Script de mise à jour régulière des règles Snort

par **neutris** » 11 Mars 2003 00:36

Voici un petit script pour mettre à jour automatiquement les règles Snort (malheureusement, il n'est pas de moi, mais peut servir certainement à beaucoup d'entre nous) Je donne ici la source : <a href="http://ccfaq.valar.co.uk/modules.php?name=News&file=article&sid=175" target="_blank">http://ccfaq.valar.co.uk/modules.php?name=News&file=article&sid=175</a> Mais voici une transcription rapide : Depuis que CC1.2 utilise la dernière version de Snort ( à l'écriture de ce post Version 1.9.1 ), il devient possible de mettre à jour automatiquement les règles Snort. En premier lieu installez wget sur votre CC en tapant apt-get install wget Une fois l'installation terminée, créez un petit script ( ex: /usr/sbin/snortupdate ) : #bash wget <a href="http://www.snort.org/dl/rules/snortrules-stable.tar.gz" target="_blank">http://www.snort.org/dl/rules/snortrules-stable.tar.gz</a> tar zxvf snortrules-stable.tar.gz chmod 744 ./rules chmod 644 ./rules/* chown root:root ./rules chown root:root ./rules/* service snort stop rm -f /usr/local/suva/var/tmp/Snort/* mv ./rules/* /usr/local/suva/var/tmp/Snort service snort start rm -f snortrules-stable.tar.gz rmdir rules Donnez lui les droits d'éxécution : chmod +x /usr/sbin/snortupdate Maintenant, nous allons appeler SnortUpdate régulièrement via cron : crontab -e ( vi s'ouvre.... ) * */4 * * * /usr/sbin/snortupdate Cet exemple lance le script toutes les 4 heures...... ( à voir selon les besoins de chacun ) Voila !!!! c'est fait.....

par **micj** » 11 Mars 2003 00:44

Je l'avais installé tel quel mais suite à des problèmes de d/l du fichier des rules, je me suis aperçu qu'il y avait un léger problème si le d/l n'a pas réussi on supprime malgré tout les rules actives et on redémarre snort... avec le script suivant pas de problème, on teste la présence du fichier avant de faire le traitement : #bash wget <a href="http://www.snort.org/dl/rules/snortrules-stable.tar.gz" target="_blank">http://www.snort.org/dl/rules/snortrules-stable.tar.gz</a> if [ -f "snortrules-stable.tar.gz" ]; then tar zxvf snortrules-stable.tar.gz chmod 744 ./rules chmod 644 ./rules/* chown root:root ./rules chown root:root ./rules/* service snort stop rm -f /usr/local/suva/var/tmp/Snort/* mv ./rules/* /usr/local/suva/var/tmp/Snort service snort start rm -f snortrules-stable.tar.gz rmdir rules fi

par **neutris** » 11 Mars 2003 21:08

Merci micj J'ai appliqué tes modifs instantanément après la lecture de ton post. Il est vrai que je n'avais pas pensé à cette eventualité... Merci beaucoup pour cette précision essentielle. Si tu as d'autres 'tips and tricks' de ce type je suis méga preneur...

par **micj** » 12 Mars 2003 08:17

Ben j'essaye d'améliorer petit à petit mais j'ai rien trouvé de transcendant jusqu'à présent sauf que j'ai rajouté logwatch ...

par **ImoThep** » 05 Nov 2003 14:56

Bonjour, J'ai installé recement IPCop 1.3.0 avec tout les fixes. Comme je debute avec les Ids, j'ai quelques questions sur snort: 1- tout d'abord, comment connaitre la version installée ? 2- Le script de MAJ proposée par Netris est toujours valable ? (vu la date du post, la version d' IPCOP est surement différente) merci pour vos réponses

par **krilin** » 05 Nov 2003 15:11

yeah, merci, c'est quand même plus pratique ! 'ci! <IMG SRC="images/smiles/icon_bise.gif">

par **antolien** » 05 Nov 2003 15:14

Sympa ça , ça marcherai sur ipcop ?

par **ImoThep** » 05 Nov 2003 15:19

apres mon post, j'ai vu que j'atait ds le forum Forum: ClarkConnect .. la boulette <IMG SRC="images/smiles/icon_biggrin.gif"> . donc ca ne peut po marcher...En tout cas j'ai pas reussi a faire de wget depuis mon IPCop. Reste que ma premiere question est toujours valable et que je ne sais po faire de MAJ de snort. merci pour vos reponses

par **gedeco** » 06 Nov 2003 18:28

<TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD>En réponse à:<HR></TD></TR><TR><TD><BLOCKQUOTE> (malheureusement, il n'est pas de moi, mais peut servir certainement à beaucoup d'entre nous) </BLOCKQUOTE></TD></TR><TR><TD><HR></TD></TR></TABLE> Non, c'était moi qui a écrit. (Je suis pas Francophone, donc regarder pas mes erreurs contre la langue) Pour faire le mise a jours des regles snort j'emploie oinkmaster. <a href="http://www.snort.org/dl/contrib/rule_management/oinkmaster/oinkmaster-0.7.tar.gz" target="_blank">http://www.snort.org/dl/contrib/rule_management/oinkmaster/oinkmaster-0.7.tar.gz</a> Plus puisante que mon script.

par **juglas** » 07 Nov 2003 08:56

Excellent MICJ, J'ai adopté le script modifié, avec juste une modif: #bash wget <a href="http://www.snort.org/dl/rules/snortrules-stable.tar.gz" target="_blank">http://www.snort.org/dl/rules/snortrules-stable.tar.gz</a> if [ -f "snortrules-stable.tar.gz" ]; then tar zxvf snortrules-stable.tar.gz chmod 744 ./rules chmod 644 ./rules/* chown root:root ./rules chown root:root ./rules/* service snort stop rm -f /usr/local/suva/var/tmp/Snort/* mv ./rules/* /usr/local/suva/var/tmp/Snort service snort start rm -f snortrules-stable.tar.gz* rmdir rules fi pour les toto, comme moi, qui lancent wget une fois pour voir, et qui chargent snortrules-stable.tar.gz une première fois.Ensuite tu te retrouves avec: snortrules-stable.tar.gz.1 snortrules-stable.tar.gz.2 etc ... pour le reste CC 2.0 semble du sérieux. A+ <IMG SRC="images/smiles/icon_smile.gif">

par **juglas** » 07 Nov 2003 20:03

Pour ceux qui veulent utiliser le snortupdate dans le crontab, méfiez-vous, la ligne de commande suggérée est erronée, pour toutes les 4 heures, il faut entrer: 0 */4 * * * /usr/sbin/snortupdate sinon avec : * */4 * * * /usr/sbin/snortupdate toutes les 4 heures pendant 1 heure, vous lancez /usr/sbin/snortupdate. A +

Script de mise à jour régulière des règles Snort

Qui est en ligne ?