'snort자동실행'에 해당되는 글 1건
- 2008.07.18 linux -snort , oinkmaster , 자동룰 업데이트
snort의 룰 파일을 항상 최신으로 유지해보자..
# http://nchc.dl/sourceforge.net/sourceforge/oinkmaster/oinkmaster-2.0.tar.gz
# tar xvfz oinkmaster-2.0.tar.gz
# cd oinkmaster-2.0 ; ls
# cp oikmaster.pl /user/local/bin // oinkmaster를 패스변수에 등록되어지게끔 하기 위해
# cp oikmaster.conf /etc/snort
# cd contrib && ls
# ./makesidex.pl /etc/snort/rules > /etc/snort/aaa.conf
# vi /etc/snort/oinkmaster.conf
52 주석 제거후 <oinkcode> 항목을
oinkcode : 6ef3413ed223eef4ae68b2bb43ce7b9b1b026f7c 로 바꾸자 < > 없어야 한다.
or
550a8353a52415adbd2f47770bf153bc5318bd1a
# oinkmaster.pl --help
# chown -R root.root /etc/snort/ oinkmaster가 룰을 업데이트후 저장할 수 있도록 하기 위해 소유자를 첸지 .. 딴데? 서는 snort.snort로 바꾸기도 하는데 그 차이를 잘 모르겠다.// root.root로 테스트 했을때는 잘되었다.
# ls -l /etc/snort/rules/*.rules | wc -l > /tmp/old_rules.txt
# cat /tmp/old_rules.txt
48
# rdate -s time.bora.net // 시간 동기화
# oinkmaster.pl -v -o /etc/snort/rules -C /etc/snort/oinkmaster.conf -C /etc/snort/aaa.conf
-v 자세히
-o 저장될 목적지
-C 설정파일 위치 / /헌데 설정 파일 위치가 두개 나온것은 업데이트 되기전
// aaa.conf파일에서 목록을 저장된것과 비교후 업데이트 하기 위한것으로 추정된다.
업데이트 완료후
# ls -l /etc/snort/rules/*.rules | wc -l > /tmp/newrules.txt
# cat /tmp/oldrules.txt
# cat /tmp/newrules.txt // 업데이트 된것을 알 수 있다.
정기적인 업데이트
---------------------------------------------------------------------------------------------------
정기적 작업을 위해서
crontab을 이용하여 등록 시켜 보자.
# vi /etc/contab
분 시 일 주 달
01 * * * * root run-parts /etc/cron.hourly
02 4 * * * root run-parts /etc/cron.daily
22 4 * * 0 root run-parts /etc/cron.weekly
42 4 1 * * root run-parts /etc/cron.monthly
# sevice cond restart
---------------------------------------------------------------------------------------------------
TIP
---------------------------------------------------------------------------------------------------
snort 부팅시 자동 실행
/etc/rc.d/rc.local
에다
snort -c /etc/snort/snort.conf -D // 실행문을 넣게 되면 부팅시 자동 실행 하게 된다.
---------------------------------------------------------------------------------------------------
# http://nchc.dl/sourceforge.net/sourceforge/oinkmaster/oinkmaster-2.0.tar.gz
# tar xvfz oinkmaster-2.0.tar.gz
# cd oinkmaster-2.0 ; ls
# cp oikmaster.pl /user/local/bin // oinkmaster를 패스변수에 등록되어지게끔 하기 위해
# cp oikmaster.conf /etc/snort
# cd contrib && ls
# ./makesidex.pl /etc/snort/rules > /etc/snort/aaa.conf
# vi /etc/snort/oinkmaster.conf
52 주석 제거후 <oinkcode> 항목을
oinkcode : 6ef3413ed223eef4ae68b2bb43ce7b9b1b026f7c 로 바꾸자 < > 없어야 한다.
or
550a8353a52415adbd2f47770bf153bc5318bd1a
# oinkmaster.pl --help
# chown -R root.root /etc/snort/ oinkmaster가 룰을 업데이트후 저장할 수 있도록 하기 위해 소유자를 첸지 .. 딴데? 서는 snort.snort로 바꾸기도 하는데 그 차이를 잘 모르겠다.// root.root로 테스트 했을때는 잘되었다.
# ls -l /etc/snort/rules/*.rules | wc -l > /tmp/old_rules.txt
# cat /tmp/old_rules.txt
48
# rdate -s time.bora.net // 시간 동기화
# oinkmaster.pl -v -o /etc/snort/rules -C /etc/snort/oinkmaster.conf -C /etc/snort/aaa.conf
-v 자세히
-o 저장될 목적지
-C 설정파일 위치 / /헌데 설정 파일 위치가 두개 나온것은 업데이트 되기전
// aaa.conf파일에서 목록을 저장된것과 비교후 업데이트 하기 위한것으로 추정된다.
업데이트 완료후
# ls -l /etc/snort/rules/*.rules | wc -l > /tmp/newrules.txt
# cat /tmp/oldrules.txt
# cat /tmp/newrules.txt // 업데이트 된것을 알 수 있다.
정기적인 업데이트
---------------------------------------------------------------------------------------------------
정기적 작업을 위해서
crontab을 이용하여 등록 시켜 보자.
# vi /etc/contab
분 시 일 주 달
01 * * * * root run-parts /etc/cron.hourly
02 4 * * * root run-parts /etc/cron.daily
22 4 * * 0 root run-parts /etc/cron.weekly
42 4 1 * * root run-parts /etc/cron.monthly
# sevice cond restart
---------------------------------------------------------------------------------------------------
TIP
---------------------------------------------------------------------------------------------------
snort 부팅시 자동 실행
/etc/rc.d/rc.local
에다
snort -c /etc/snort/snort.conf -D // 실행문을 넣게 되면 부팅시 자동 실행 하게 된다.
---------------------------------------------------------------------------------------------------
Prev
Rss Feed