●oinkmasterによる自動アップデート動作テスト |
・動作テスト用ディレクトリ/tmp/snortの作成
oinkmasterはroot権限では動作しないようになっているため、ユーザーoinkmasterとして実行する。ルート権限で実行した場合
# ./oinkmaster.pl -o /tmp/snort Don't run as root! Exiting at ./oinkmaster.pl line 65. |
と表示されて動作しない。また、ルールファイルはSnortの動作を決める重要なファイルなので、いきなり/etc/snortを更新しないほうがよい。まず「/tmp」などにアップデートテスト用の仮のディレクトリ(ここでは「/tmp/snort」)を作成して、Oinkmasterのアップデートテストを行ってみよう。
# mkdir /tmp/snort # chown -R snort.snort /tmp/snort # chmod 770 /tmp/snort |
・Oinkmasterのテストを実行する
それでは、Oinkmasterのテストを実行してみよう。まずはrootから「su oinkmaster」を実行してoinkmasterユーザーでログインし、先ほど作成したテスト用ディレクトリ(/tmp/snort)でのアップデートを実行する。
基本的な起動コマンドは
./oinkmaster.pl -o [アップデートを行うディレクトリへのパス] -b [バックアップを行うディレクトリへのパス] |
のようになる。
ユーザーoinmkasterにスイッチして「./oinkmaster.pl -o /tmp/snort」を実行すると、以下のようなログが表示されるはずだ。
# cd /usr/local/oinkmaster # su oinkmaster $ ./oinkmaster.pl -o /tmp/snort Downloading rules archive from http://www.snort.org/dl/signatures/snortrules.tar [***] Results from Oinkmaster started Sat Jun 29 05:07:07 2002 [***] [*] Rules added/removed/modified: [*] [*] Non-rule lines added/removed: [*] [*] Added files (consider updating your snort.conf to include them): [*] |
上記にあるような「Results from Oinkmaster…」以下の画面を確認したあと、/tmp/snortに移動し、正常にダウンロードされているか確認する。
# cd /tmp/snort # ls attack-responses.rulesicmp.rules sql.rules backdoor.rulesinfo.rules telnet.rules bad-traffic.rules misc.rules tftp.rules classification.config netbios.rulesvirus.rules ddos.rulespolicy.rules web-attacks.rules dns.rules porn.rules web-cgi.rules dos.rules rpc.rulesweb-coldfusion.rules exploit.rules rservices.rulesweb-frontpage.rules finger.rulesscan.rules web-iis.rules ftp.rules shellcode.rulesweb-misc.rules icmp-info.rules smtp.rules x11.rules |
フォントサイズを 大きくする / 小さくする(※Internet Explorer4.0以上)
問題なくルールセットがダウンロードされていることが確認できたら、実際に稼働している/etc/snortへのアップデートを行ってみよう。
現在使用しているルールセットは「/etc/snort/backup」に保存するよう、起動時に指定する。ルールセットのアップデートが完了したら、アップデートおよびバックアップが正常に行われているかチェックしておこう。
# cd /usr/local/oinkmaster # su oinkmaster $ ./oinkmaster.pl -o /etc/snort -b /etc/snort/backup |
○バックアップファイルの確認
バックアップ用のディレクトリに移動すると、圧縮されたファイルが存在するはずだ。以下の手順で確認しておこう。
# cd /etc/snort/backup # ls rules-backup-20020629-0457.tar.gz |
2/3 |