systemadmin.es > Seguridad > oinkmaster para actualizar y recargar las reglas de Snort

oinkmaster para actualizar y recargar las reglas de Snort

oinkmaster permite la actualización automática de las reglas de Snort. Vamos a ver como instalarlo y ponerlo en funcionamiento.

Primero para instalarlo deberemos seguir los siguientes pasos:

wget http://prdownloads.sourceforge.net/oinkmaster/oinkmaster-2.0.tar.gz?download
tar xzf oinkmaster-2.0.tar.gz
cd oinkmaster-2.0
cp oinkmaster.pl /usr/local/bin/
cp oinkmaster.conf /usr/local/etc/
cp oinkmaster.1 /usr/local/man/man1/

A continuación crearemos un usuario para snort:

groupadd snort
useradd -g snort snort -s /sbin/nologin
chown snort. -R /usr/local/etc/snort/rules

En el fichero /usr/local/etc/oinkmaster.conf deberemos indicar que reglas queremos usar. Por ejemplo, las de Emerging Threads:

echo "url=http://www.emergingthreats.net/rules/emerging.rules.tar.gz" >> /usr/local/etc/oinkmaster.conf

A continuación podremos realizar la primera actualización. Mediante el parámetro -C indicamos el fichero de configuración y con el parámetro -o las reglas a actualizar donde se encuentran:

/usr/local/bin/oinkmaster.pl -C /usr/local/etc/oinkmaster.conf -o /usr/local/etc/snort/rules

Para comprobar que la actualización ha ido bien podemos ejecutar el snort en modo de prueba mediante la opción -T:

/usr/local/bin/snort -c /usr/local/etc/snort/snort.conf -T

Se puede crear un simple script para realizar mediante el cron la actualzación de reglas, la comprobación de las mismas y el reinicio de snort:

cat > /usr/local/bin/update.snort.rules <<EOF
#!/bin/bash
/usr/local/bin/oinkmaster.pl -C /usr/local/etc/oinkmaster.conf -o /usr/local/etc/snort/rules

/usr/local/bin/snort -c /usr/local/etc/snort/snort.conf -T

if [ $? -ne 0 ];
then
        echo "ERROR updating snort rules"
        exit 1
fi
pkill snort

exit 0
EOF
chmod +x /usr/local/bin/update.snort.rules

En este ejemplo se supone que snort funciona con las daemon tools. De esta manera solo mandando un kill al snort ya suponemos que las daemon tools lo volverán a levantar.

Deja un comentario:

XHTML - Tags permitidos:<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>