TOTAL
Depuis Dec 2006
1'942'871 Visiteurs
4'218'042 Pages

Stats Nov 2010
82'909 Visiteurs
146'476 Pages
196 pays
Statistiques completes



Aidez-nous à traduire
nos tutoriaux!

REJOINGNEZ
l'équipe OpenManiak.
SNORT - Le tutorial facile - Mise à jour

Snort Mise à jour
Dernière modif: Dec 06 2007


Outil
Installation
Ergonomie
Forum



Détails Snort, c'est quoi?
Captures d'écran
Prérequis
Snort
BASE
Mise à jour Snort
Règles Bleedingsnort
Port Mirroring



⚠️⚠️⚠️
Please check our page about COVID-19!!
100 Questions and answers about Coronavirus.

⚠️⚠️⚠️
Merci de consulter notre page sur la COVID-19 !!
227 questions et réponses sur le Coronavirus.


Une fois Snort installé, il est nécessaire d'installer les règles de signature Snort et de les maintenir à jour.
Par chance, il y a un script perl qui va nous donner une aide précieuse: Oinkmaster.

#apt-get install oinkmaster
Installations ou mise à jour des règles.

Pour télécharger les règles Snort, nous avons besoin de créer un compte gratuit sur le site web de Snort.
Les règles Snort sont produites par Sourcefire and vous pouvez les obtenir gratuitement quelques jours après leur sortie avec l'abonnement payant.

Une fois connecté avec votre compte Snort, vous pouvez obtenir un code en bas de page.

snort website oinkmaster code

Nous avons besoin de ce code dans le fichier /etc/oinkmaster.conf.

Vous devez d'abord connaître votre version de Snort:

# snort -V
Cette commande génére la sortie écran suivante sur notre machine de test:

,,_ -*> Snort! <*-
o" )~ Version 2.3.2 (Build 12)
'''' By Martin Roesch & The Snort Team: http://www.snort.org/team.html
(C) Copyright 1998-2004 Sourcefire Inc., et al.


Ajoutez la ligne suivante dans le fichier /etc/oinkmaster.conf:

url = http://www.snort.org/pub-bin/oinkmaster.cgi/votre_code_ici/
snortrules-snapshot-2.3.tar.gz
Ceci va télécharger le fichier snortrules-snapshot-2.3.tar.gz. Le numéro de version dans le nom du fichier change en fonction de la version de Snort que vous avez. (2.0, 2.1, 2.2, 2.3, 2.4)

Si vous avez une version de Snort 2.6.x, vous devez configurer le paramètre "url" comme ceci:

url = http://www.snort.org/pub-bin/oinkmaster.cgi/votre_code_ici/
snortrules-snapshot-CURRENT.tar.gz
Créer un dossier de sauvegarde.

#mkdir /etc/snort/backup
Mettons à jour les règles. Nous devons être attentif de ne pas lancer oinkmaster en tant que root particulièrement si vous n'êtes pas dans un environnement de test.
Ajoutons donc un utilisateur appelé oinkmaster.

#useradd oinkmaster
Changez des permissions pour permettre à l'utilisateur oinkmaster de lancer le script perl oinkmaster:

#chown -R oinkmaster /etc/snort/backup
#chown -R oinkmaster /etc/snort/rules
#chown -R oinkmaster /var/run/oinkmaster
#chmod 644 /etc/snort/snort.conf
Maintenant, il est temps de tester le script perl oinkmaster avec l'utilisateur oinkmaster.

#su oinkmaster
oinkmaster#oinkmaster -o /etc/snort/rules -b /etc/snort/backup 2>&1
La dernière instruction ci-dessus signifie que nous lancons le script perl oinkmaster, les règles sont placées dans le dossier /etc/snort/rules et si il y a des changements dans les nouvelles règles, les règles courante vont être sauvegardées dans le dossier /etc/snort/backup.

Voici un exemple du contenu de notre dossier backup après le lancement de oinkmaster:
#dir /etc/snort/backup
rules-backup-20060205-163627.tar.gz

La crontab

Comme nous sommes plutôt paresseux, nous ne voulons pas lancer le script manuellement tous les jours et encore moins la nuit!.
Un petit cron job va venir nous aider.

crontab -e -u oinkmaster
30 00 * * * oinkmaster -o /etc/snort/rules -b /etc/snort/backup 2>&1 >> /dev/null 2>&1
Ceci mettra à jour les règles chaque jour à 00:30
(La commande crontab va mettre à jour le fichier /var/spool/cron/crontabs/oinkmaster).

La commande "crontab -e" va ouvrir nano par défaut. Si vous voulez ouvrir vi à la place:
#export EDITOR=vi