Oinkmaster – автоматизация обновления правил Snort
Установка:
1 2 3 4 5 | $ cd /usr/ports/security/oinkmaster $ make install clean $ cd /usr/local/etc/ $ cp oinkmaster.conf.sample oinkmaster.conf $ chmod 644 oinkmaster.conf |
В файле oinkmaster.conf указываем расположение правил для snort’a, а так же добавляем отключенные правила:
1 2 3 4 | url = file:///tmp/snortrules.tar.gz disablesid 1 disablesid 2 disablesid 3 |
Заходим на snort.org, регистрируемся и скачиваем бесплатные правила месячной давности.
1 | $ wget -O /tmp/snortrules.tar.gz http://www.snort.org/pub-bin/downloads.cgi/Download/vrt_os/snortrules-snapshot-2.8.tar.gz |
Запускаем oinkmaster:
1 | $ oinkmaster -o /usr/local/etc/snort/rules/ |
Получим большой лог чего добавлено и удалено из правил.
Если делать по хорошему – то конечно же нужна платная подписка на правила + автоматизация процесса обновления.
