כללים שנוספו/הוסרו/שונו לא יודפסו, רק ה-SID וההודעות שלהם.
מחרוזת, בתוספת שם הקובץ. שינויים שאינם כללים מודפסים כרגיל. מצב פלט זה
יכול להיות שימושי למשל אם תשלח את הפלט בדוא"ל לאנשים שלא
באמת אכפת לי מפרטי הכללים, רק מהעובדה שהם נקבעו
עודכן. פלט לדוגמה בעת הפעלה עם -s
[+++] כללים שנוספו: [+++]
1607 - גישה לקובץ hsx.cgi של WEB-CGI HyperSeek (web-cgi.rules)
1775 - ניסיון כניסה למערכת root של MYSQL (mysql.rules)
[///] כללים פעילים שהשתנו: [///]
302 - גלישת lprd של Redhat 7.0 EXPLOIT (exploit.rules)
304 - גלישת שרת EXPLOIT SCO (exploit.rules)
305 - גלישת פרוקסי של נציג EXPLOIT (exploit.rules)
306 - מנהל שרת VQ של EXPLOIT (exploit.rules)
-S פילה
משמש בשילוב עם עם -U כדי לציין אילו קבצים בקובץ שהורדת
ארכיון/ים כדי לחפש משתנים חדשים. כאשר לא צוין, snort.conf מסומן.
ניתן לציין מספר רב של -S פילה לחפש משתנים חדשים בקבצים מרובים.
-T בדוק את קובץ/י התצורה לאיתור שגיאות חמורות ולאחר מכן צא. אזהרה אפשרית
גם הודעות מודפסות.
-u כתובת אתר הורד את ארכיון החוקים מ כתובת אתר במקום המיקום שצוין ב-
קובץ תצורה. הוא חייב להתחיל ב-file://, ftp://, http://, https:// או
scp:// ומסתיים ב-".tar.gz" או ".tgz". הקובץ חייב להיות קובץ tarball עם דחיפה גזיפית
המכיל ספרייה בשם "rules", המכילה את כל קבצי ה-rules. אסור לה
מכיל קישורים סימבוליים. ניתן גם להצביע על ספרייה מקומית עם
dir:// עבור כללי Snort הרשמיים, כתובת האתר לשימוש תלויה ב
גרסת Snort שאתם מפעילים וייתכן שהיא דורשת גם רישום. בקרו בכללים
מדור ההורדות באתר האינטרנט של Snort כדי למצוא את כתובת האתר הנכונה ומידע נוסף.
זכור לעדכן את כתובת ה-URL בעת שדרוג לגרסה ראשית חדשה של Snort.
ניתן לציין מספר רב של -u כתובת אתר לאסוף מספר ארכיוני כללים ממקורות שונים
מיקומים. כל קבצי הכללים בארכיון יועברו לאותה ספריית פלט
אז אם אותו שם קובץ קיים במספר ארכיונים, Oinkmaster ידפיס שגיאה
הודעה ויציאה. לכן בדרך כלל מומלץ להפעיל את Oinkmaster במקום זאת
פעם אחת עבור כל כתובת URL והשתמשו בספריות פלט נפרדות. אם -u כתובת אתר מצוין, זה
עוקפת כל כתובת URL שצוינה בקובץ/קבצי התצורה. שים לב שאם מספר
כתובות URL צוינו ואחת מהן שבורה, Oinkmaster ייסגר מיד
ללא עיבוד נוסף. זה יכול להיות טוב או רע, תלוי במצב.
-U פילה
משתנים (למשל, שורות "var foo bar") שקיימים בקובץ snort.conf שהורדת אך לא בקובץ
פילה יתווסף ל פילה מיד לאחר כל משתנה אחר שהוא עשוי להכיל.
משתנים קיימים שעברו שינוי אינם ממוזגים, אלא רק חדשים. פילה הוא בדרך כלל שלך
עותק ייצור של snort.conf (שאינו אמור להיות קובץ שמתעדכן על ידי
(Oinkmaster בדרך הרגילה). תכונה זו נועדה למנוע מה-Snort להישבר במקרה
ישנם משתנים חדשים שנוספו בכללים שהורדו, מכיוון ש-Snort לא יכול להתחיל אם
הכללים משתמשים במשתנים שאינם מוגדרים בשום מקום. כברירת מחדל בעת שימוש -U ,
הקובץ snort.conf בארכיון שהורדת מחפש משתנים חדשים אבל אתה
יכול לעקוף את זה עם ה- -S פילה ארגומנט. אם אתה מוריד ממספר כתובות URL,
Oinkmaster יחפש snort.conf בכל ארכיון חוקים שהורד.
-v הפעל במצב verbose/debug. כנראה שצריך להשתמש בו רק במקרה שצריך לבצע ניפוי באגים
ההגדרות שלך, כמו אימות משפטי modifisid מורכבים. זה גם יגיד לך
אם תנסה להשתמש ב-"disablesid" על מזהי SID שאינם קיימים. אזהרות לגבי שימוש
enablesid/localsid/modifysid על מזהי SID שאינם קיימים תמיד מודפסים אלא אם כן הם פועלים
במצב שקט, מכיוון שאלו בדרך כלל חשובים יותר (שימוש ב-"disablesid" במצב שאינו-
כלל קיים הוא בכל מקרה NOOP).
-V הצג גרסה וצא.
דוגמאות
הורד את ארכיון הכללים ממיקום ברירת המחדל שצוין ב- oinkmaster.conf והכנס את החדש
כללים בקובץ /etc/rules/:
אונקמאסטר -o /etc/rules
אחזר את ארכיון הכללים ממערכת הקבצים המקומית ואל תדפיס דבר אלא אם כן הוא מכיל
כללים מעודכנים:
אונקמאסטר -u קובץ:///tmp/rules.tar.gz -o /etc/rules -q
הורד את ארכיון הכללים ממיקום ברירת המחדל, צור גיבוי של כללים ישנים אם היו
עדכונים, ולשלוח פלט בדוא"ל. (עם זאת, שימו לב שאם אתם מתכננים להפיץ קבצים
עם Oinkmaster שעלולים להיחשב רגישים, כגון קבצי תצורה של Snort
המכיל סיסמאות מסד נתונים, כמובן שלא כדאי לשלוח את הפלט בדוא"ל ללא
ראשית הצפנת התוכן.):
אונקמאסטר -o /etc/snort/rules -b /etc/snort/backup 2> & 1 | \
דואר -s "נוֹשֵׂא" [מוגן בדוא"ל]
קח שלושה ארכיוני כללים שונים ומזג משתנים שקיימים בארכיונים שהורדת
snort.conf ו- foo.conf אבל לא בקובץ /etc/snort/snort.conf המקומי:
אונקמאסטר -u קובץ:///tmp/foo.rules.tar.gz \
-u http://somewhere/rules.tar.gz -u https://blah/rules.tar.gz \
-o /etc/rules -S snort.conf -S foo.conf -U /etc/snort/snort.conf
טען הגדרות משני קבצים שונים, השתמש ב-scp כדי להוריד את ארכיון הכללים מרחוק
המארח שבו שמת את ארכיון הכללים, מיזוג משתנים מקובץ snort.conf שהורדת, ו
לשלוח תוצאות בדוא"ל רק אם משהו השתנה או אם היו הודעות שגיאה. זה
בהנחה שהפקודה "mktemp" זמינה במערכת:
TMP=`mktemp /tmp/oinkmaster.XXXXXX` && \
(אוינקמאסטר -C /etc/oinkmaster-global.conf \
-C /etc/oinkmaster-sensor.conf -o /etc/rules \
-U /etc/snort.conf \
-u scp://[מוגן בדוא"ל]:/home/user/rules.tar.gz \
> $TMP 2>&1; if [ -s $TMP ]; אז דואר -s "נוֹשֵׂא" \
[מוגן בדוא"ל] < $TMP; fi; rm $TMP)
השתמש ב-oinkmaster באופן מקוון באמצעות שירותי onworks.net
