ステータス:非推奨

この記事では、サポートされなくなったバージョンのCentOSについて説明します。 現在CentOS6を実行しているサーバーを運用している場合は、サポートされているバージョンのCentOSにアップグレードまたは移行することを強くお勧めします。

理由 CentOS 6は2020年11月30日に保守終了(EOL)に達し、セキュリティパッチまたはアップデートを受信しなくなりました。 このため、このガイドは維持されなくなりました。

代わりに参照:このガイドは参照として役立つ場合がありますが、他のCentOSリリースでは機能しない場合があります。 可能な場合は、使用しているCentOSのバージョン用に作成されたガイドを使用することを強くお勧めします。

序章


非常に広い意味で、ソケットは、相互にデータをストリーミングするためにアプリケーションによって使用されます。 ネットワーク(内部または外部)を介した距離を介した通信に関しては、タスクに適用されるプリンシパルは同じままであり、情報を交換するためにソケットが使用されます。

このDigitalOceanの記事では、実行される監視のレベルを上げることによってシステムのセキュリティを強化する方法について説明します。 Linux Socket Monitor をセットアップします。これは、新しいソケットが作成されたときにアラートを送信します。これは、ホストを乗っ取った未知のアプリケーションによる侵入の潜在的なシグナルです。

ソケット、ポート、および接続について

ネットワーク上で実行するように設計されたアプリケーション(例: インターネット)は、データ接続を介して距離を超えて情報を交換するという仕事をするために、役割に応じて特定のポートにバインドする必要があります。

アプリケーションが正常に起動されたとき(つまり、 ポート80で実行されているWebサーバー)、このポート番号にバインドされたソケットを取得します。これは、[基本的に]ネットワークアドレス(つまり、 IPアドレス)、プロトコル(すなわち 使用される情報交換の言語)とポート番号(例: 80)、着信接続要求をリッスンします。

一方、回線の反対側にあるクライアントは、アプリケーションで構成されています(例: Firefox Webブラウザ)は、これらのアプリケーションとの間で通信または[その後]データの送受信を開始するために要求を行います。

最後に、ターゲットアプリケーションに到達したときにクライアントによって行われた要求(つまり、 Webサーバー)、使用中のプロトコル(およびルールセット)に応じて特定の手順を実行します。 サーバーがそれを受け入れることを決定した場合、ソケットを介してこれら2つのパーティ間で接続が確立されます。実際には、クライアントとサーバーの両方が個別にバインドする新しい接続が確立されるため、サーバーは他の着信要求を引き続きリッスンできます。同時に。

考えられる脅威を特定する方法を理解する

ソケットは双方向インスタンスであり、確立された接続を共有する当事者間でデータを送信および受信するために使用されます。 新しいポートが開かれた場合、または予期しないソケットが作成された場合(またはその場合)は、アプリケーションが持っている権限に応じて、アプリケーションが存在するホストで実行するための着信要求を介してコマンドをリッスンおよびピックアップする準備ができていることを意味します。 また、これが不要なアプリケーションや侵入されたアプリケーションによって発生した場合は、迅速に対処することが重要です。これは、ソケット監視による迅速な検出でのみ発生する可能性があります。

Linuxソケットモニター:アプリケーション


Linuxソケットモニターとは何ですか?


Linux Socket Monitor (LSM)は、ポートとソケット(同じマシン上のアプリケーション間で使用されるネットワークとプロセス間(IPC)の両方)の変更を、取得したスナップショットを自動的に比較することで追跡する監視ツールです。 (インストール時)またはあなたの指示によって。

ユーティリティツールcronを使用して、スキャンを特定の間隔(デフォルトでは10分ごとに1回)でスケジュールし、使用中のポート/ソケットをチェックします。 違いに気付いた場合は、メールアラートを送信して通知します。

Linux Socket Monitorはどのように機能しますか?


Linux Socket Monitorは、実際には非常にスマートでコンパクトな bash スクリプト(プログラム)です。 ダウンロード、インストール、および監視の開始には、2つのコマンドが必要です。 ツールを最初にインストールすると、現在のポートとソケットがスキャンされ、ネットワークのベース比較ファイル–aスナップショットが作成されます。 少し設定するだけで、アラートを送信するためにメールアドレスを入力できます。これで完了です。

Linux Socket Monitorをインストールするにはどうすればよいですか?


LSMの最新バージョンは、次の開発者のWebサイトにあります。 http://www.rfxn.com/downloads/lsm-current.tar.gz

テープアーカイブ(tar、tarball)をダウンロードするには、次のコマンドを実行します。

 wget http://www.rfxn.com/downloads/lsm-current.tar.gz

これにより、アーカイブが現在のフォルダにダウンロードされます。

tarballからコンテンツを抽出してみましょう。

 tar -xvfz lsm-current.tar.gz

これで、インストールスクリプトを実行してLSMをインストールする準備が整いました。

ディレクトリを入力して、インストールを実行します。

$ cd lsm-0.6
$ ./install.sh

クイックインストールが完了すると、次のように、基本比較ファイルが生成されたという通知とともに、アプリケーション自体の概要が表示されます。

.: LSM installed
Install path:    /usr/local/lsm
Config path:     /usr/local/lsm/conf.lsm
Executable path: /usr/local/sbin/lsm
LSM version 0.6 <[email protected]>
Copyright (C) 2004, R-fx Networks
              2004, Ryan MacDonald
This program may be freely redistributed under the terms of the GNU GPL

generated base comparison files

これで、構成ファイルを変更してセットアップを完了することができます。

nanoテキストエディタを使用してLSM構成ファイルを開きます。

 nano /usr/local/lsm/conf.lsm

ここでは、LSMが操作するために使用する比較的長い値のリストが表示されます。 変更する必要があるのは、リストの3番目のUSER="root"です。これは、上部にあるコメントアウトされたセクションの後にあります。

矢印キーを使用して、その行に移動し、rootを自分のメールアドレスに置き換えます。

例:

USER="[email protected]"             # ..

アラートを受信したい場合は、ドキュメントの次の行を変更することもできます(id メール)デフォルトとは異なる件名で。

メールの件名を変更するには、以下を変更してください。

SUB="LSM Port Monitor Alert on $HOSTNAME"     # ..

あなたの好みの主題に。 $HOSTNAMEはそのままにしておいてください。これには、マシンのホスト名が含まれます。これは、複数のマシンを扱う場合に役立ちます。

マシンのホスト名を設定する方法がわからない場合は、を参照してください。 これ DigitalOceanヘルプとコミュニティセクションに関するEtelSverdlovによる優れた記事。

そして、私たちは行ってもいいです!

Linuxソケットモニターの使用


インストール直後、LSMは現在のポートとソケットのスナップショットをすでに取得しており、cronジョブを10分ごとに実行するように設定しています。

いつでも、次の2つの簡単なコマンドを使用して、比較ファイルを削除または再作成できます。

  • スナップショット(キャンペーンファイル)の削除: /usr/local/sbin/lsm -d
  • 比較テストを手動で実行します。 /usr/local/sbin/lsm -c

スナップショットを再作成するには:

  • 基本比較ファイルを生成します。 /usr/local/sbin/lsm -g

注意:システムからメールを送信するには、メールユーザーエージェントアプリケーションがインストールされている必要があります。 まだ持っていない場合は、さまざまなオプションから選択できます。 フォローアップ記事では、エージェントのインストールについて説明します。

投稿者: https ://twitter.com/ostezer