序章

OSSECは、オープンソースのホストベースの侵入検知システム(HIDS)であり、ログ分析、整合性チェック、Windowsレジストリ監視、ルートキット検出、時間ベースのアラート、およびアクティブな応答を実行します。 サーバー内で何が起こっているかを監視したい場合は、サーバーにインストールするアプリケーションです。

OSSECは、インストール先のサーバーのみを監視するためにインストールできます。これは、OSSECの用語ではローカルインストールであり、サーバーとしてインストールして1つ以上のエージェントを監視することもできます。 このチュートリアルでは、OSSECをインストールして、インストール先のFedora 21またはRHELサーバー(ローカルOSSECインストール)を監視する方法を学習します。

前提条件

このチュートリアルを完了するには、次のものが必要です。

このチュートリアルは、sudo非rootユーザーとして従う必要があります。

ステップ1—必要なパッケージのインストール

このセクションでは、いくつかの必要なパッケージをインストールします。

特に、次のコマンドを使用して、bind-utilsgccmake、およびinotify-toolsをインストールします。

sudo yum install -y bind-utils gcc make inotify-tools

bind-utilsはドメインネームシステム(DNS)ユーティリティを提供し、gccmakeはOSSECインストーラーによって使用され、inotify-toolsはOSSECによって実際に必要です。時間通知。

ステップ2—OSSECのダウンロードと検証

OSSECは、圧縮されたtarballとして提供されます。 このステップでは、tarballが改ざんされていないことを確認するチェックサムファイルとそのチェックサムファイルをダウンロードします。

プロジェクトのウェブサイトで最新バージョンを確認できます。 この記事の執筆時点では、OSSEC 2.8.1が最新の安定版リリースです。

まず、tarballをダウンロードします。

wget -U ossec http://www.ossec.net/files/ossec-hids-2.8.1.tar.gz

次に、チェックサムファイルをダウンロードします。

wget -U ossec http://www.ossec.net/files/ossec-hids-2.8.1-checksum.txt

両方のファイルをダウンロードした後、圧縮されたtarballのmd5sumを確認します。

md5sum -c ossec-hids-2.8.1-checksum.txt

出力は次のようになります。

ossec-hids-2.8.1.tar.gz: OK
md5sum: WARNING: 1 line is improperly formatted

その後、SHA1チェックサムを確認します。

sha1sum -c ossec-hids-2.8.1-checksum.txt

その出力は次のようになります。

ossec-hids-2.8.1.tar.gz: OK
sha1sum: WARNING: 1 line is improperly formatted

いずれの場合も、WARNING行は無視してください。 OK 行は、ファイルが正常であることを確認するものです。

ステップ3—SMTPサーバーを見つける

OSSECのインストール中に電子メール通知を設定すると、OSSECはSMTPサーバーを要求します。 このステップでは、その情報を把握します。

電子メールサービスプロバイダーに使用する正しいSMTPサーバーを決定するには、digコマンドを使用して、プロバイダーのメールエクスチェンジャー(MX)リソースレコードを照会できます。 次のコマンドを入力し、example.comをメールプロバイダーのドメイン名に置き換えます。

dig -t mx example.com

出力はいくつかのセクションで構成されていますが、関心があるのはANSWERセクションだけです。このセクションには1行以上が含まれています。 各行の終わりには、使用するSMTPサーバーがあります。

たとえば、fastmail.comを使用してコマンドを実行する場合:

dig -t mx fastmail.com

プロバイダーの有効なSMTPサーバーは、ANSWERセクションの各リストの最後にあります。

;; ANSWER SECTION:
fastmail.com.           3600    IN      MX      10 in1-smtp.messagingengine.com.
fastmail.com.           3600    IN      MX      20 in2-smtp.messagingengine.com.

この例では、SMTPサーバーとしてin1-smtp.messagingengine.com.またはin2-smtp.messagingengine.com.のいずれかを使用できます。

電子メールプロバイダーからSMTPサーバーの1つをコピーし、保存して次の手順に進みます。 最後に(ピリオド)も必ず含めてください。

ステップ4—OSSECのインストール

このステップでは、OSSECをインストールします。

インストールを開始する前に、以下を使用して解凍します。

tar xf ossec-hids-2.8.1.tar.gz

ossec-hids-2.8.1というディレクトリに解凍されます。 そのディレクトリに移動します。

cd ossec-hids-2.8.1

次に、インストールを開始します。

sudo ./install.sh

セットアッププロセス全体を通して、入力を入力するように求められます。 ほとんどの場合、必要なのはENTERを押してデフォルト値を受け入れることだけです。

最初に、インストール言語を選択するように求められます。 デフォルトでは英語(en)なので、希望する言語の場合はENTERを押してください。 それ以外の場合は、サポートされている言語のリストから2文字を入力します。 次に、ENTERをもう一度押してインストールを開始します。

質問1は、どのようなインストールが必要かを尋ねます。 ここに、localと入力します。

1- What kind of installation do you want (server, agent, local, hybrid or help)? local

以下のすべての質問について、ENTERを押してデフォルトを受け入れます。 質問3.1はさらに、電子メールアドレスの入力を求め、SMTPサーバーのIP/ホストを要求します。 ここに、ステップ3で保存したメールアドレスとSMTPサーバーを入力します。

インストールが成功すると、最後に次の出力が表示されます。

 - Configuration finished properly.

...

    More information can be found at http://www.ossec.net

    ---  Press ENTER to finish (maybe more information below). ---

ENTERを押してインストールを終了します。

ステップ5—OSSECの電子メール設定を確認する

ここでは、前の手順で指定した電子メールの資格情報とOSSECが自動構成した電子メールの資格情報が正しいことを確認します。

電子メール設定は、/var/ossec/etcディレクトリにあるOSSECのメイン構成ファイルossec.confにあります。 OSSECファイルにアクセスして変更するには、最初にrootユーザーに切り替える必要があります。

sudo su

ルートになったら、cdをOSSECの構成ファイルがあるディレクトリに移動します。

cd /var/ossec/etc

まず、そのファイルのバックアップコピーを作成します。

cp ossec.conf ossec.conf.00

次に、元のファイルを開きます。 ここでは、nanoテキストエディタを使用していますが、任意のテキストエディタを使用できます。

nano ossec.conf

メール設定はファイルの先頭にあります。 フィールドの説明は次のとおりです。

  • インストール中に送信したメールです。 アラートはそのメールアドレスに送信されます。
  • OSSECのアラートが発信されているように見える場所です。 これを有効な電子メールアドレスに変更して、電子メールプロバイダーのSMTPサーバーによってスパムとしてタグ付けされる可能性を減らします。
  • セットアップ中に指定したSMTPサーバーです。

ご了承ください同じにすることができ、OSSECサーバーと同じホスト上に独自の電子メールサーバーがある場合は、 に設定ローカルホスト

終了すると、そのセクションは次のようになります。

<global>
    <email_notification>yes</email_notification>
    <email_to>[email protected]</email_to>
    <smtp_server>mail.example.com.</smtp_server>
    <email_from>[email protected]</email_from>
</global>

メール設定を変更したら、ファイルを保存して閉じます。 次に、OSSECを起動します。

/var/ossec/bin/ossec-control start

受信トレイで、OSSECが開始されたことを通知する電子メールを確認してください。 OSSECインストールから電子メールを受信した場合、将来のアラートも受信トレイに届くことがわかります。 そうでない場合は、スパムフォルダを確認してください。

ステップ6—アラートを追加する

デフォルトでは、OSSECはサーバー上のファイルの変更やその他のアクティビティについてアラートを発行しますが、新しいファイルの追加についてはアラートを送信せず、リアルタイムでアラートを送信しません—スケジュールされたシステムスキャン(79200秒(または22時間)後のみ) )デフォルトで。 このセクションでは、ファイルの追加に関するアラートをリアルタイムで追加します。

まず、ossec.confを開きます。

nano ossec.conf

次に、下にスクロールしてこのテキストで始まるセクション:

<syscheck>
    <!-- Frequency that syscheck is executed - default to every 22 hours -->
    <frequency>79200</frequency>

すぐ下タグ、追加<alert_new_files>yes</alert_new_files>

<syscheck>
    <!-- Frequency that syscheck is executed - default to every 22 hours -->
    <frequency>79200</frequency>

    <alert_new_files>yes</alert_new_files>

ossec.confを開いたまま、OSSECが監視するシステムディレクトリのリストを確認します。これは、変更した最後の行のすぐ下にあります。 それは読むべきです:

<!-- Directories to check  (perform all possible verifications) -->
<directories check_all="yes">/etc,/usr/bin,/usr/sbin</directories>
<directories check_all="yes">/bin,/sbin</directories>

ディレクトリのリストごとに、report_changes="yes"およびrealtime="yes"オプションを追加します。 変更が行われた後、セクションは次のようになります。

<!-- Directories to check  (perform all possible verifications) -->
<directories report_changes="yes" realtime="yes" check_all="yes">/etc,/usr/bin,/usr/sbin</directories>
<directories report_changes="yes" realtime="yes" check_all="yes">/bin,/sbin</directories>

OSSECが監視するように構成されているディレクトリのデフォルトのリストの他に、監視したいディレクトリを追加することもできます。 たとえば、ホームディレクトリ/home/sammyの監視を追加できます。 これを行うには、この新しい行を他のディレクトリ行のすぐ下に追加し、ユーザー名を次のように置き換えます。

<directories report_changes="yes" realtime="yes" check_all="yes">/home/sammy</directories>

次に、ossec.confを保存して閉じます。

次に変更するファイルは/var/ossec/rulesディレクトリにあるので、そのディレクトリに移動します。

cd /var/ossec/rules

/var/ossec/rulesディレクトリには、OSSECのデフォルトのルール定義を含むossec_rules.xmlや、カスタムルールを追加できるlocal_rules.xmlなど、多くのXMLファイルが含まれています。 local_rules.xmlは、このディレクトリで編集する必要がある唯一のファイルです。

ossec_rules.xmlでは、ファイルが監視対象ディレクトリに追加されたときに発生するルールはルール554です。 デフォルトでは、OSSECはそのルールがトリガーされたときにアラートを送信しないため、ここでのタスクはその動作を変更することです。 ルール554はデフォルトで次のようになります。

<rule id="554" level="0">
<category>ossec</category>
<decoded_as>syscheck_new_entry</decoded_as>
<description>File added to the system.</description>
<group>syscheck,</group>
</rule>

ルールがレベル0に設定されている場合、OSSECはアラートを送信しないため、そのルールをlocal_rules.xmlにコピーし、アラートをトリガーするように変更します。 これを行うには、local_rules.xmlを開きます。

nano local_rules.xml

ファイルの最後、</group>タグの行の前に以下を追加します。

<rule id="554" level="7" overwrite="yes">
<category>ossec</category>
<decoded_as>syscheck_new_entry</decoded_as>
<description>File added to the system.</description>
<group>syscheck,</group>
</rule>

ファイルを保存して閉じます。 次に、OSSECを再起動して、編集したファイルをリロードします。

/var/ossec/bin/ossec-control restart

これで、監視対象のディレクトリとログファイルでOSSECからアラートを受信するはずです。

結論

これで、基本的なローカルOSSECインストールがセットアップされました。 その公式ドキュメントで調べることができる、さらに多くのカスタマイズが利用可能です。

OSSECを(ローカルモードではなく)クライアントサーバーモードまたはサーバーエージェントモードでインストールする方法については、 Ubuntu14.04でOSSECサーバーを使用してOSSECエージェントを監視する方法を参照してください。