Fedora21にローカルOSSECインストールをセットアップする方法
序章
OSSECは、オープンソースのホストベースの侵入検知システム(HIDS)であり、ログ分析、整合性チェック、Windowsレジストリ監視、ルートキット検出、時間ベースのアラート、およびアクティブな応答を実行します。 サーバー内で何が起こっているかを監視したい場合は、サーバーにインストールするアプリケーションです。
OSSECは、インストールされているサーバーのみを監視するためにインストールできます。これは、OSSECの用語ではローカルインストールであり、サーバーとしてインストールして1つ以上のエージェントを監視することもできます。 このチュートリアルでは、OSSECをインストールして、インストール先のFedora 21またはRHELサーバー(ローカルOSSECインストール)を監視する方法を学習します。
前提条件
このチュートリアルを完了するには、次のものが必要です。
- このチュートリアルに従って設定したFedora21ドロップレット。
このチュートリアルは、sudo非rootユーザーとして従う必要があります。
ステップ1—必要なパッケージのインストール
このセクションでは、いくつかの必要なパッケージをインストールします。
特に、インストール bind-utils
, gcc
, make
、 と inotify-tools
次のコマンドを使用します。
sudo yum install -y bind-utils gcc make inotify-tools
bind-utils
ドメインネームシステム(DNS)ユーティリティを提供します。 gcc
と make
OSSECインストーラーによって使用され、 inotify-tools
リアルタイム通知のためにOSSECが必要とします。
ステップ2—OSSECのダウンロードと検証
OSSECは、圧縮されたtarballとして提供されます。 このステップでは、tarballが改ざんされていないことを確認するチェックサムファイルとそのチェックサムファイルをダウンロードします。
プロジェクトのウェブサイトで最新バージョンを確認できます。 この記事の執筆時点では、 OSSEC 2.8.1
最新の安定したリリースです。
まず、tarballをダウンロードします。
wget -U ossec http://www.ossec.net/files/ossec-hids-2.8.1.tar.gz
次に、チェックサムファイルをダウンロードします。
wget -U ossec http://www.ossec.net/files/ossec-hids-2.8.1-checksum.txt
両方のファイルをダウンロードした後、圧縮されたtarballのmd5sumを確認します。
md5sum -c ossec-hids-2.8.1-checksum.txt
出力は次のようになります。
ossec-hids-2.8.1.tar.gz: OK
md5sum: WARNING: 1 line is improperly formatted
その後、SHA1チェックサムを確認します。
sha1sum -c ossec-hids-2.8.1-checksum.txt
その出力は次のようになります。
ossec-hids-2.8.1.tar.gz: OK
sha1sum: WARNING: 1 line is improperly formatted
いずれの場合も、WARNING行は無視してください。 OK 行は、ファイルが正常であることを確認するものです。
ステップ3—SMTPサーバーを見つける
OSSECのインストール中に電子メール通知を設定すると、OSSECはSMTPサーバーを要求します。 このステップでは、その情報を把握します。
電子メールサービスプロバイダーに使用する正しいSMTPサーバーを決定するには、 dig
プロバイダーのメールエクスチェンジャー(MX)リソースレコードを照会するコマンド。 次のコマンドを入力して、置き換えます example.com
メールプロバイダーのドメイン名を使用して:
dig -t mx example.com
出力はいくつかのセクションで構成されていますが、関心があるのはANSWERセクションだけです。このセクションには1行以上が含まれています。 各行の終わりには、使用するSMTPサーバーがあります。
たとえば、を使用してコマンドを実行する場合 fastmail.com
:
dig -t mx fastmail.com
プロバイダーの有効なSMTPサーバーは、ANSWERセクションの各リストの最後にあります。
;; ANSWER SECTION:
fastmail.com. 3600 IN MX 10 in1-smtp.messagingengine.com.
fastmail.com. 3600 IN MX 20 in2-smtp.messagingengine.com.
この例では、次のいずれかを使用できます in1-smtp.messagingengine.com.
また in2-smtp.messagingengine.com.
SMTPサーバーとして。
電子メールプロバイダーからSMTPサーバーの1つをコピーし、保存して次の手順に進みます。 最後に。(ピリオド)も必ず含めてください。
ステップ4—OSSECのインストール
このステップでは、OSSECをインストールします。
インストールを開始する前に、以下を使用して解凍します。
tar xf ossec-hids-2.8.1.tar.gz
と呼ばれるディレクトリに解凍されます ossec-hids-2.8.1
. そのディレクトリに移動します。
cd ossec-hids-2.8.1
次に、インストールを開始します。
sudo ./install.sh
セットアッププロセス全体を通して、入力を入力するように求められます。 ほとんどの場合、必要なのはENTERを押してデフォルト値を受け入れることだけです。
最初に、インストール言語を選択するように求められます。 デフォルトでは英語(en)なので、希望する言語の場合はENTERを押してください。 それ以外の場合は、サポートされている言語のリストから2文字を入力します。 次に、ENTERをもう一度押してインストールを開始します。
質問1は、どのようなインストールが必要かを尋ねます。 ここに、localと入力します。
1- What kind of installation do you want (server, agent, local, hybrid or help)? local
以下のすべての質問について、ENTERを押してデフォルトを受け入れます。 質問3.1はさらに、電子メールアドレスの入力を求め、SMTPサーバーのIP/ホストを要求します。 ここに、ステップ3で保存したメールアドレスとSMTPサーバーを入力します。
インストールが成功すると、最後に次の出力が表示されます。
- Configuration finished properly.
...
More information can be found at http://www.ossec.net
--- Press ENTER to finish (maybe more information below). ---
ENTERを押してインストールを終了します。
ステップ5—OSSECの電子メール設定を確認する
ここでは、前の手順で指定した電子メールの資格情報とOSSECが自動構成した電子メールの資格情報が正しいことを確認します。
電子メール設定は、OSSECのメイン構成ファイルにあります。 ossec.conf
、にあります /var/ossec/etc
ディレクトリ。 OSSECファイルにアクセスして変更するには、最初にrootユーザーに切り替える必要があります。
sudo su
あなたがルートになったので、 cd
OSSECの構成ファイルがあるディレクトリに。
cd /var/ossec/etc
まず、そのファイルのバックアップコピーを作成します。
cp ossec.conf ossec.conf.00
次に、元のファイルを開きます。 ここでは、 nano
テキストエディタですが、好きなテキストエディタを使用できます。
nano ossec.conf
メール設定はファイルの先頭にあります。 フィールドの説明は次のとおりです。
インストール中に送信したメールです。 アラートはそのメールアドレスに送信されます。 OSSECのアラートが発信されているように見える場所です。 これを有効な電子メールアドレスに変更して、電子メールプロバイダーのSMTPサーバーによってスパムとしてタグ付けされる可能性を減らします。 セットアップ中に指定したSMTPサーバーです。
ご了承ください
終了すると、そのセクションは次のようになります。
<global>
<email_notification>yes</email_notification>
<email_to>[email protected]</email_to>
<smtp_server>mail.example.com.</smtp_server>
<email_from>[email protected]</email_from>
</global>
メール設定を変更したら、ファイルを保存して閉じます。 次に、OSSECを起動します。
/var/ossec/bin/ossec-control start
受信トレイで、OSSECが開始されたことを通知する電子メールを確認してください。 OSSECインストールから電子メールを受信した場合、将来のアラートも受信トレイに届くことがわかります。 そうでない場合は、スパムフォルダを確認してください。
ステップ6—アラートを追加する
デフォルトでは、OSSECはサーバー上のファイルの変更やその他のアクティビティについてアラートを発行しますが、新しいファイルの追加についてはアラートを送信せず、リアルタイムでアラートを送信しません—スケジュールされたシステムスキャン(79200秒(または22時間)後のみ) )デフォルトで。 このセクションでは、ファイルの追加に関するアラートをリアルタイムで追加します。
まず、開く ossec.conf
.
nano ossec.conf
次に、下にスクロールして
<syscheck>
<!-- Frequency that syscheck is executed - default to every 22 hours -->
<frequency>79200</frequency>
すぐ下<alert_new_files>yes</alert_new_files>
.
<syscheck>
<!-- Frequency that syscheck is executed - default to every 22 hours -->
<frequency>79200</frequency>
<alert_new_files>yes</alert_new_files>
あなたがまだ持っている間 ossec.conf
開いて、OSSECが監視するシステムディレクトリのリストを確認します。これは、変更した最後の行のすぐ下にあります。 それは読むべきです:
<!-- Directories to check (perform all possible verifications) -->
<directories check_all="yes">/etc,/usr/bin,/usr/sbin</directories>
<directories check_all="yes">/bin,/sbin</directories>
ディレクトリのリストごとに、 report_changes="yes"
と realtime="yes"
オプション。 変更が行われた後、セクションは次のようになります。
<!-- Directories to check (perform all possible verifications) -->
<directories report_changes="yes" realtime="yes" check_all="yes">/etc,/usr/bin,/usr/sbin</directories>
<directories report_changes="yes" realtime="yes" check_all="yes">/bin,/sbin</directories>
OSSECが監視するように構成されているディレクトリのデフォルトのリストの他に、監視したいディレクトリを追加することもできます。 たとえば、ホームディレクトリの監視を追加できます。 /home/sammy
. これを行うには、この新しい行を他のディレクトリ行のすぐ下に追加し、ユーザー名を次のように置き換えます。
<directories report_changes="yes" realtime="yes" check_all="yes">/home/sammy</directories>
保存して閉じます ossec.conf
.
次に変更するファイルは /var/ossec/rules
ディレクトリなので、そのディレクトリに移動します。
cd /var/ossec/rules
The /var/ossec/rules
ディレクトリには、次のような多くのXMLファイルが含まれています ossec_rules.xml
、OSSECのデフォルトのルール定義が含まれています。 local_rules.xml
、ここでカスタムルールを追加できます。 local_rules.xml
このディレクトリで編集する必要がある唯一のファイルです。
の ossec_rules.xml
、ファイルが監視対象ディレクトリに追加されたときに発生するルールはルール554です。 デフォルトでは、OSSECはそのルールがトリガーされたときにアラートを送信しないため、ここでのタスクはその動作を変更することです。 ルール554はデフォルトで次のようになります。
<rule id="554" level="0">
<category>ossec</category>
<decoded_as>syscheck_new_entry</decoded_as>
<description>File added to the system.</description>
<group>syscheck,</group>
</rule>
ルールがレベル0に設定されている場合、OSSECはアラートを送信しないため、そのルールをにコピーします。 local_rules.xml
アラートをトリガーするように変更します。 そのためには、 local_rules.xml
.
nano local_rules.xml
ファイルの最後の行の前に以下を追加します </group>
鬼ごっこ。
<rule id="554" level="7" overwrite="yes">
<category>ossec</category>
<decoded_as>syscheck_new_entry</decoded_as>
<description>File added to the system.</description>
<group>syscheck,</group>
</rule>
ファイルを保存して閉じます。 次に、OSSECを再起動して、編集したファイルを再読み込みします。
/var/ossec/bin/ossec-control restart
これで、監視対象のディレクトリとログファイルでOSSECからアラートを受信するはずです。
結論
これで、基本的なローカルOSSECインストールがセットアップされました。 その公式ドキュメントで調べることができる、さらに多くのカスタマイズが利用可能です。
OSSECを(ローカルモードではなく)クライアントサーバーモードまたはサーバーエージェントモードでインストールする方法については、 Ubuntu14.04でOSSECサーバーを使用してOSSECエージェントを監視する方法を参照してください。