●oinkmasterによる自動アップデート動作テスト

・動作テスト用ディレクトリ/tmp/snortの作成

 oinkmasterはroot権限では動作しないようになっているため、ユーザーoinkmasterとして実行する。ルート権限で実行した場合

# ./oinkmaster.pl -o /tmp/snort
Don't run as root!
Exiting at ./oinkmaster.pl line 65.

と表示されて動作しない。また、ルールファイルはSnortの動作を決める重要なファイルなので、いきなり/etc/snortを更新しないほうがよい。まず「/tmp」などにアップデートテスト用の仮のディレクトリ(ここでは「/tmp/snort」)を作成して、Oinkmasterのアップデートテストを行ってみよう。

# mkdir /tmp/snort
# chown -R snort.snort /tmp/snort
# chmod 770 /tmp/snort

・Oinkmasterのテストを実行する

 それでは、Oinkmasterのテストを実行してみよう。まずはrootから「su oinkmaster」を実行してoinkmasterユーザーでログインし、先ほど作成したテスト用ディレクトリ(/tmp/snort)でのアップデートを実行する。

 基本的な起動コマンドは

./oinkmaster.pl -o [アップデートを行うディレクトリへのパス] -b [バックアップを行うディレクトリへのパス]

のようになる。

 ユーザーoinmkasterにスイッチして「./oinkmaster.pl -o /tmp/snort」を実行すると、以下のようなログが表示されるはずだ。

# cd /usr/local/oinkmaster
# su oinkmaster
$ ./oinkmaster.pl -o /tmp/snort

Downloading rules archive from http://www.snort.org/dl/signatures/snortrules.tar
.gz...
05:07:15 URL:http://www.snort.org/dl/signatures/snortrules.tar.gz [79499/79499]
-> "/tmp/oinkmaster.1388/snortrules.tar.gz" [1]
Archive successfully downloaded, unpacking... done.
Disabling rules according to ./oinkmaster.conf... 0 rules disabled.
Comparing new files to the old ones... done.

[***] Results from Oinkmaster started Sat Jun 29 05:07:07 2002 [***]

[*] Rules added/removed/modified: [*]
  None.

[*] Non-rule lines added/removed: [*]
  None.

[*] Added files (consider updating your snort.conf to include them): [*]
  -> finger.rules
  -> scan.rules
  -> smtp.rules
  -> web-iis.rules
  -> icmp-info.rules
  -> ddos.rules
  -> icmp.rules
  -> exploit.rules
  -> x11.rules
  -> web-coldfusion.rules
  -> info.rules
  -> dns.rules
  -> web-misc.rules
  -> web-attacks.rules
  -> dos.rules
  -> web-frontpage.rules
  -> virus.rules
  -> misc.rules
  -> ftp.rules
  -> sql.rules
  -> classification.config
  -> tftp.rules
  -> bad-traffic.rules
  -> rpc.rules
  -> rservices.rules
  -> backdoor.rules
  -> telnet.rules
  -> web-cgi.rules
  -> attack-responses.rules
  -> porn.rules
  -> shellcode.rules
  -> netbios.rules
  -> policy.rules

 上記にあるような「Results from Oinkmaster…」以下の画面を確認したあと、/tmp/snortに移動し、正常にダウンロードされているか確認する。

# cd /tmp/snort
# ls 
attack-responses.rulesicmp.rules sql.rules
backdoor.rulesinfo.rules telnet.rules
bad-traffic.rules misc.rules tftp.rules
classification.config netbios.rulesvirus.rules
ddos.rulespolicy.rules web-attacks.rules
dns.rules porn.rules web-cgi.rules
dos.rules rpc.rulesweb-coldfusion.rules
exploit.rules rservices.rulesweb-frontpage.rules
finger.rulesscan.rules web-iis.rules
ftp.rules shellcode.rulesweb-misc.rules
icmp-info.rules smtp.rules x11.rules

フォントサイズを 大きくする / 小さくする(※Internet Explorer4.0以上)

 問題なくルールセットがダウンロードされていることが確認できたら、実際に稼働している/etc/snortへのアップデートを行ってみよう。

 現在使用しているルールセットは「/etc/snort/backup」に保存するよう、起動時に指定する。ルールセットのアップデートが完了したら、アップデートおよびバックアップが正常に行われているかチェックしておこう。

# cd /usr/local/oinkmaster
# su oinkmaster
$ ./oinkmaster.pl -o /etc/snort -b /etc/snort/backup

○バックアップファイルの確認
 バックアップ用のディレクトリに移動すると、圧縮されたファイルが存在するはずだ。以下の手順で確認しておこう。

# cd /etc/snort/backup
# ls
rules-backup-20020629-0457.tar.gz

PREV 2/3 NEXT