Ini ialah arahan oinkmaster yang boleh dijalankan dalam penyedia pengehosan percuma OnWorks menggunakan salah satu daripada berbilang stesen kerja dalam talian percuma kami seperti Ubuntu Online, Fedora Online, emulator dalam talian Windows atau emulator dalam talian MAC OS.
JADUAL:
NAMA
oinkmaster - kemas kini tandatangan Snort
SINOPSIS
oinkmaster -o luar [pilihan]
DESCRIPTION
Oinkmaster ialah alat mudah yang membantu anda mengekalkan peraturan Snort anda semasa dengan sedikit atau tidak
interaksi pengguna. Ia memuat turun bola tar yang mengandungi peraturan baharu dan kemudian boleh mendayakan,
lumpuhkan atau bahkan buat pengubahsuaian sewenang-wenangnya pada peraturan tertentu sebelum mengemas kini setempat anda
fail peraturan. Ia juga akan memberitahu anda perubahan tepat daripada peraturan anda sebelum ini.
PILIHAN
Satu-satunya hujah yang diperlukan untuk Oinkmaster ialah -o luar di mana luar adalah direktori untuk diletakkan
fail peraturan baharu. Ini sepatutnya menjadi tempat anda menyimpan peraturan anda secara setempat. Yang dimuat turun
fail akan dibandingkan dengan yang ada di sini sebelum mungkin menimpanya.
Hujah pilihan:
-b dir Jika peraturan telah diubah suai, tarball peraturan lama anda akan dimasukkan dir
sebelum menimpanya dengan fail baharu. Tiada sandaran dilakukan jika tiada fail mempunyai
berubah atau jika Oinkmaster berjalan dalam mod berhati-hati.
-c Jalankan dalam mod berhati-hati. Ini bermakna Oinkmaster hanya akan menyemak kemas kini dan
mencetaknya, tetapi tidak mengemas kini apa-apa.
-C cfg Gunakan fail konfigurasi ini dan bukannya fail lalai. Jika tidak dinyatakan,
oinkmaster.conf akan dicari dalam /dan lain-lain/ dan kemudian /usr/local/etc/. Anda boleh
nyatakan berbilang -C cfg untuk memuatkan berbilang fail konfigurasi. Mereka akan dimuatkan
mengikut susunan penampilan pada baris arahan. Jika pilihan ditakrifkan semula, ia akan mengatasi
nilai sebelumnya (kecuali untuk pilihan "url", seperti yang anda dibenarkan untuk menentukan
berbilang URL).
-e Dayakan peraturan yang dilumpuhkan secara lalai dalam arkib peraturan yang dimuat turun oleh
mengalih keluar semua "#" terkemuka daripada mereka. Jika terdapat sebarang peraturan kurang upaya dalam
arkib, mereka akan kekal begitu melainkan anda menggunakan pilihan ini. Ingat bahawa mereka
dilumpuhkan atas sebab tertentu (mereka mungkin tidak berfungsi), jadi gunakan pilihan ini dengan berhati-hati.
-h Tunjukkan hujah baris arahan yang sah dengan penerangan ringkas
-i Dayakan mod interaktif. Anda akan diminta untuk meluluskan perubahan (jika ada) sebelum ini
mengemas kini apa sahaja.
-m Minimumkan/mudahkan perbezaan apabila mencetak keputusan untuk peraturan yang diubah suai dengan mengalih keluar
bahagian utama dan belakang biasa peraturan lama dan baharu supaya lebih mudah untuk melihat
perubahan sebenar. Beberapa aksara di sebelah kiri dan di sebelah kanan perubahan juga
dicetak supaya anda mendapat beberapa konteks. Kata kunci rev diabaikan apabila perbandingan
dan penyingkiran bahagian biasa dilakukan kerana ia selalunya akan menghasilkan keseluruhan idea
gagal. (Jika anda rasa penting untuk dapat mengesahkan bahawa nombor rev mempunyai
meningkat apabila peraturan telah dikemas kini, jangan gunakan mod perbezaan yang diminimumkan.)
Biasanya apabila peraturan telah berubah, keseluruhan versi lama dan baharu dicetak, tetapi
perubahan sebenar antara mereka boleh menjadi sukar untuk melihat sama ada peraturannya panjang, rumit
dan banyak.
Output biasa boleh kelihatan seperti ini:
Lama: makluman tcp sebarang sebarang -> sebarang 22 (msg: "foo"; bendera: A+; rev:1;)
Baharu: makluman tcp sebarang sebarang -> sebarang 123 (msg: "foo"; bendera: A+; rev:2;)
Apabila menggunakan -m ia sebaliknya akan kelihatan seperti:
Lama: ...mana-mana mana-mana -> mana-mana 22 (msg: "foo";...
Baharu: ...mana-mana mana-mana -> mana-mana 123 (msg: "foo";...
-q Jalankan dalam mod senyap. Tiada apa-apa yang dicetak melainkan terdapat perubahan dalam peraturan atau jika
terdapat kesilapan atau amaran.
-Q Jalankan dalam mod sangat senyap. Ini sama dengan -q tetapi lebih senyap apabila mencetak
keputusan (bahan "Tiada." tidak dicetak). Ia juga akan menindas beberapa yang lain
mesej amaran seperti untuk SID pendua dan modifysid yang tidak sepadan
ungkapan.
-r Semak fail peraturan yang wujud dalam direktori output tetapi tidak dalam fail yang dimuat turun
arkib peraturan, iaitu fail yang mungkin telah dialih keluar daripada arkib pengedaran.
-s Tinggalkan butiran semasa mencetak keputusan (aka mod bmc). Ini bermakna bahawa keseluruhan
peraturan ditambah / dikeluarkan / diubah suai tidak akan dicetak, hanya SID dan mesej mereka
rentetan, ditambah dengan nama fail. Perubahan bukan peraturan dicetak seperti biasa. Mod keluaran ini
boleh berguna sebagai contoh jika anda menghantar output melalui e-mel kepada orang yang tidak
benar-benar mengambil berat tentang butiran peraturan, hanya fakta bahawa ia telah berlaku
dikemas kini. Contoh output apabila berjalan dengan -s
[+++] Peraturan tambahan: [+++]
1607 - Akses hsx.cgi WEB-CGI HyperSeek (web-cgi.rules)
1775 - percubaan log masuk akar MYSQL (mysql.rules)
[///] Peraturan aktif yang diubah suai: [///]
302 - EXPLOIT Redhat 7.0 limpahan lprd (exploit.rules)
304 - EKSPLOIT SCO limpahan calserver (exploit.rules)
305 - EXPLOIT limpahan proksi perwakilan (exploit.rules)
306 - EXPLOIT VQServer admin (exploit.rules)
-S fail
Digunakan bersama dengan -U untuk menentukan fail yang mana dalam dimuat turun
arkib untuk mencari pembolehubah baharu. Apabila tidak dinyatakan, snort.conf ditandakan.
Anda boleh menentukan berbilang -S fail untuk mencari pembolehubah baharu dalam berbilang fail.
-T Semak fail konfigurasi untuk ralat maut dan kemudian keluar. Amaran yang mungkin
mesej dicetak juga.
-u url Muat turun arkib peraturan daripada url bukannya lokasi yang dinyatakan dalam
fail konfigurasi. Ia mesti bermula dengan fail://, ftp://, http://, https:// atau
scp:// dan berakhir dengan ".tar.gz" atau ".tgz". Fail mestilah tarball yang digzip
mengandungi direktori bernama "peraturan", memegang semua fail peraturan. Ia mesti tidak
mengandungi sebarang symlink. Anda juga boleh menunjuk ke direktori tempatan dengan
dir:// . Untuk peraturan Snort rasmi, URL untuk digunakan bergantung pada
versi Snort yang anda jalankan dan ia juga mungkin memerlukan pendaftaran. Lawati peraturan
muat turun bahagian di tapak web Snort untuk mencari URL yang betul dan maklumat lanjut.
Ingat untuk mengemas kini URL apabila menaik taraf kepada versi utama Snort baharu.
Anda boleh menentukan berbilang -u url untuk merebut berbilang arkib peraturan daripada berbeza
lokasi. Semua fail peraturan dalam arkib akan dimasukkan ke dalam direktori output yang sama
jadi jika nama fail yang sama wujud dalam berbilang arkib, Oinkmaster akan mencetak ralat
mesej dan keluar. Itulah sebabnya biasanya disyorkan untuk menjalankan Oinkmaster
sekali untuk setiap URL dan gunakan direktori output yang berasingan. Jika -u url dinyatakan, ia
mengatasi mana-mana URL yang dinyatakan dalam fail konfigurasi. Perhatikan bahawa jika berbilang
URL ditentukan dan salah satu daripadanya rosak, Oinkmaster akan keluar serta-merta
tanpa pemprosesan selanjutnya. Ini boleh menjadi baik atau buruk, bergantung pada keadaan.
-U fail
Pembolehubah (iaitu baris "bar foo bar") yang wujud dalam snort.conf yang dimuat turun tetapi tidak dalam
fail akan ditambah ke fail sejurus selepas sebarang pembolehubah lain yang mungkin mengandungi.
Pembolehubah sedia ada yang diubah suai tidak digabungkan, hanya yang baharu. fail biasanya anda
salinan pengeluaran snort.conf (yang tidak sepatutnya menjadi fail yang dikemas kini oleh
Oinkmaster cara biasa). Ciri ini adalah untuk mengelakkan Snort daripada pecah sekiranya berlaku
terdapat pembolehubah baharu ditambah dalam peraturan yang dimuat turun, kerana Snort tidak boleh bermula jika
peraturan menggunakan pembolehubah yang tidak ditakrifkan di mana-mana. Secara lalai apabila menggunakan -U ,
fail snort.conf dalam arkib yang dimuat turun adalah mencari pembolehubah baharu tetapi anda
boleh mengatasi ini dengan -S fail hujah. Jika anda memuat turun daripada berbilang URL,
Oinkmaster akan mencari snort.conf dalam setiap arkib peraturan yang dimuat turun.
-v Jalankan dalam mod verbose/debug. Mungkin hanya boleh digunakan sekiranya anda perlu nyahpepijat
tetapan anda, seperti mengesahkan pernyataan modifysid yang kompleks. Ia juga akan memberitahu anda
jika anda cuba menggunakan "disablesid" pada SID yang tidak wujud. Amaran tentang penggunaan
enablesid/localsid/modifysid pada SID yang tidak wujud sentiasa dicetak melainkan berjalan
dalam mod senyap, kerana itu biasanya lebih penting (menggunakan "disablesid" pada bukan-
peraturan sedia ada adalah NOOP pula).
-V Tunjukkan versi dan keluar.
CONTOH
Muat turun arkib peraturan dari lokasi lalai yang dinyatakan dalam oinkmaster.conf dan letakkan yang baharu
peraturan dalam /etc/rules/:
oinkmaster -o /etc/rules
Grab peraturan arkib daripada sistem fail tempatan dan jangan cetak apa-apa melainkan ia mengandungi
peraturan yang dikemas kini:
oinkmaster -u fail:///tmp/rules.tar.gz -o /etc/rules -q
Muat turun arkib peraturan dari lokasi lalai, buat sandaran peraturan lama jika ada
kemas kini, dan menghantar output melalui e-mel. (Namun ambil perhatian bahawa jika anda merancang untuk mengedarkan fail
dengan Oinkmaster yang boleh dianggap sensitif, seperti fail konfigurasi Snort
mengandungi kata laluan pangkalan data, anda sudah tentu tidak perlu menghantar output melalui e-mel tanpa
mula-mula menyulitkan kandungan.):
oinkmaster -o /etc/snort/rules -b /etc/snort/backup 2> & 1 | \
mel -s "subjek" [e-mel dilindungi]
Dapatkan tiga arkib peraturan berbeza dan gabungkan pembolehubah yang wujud dalam dimuat turun
snort.conf dan foo.conf tetapi bukan dalam /etc/snort/snort.conf setempat:
oinkmaster -u fail:///tmp/foo.rules.tar.gz \
-u http://somewhere/rules.tar.gz -u https://blah/rules.tar.gz \
-o /etc/rules -S mendengus.conf -S foo.conf -U /etc/snort/snort.conf
Muatkan tetapan daripada dua fail berbeza, gunakan scp untuk memuat turun arkib peraturan dari alat kawalan jauh
hos di mana anda telah meletakkan arkib peraturan, gabungkan pembolehubah daripada snort.conf yang dimuat turun dan
hantar hasil melalui e-mel hanya jika ada yang berubah atau jika terdapat sebarang mesej ralat. Ia
menganggap bahawa arahan "mktemp" tersedia pada sistem:
TMP=`mktemp /tmp/oinkmaster.XXXXXX` && \
(oinkmaster -C /etc/oinkmaster-global.conf \
-C /etc/oinkmaster-sensor.conf -o /etc/rules \
-U /etc/snort.conf \
-u scp://[e-mel dilindungi]:/home/user/rules.tar.gz \
> $TMP 2>&1; if [ -s $TMP ]; kemudian mel -s "subjek" \
[e-mel dilindungi] < $TMP; fi; rm $TMP)
Gunakan oinkmaster dalam talian menggunakan perkhidmatan onworks.net
