序章

OSSECは、オープンソースのホストベースの侵入検知システム(HIDS)であり、ログ分析、整合性チェック、Windowsレジストリ監視、ルートキット検出、時間ベースのアラート、およびアクティブな応答を実行します。 サーバー内で何が起こっているかを監視したい場合は、サーバーにインストールするアプリケーションです。

OSSECは、インストールされているサーバーのみを監視するためにインストールできます。これは、OSSECの用語ではローカルインストールであり、サーバーとしてインストールして1つ以上のエージェントを監視することもできます。 このチュートリアルでは、OSSECをインストールして、インストール先のFedora 21またはRHELサーバー(ローカルOSSECインストール)を監視する方法を学習します。

前提条件

このチュートリアルを完了するには、次のものが必要です。

このチュートリアルは、sudo非rootユーザーとして従う必要があります。

ステップ1—必要なパッケージのインストール

このセクションでは、いくつかの必要なパッケージをインストールします。

特に、インストール bind-utils, gcc, make、 と inotify-tools 次のコマンドを使用します。

sudo yum install -y bind-utils gcc make inotify-tools

bind-utils ドメインネームシステム(DNS)ユーティリティを提供します。 gccmake OSSECインストーラーによって使用され、 inotify-tools リアルタイム通知のためにOSSECが必要とします。

ステップ2—OSSECのダウンロードと検証

OSSECは、圧縮されたtarballとして提供されます。 このステップでは、tarballが改ざんされていないことを確認するチェックサムファイルとそのチェックサムファイルをダウンロードします。

プロジェクトのウェブサイトで最新バージョンを確認できます。 この記事の執筆時点では、 OSSEC 2.8.1 最新の安定したリリースです。

まず、tarballをダウンロードします。

wget -U ossec http://www.ossec.net/files/ossec-hids-2.8.1.tar.gz

次に、チェックサムファイルをダウンロードします。

wget -U ossec http://www.ossec.net/files/ossec-hids-2.8.1-checksum.txt

両方のファイルをダウンロードした後、圧縮されたtarballのmd5sumを確認します。

md5sum -c ossec-hids-2.8.1-checksum.txt

出力は次のようになります。

ossec-hids-2.8.1.tar.gz: OK
md5sum: WARNING: 1 line is improperly formatted

その後、SHA1チェックサムを確認します。

sha1sum -c ossec-hids-2.8.1-checksum.txt

その出力は次のようになります。

ossec-hids-2.8.1.tar.gz: OK
sha1sum: WARNING: 1 line is improperly formatted

いずれの場合も、WARNING行は無視してください。 OK 行は、ファイルが正常であることを確認するものです。

ステップ3—SMTPサーバーを見つける

OSSECのインストール中に電子メール通知を設定すると、OSSECはSMTPサーバーを要求します。 このステップでは、その情報を把握します。

電子メールサービスプロバイダーに使用する正しいSMTPサーバーを決定するには、 dig プロバイダーのメールエクスチェンジャー(MX)リソースレコードを照会するコマンド。 次のコマンドを入力して、置き換えます example.com メールプロバイダーのドメイン名を使用して:

dig -t mx example.com

出力はいくつかのセクションで構成されていますが、関心があるのはANSWERセクションだけです。このセクションには1行以上が含まれています。 各行の終わりには、使用するSMTPサーバーがあります。

たとえば、を使用してコマンドを実行する場合 fastmail.com:

dig -t mx fastmail.com

プロバイダーの有効なSMTPサーバーは、ANSWERセクションの各リストの最後にあります。

;; ANSWER SECTION:
fastmail.com.           3600    IN      MX      10 in1-smtp.messagingengine.com.
fastmail.com.           3600    IN      MX      20 in2-smtp.messagingengine.com.

この例では、次のいずれかを使用できます in1-smtp.messagingengine.com. また in2-smtp.messagingengine.com. SMTPサーバーとして。

電子メールプロバイダーからSMTPサーバーの1つをコピーし、保存して次の手順に進みます。 最後に(ピリオド)も必ず含めてください。

ステップ4—OSSECのインストール

このステップでは、OSSECをインストールします。

インストールを開始する前に、以下を使用して解凍します。

tar xf ossec-hids-2.8.1.tar.gz

と呼ばれるディレクトリに解凍されます ossec-hids-2.8.1. そのディレクトリに移動します。

cd ossec-hids-2.8.1

次に、インストールを開始します。

sudo ./install.sh

セットアッププロセス全体を通して、入力を入力するように求められます。 ほとんどの場合、必要なのはENTERを押してデフォルト値を受け入れることだけです。

最初に、インストール言語を選択するように求められます。 デフォルトでは英語(en)なので、希望する言語の場合はENTERを押してください。 それ以外の場合は、サポートされている言語のリストから2文字を入力します。 次に、ENTERをもう一度押してインストールを開始します。

質問1は、どのようなインストールが必要かを尋ねます。 ここに、localと入力します。

1- What kind of installation do you want (server, agent, local, hybrid or help)? local

以下のすべての質問について、ENTERを押してデフォルトを受け入れます。 質問3.1はさらに、電子メールアドレスの入力を求め、SMTPサーバーのIP/ホストを要求します。 ここに、ステップ3で保存したメールアドレスとSMTPサーバーを入力します。

インストールが成功すると、最後に次の出力が表示されます。

 - Configuration finished properly.

...

    More information can be found at http://www.ossec.net

    ---  Press ENTER to finish (maybe more information below). ---

ENTERを押してインストールを終了します。

ステップ5—OSSECの電子メール設定を確認する

ここでは、前の手順で指定した電子メールの資格情報とOSSECが自動構成した電子メールの資格情報が正しいことを確認します。

電子メール設定は、OSSECのメイン構成ファイルにあります。 ossec.conf、にあります /var/ossec/etc ディレクトリ。 OSSECファイルにアクセスして変更するには、最初にrootユーザーに切り替える必要があります。

sudo su

あなたがルートになったので、 cd OSSECの構成ファイルがあるディレクトリに。

cd /var/ossec/etc

まず、そのファイルのバックアップコピーを作成します。

cp ossec.conf ossec.conf.00

次に、元のファイルを開きます。 ここでは、 nano テキストエディタですが、好きなテキストエディタを使用できます。

nano ossec.conf

メール設定はファイルの先頭にあります。 フィールドの説明は次のとおりです。

  • インストール中に送信したメールです。 アラートはそのメールアドレスに送信されます。
  • OSSECのアラートが発信されているように見える場所です。 これを有効な電子メールアドレスに変更して、電子メールプロバイダーのSMTPサーバーによってスパムとしてタグ付けされる可能性を減らします。
  • セットアップ中に指定したSMTPサーバーです。

ご了承ください同じにすることができ、OSSECサーバーと同じホスト上に独自の電子メールサーバーがある場合は、 に設定ローカルホスト

終了すると、そのセクションは次のようになります。

<global>
    <email_notification>yes</email_notification>
    <email_to>[email protected]</email_to>
    <smtp_server>mail.example.com.</smtp_server>
    <email_from>[email protected]</email_from>
</global>

メール設定を変更したら、ファイルを保存して閉じます。 次に、OSSECを起動します。

/var/ossec/bin/ossec-control start

受信トレイで、OSSECが開始されたことを通知する電子メールを確認してください。 OSSECインストールから電子メールを受信した場合、将来のアラートも受信トレイに届くことがわかります。 そうでない場合は、スパムフォルダを確認してください。

ステップ6—アラートを追加する

デフォルトでは、OSSECはサーバー上のファイルの変更やその他のアクティビティについてアラートを発行しますが、新しいファイルの追加についてはアラートを送信せず、リアルタイムでアラートを送信しません—スケジュールされたシステムスキャン(79200秒(または22時間)後のみ) )デフォルトで。 このセクションでは、ファイルの追加に関するアラートをリアルタイムで追加します。

まず、開く ossec.conf.

nano ossec.conf

次に、下にスクロールしてこのテキストで始まるセクション:

<syscheck>
    <!-- Frequency that syscheck is executed - default to every 22 hours -->
    <frequency>79200</frequency>

すぐ下タグ、追加 <alert_new_files>yes</alert_new_files>.

<syscheck>
    <!-- Frequency that syscheck is executed - default to every 22 hours -->
    <frequency>79200</frequency>

    <alert_new_files>yes</alert_new_files>

あなたがまだ持っている間 ossec.conf 開いて、OSSECが監視するシステムディレクトリのリストを確認します。これは、変更した最後の行のすぐ下にあります。 それは読むべきです:

<!-- Directories to check  (perform all possible verifications) -->
<directories check_all="yes">/etc,/usr/bin,/usr/sbin</directories>
<directories check_all="yes">/bin,/sbin</directories>

ディレクトリのリストごとに、 report_changes="yes"realtime="yes" オプション。 変更が行われた後、セクションは次のようになります。

<!-- Directories to check  (perform all possible verifications) -->
<directories report_changes="yes" realtime="yes" check_all="yes">/etc,/usr/bin,/usr/sbin</directories>
<directories report_changes="yes" realtime="yes" check_all="yes">/bin,/sbin</directories>

OSSECが監視するように構成されているディレクトリのデフォルトのリストの他に、監視したいディレクトリを追加することもできます。 たとえば、ホームディレクトリの監視を追加できます。 /home/sammy. これを行うには、この新しい行を他のディレクトリ行のすぐ下に追加し、ユーザー名を次のように置き換えます。

<directories report_changes="yes" realtime="yes" check_all="yes">/home/sammy</directories>

保存して閉じます ossec.conf.

次に変更するファイルは /var/ossec/rules ディレクトリなので、そのディレクトリに移動します。

cd /var/ossec/rules

The /var/ossec/rules ディレクトリには、次のような多くのXMLファイルが含まれています ossec_rules.xml、OSSECのデフォルトのルール定義が含まれています。 local_rules.xml、ここでカスタムルールを追加できます。 local_rules.xml このディレクトリで編集する必要がある唯一のファイルです。

ossec_rules.xml、ファイルが監視対象ディレクトリに追加されたときに発生するルールはルール554です。 デフォルトでは、OSSECはそのルールがトリガーされたときにアラートを送信しないため、ここでのタスクはその動作を変更することです。 ルール554はデフォルトで次のようになります。

<rule id="554" level="0">
<category>ossec</category>
<decoded_as>syscheck_new_entry</decoded_as>
<description>File added to the system.</description>
<group>syscheck,</group>
</rule>

ルールがレベル0に設定されている場合、OSSECはアラートを送信しないため、そのルールをにコピーします。 local_rules.xml アラートをトリガーするように変更します。 そのためには、 local_rules.xml.

nano local_rules.xml

ファイルの最後の行の前に以下を追加します </group> 鬼ごっこ。

<rule id="554" level="7" overwrite="yes">
<category>ossec</category>
<decoded_as>syscheck_new_entry</decoded_as>
<description>File added to the system.</description>
<group>syscheck,</group>
</rule>

ファイルを保存して閉じます。 次に、OSSECを再起動して、編集したファイルを再読み込みします。

/var/ossec/bin/ossec-control restart

これで、監視対象のディレクトリとログファイルでOSSECからアラートを受信するはずです。

結論

これで、基本的なローカルOSSECインストールがセットアップされました。 その公式ドキュメントで調べることができる、さらに多くのカスタマイズが利用可能です。

OSSECを(ローカルモードではなく)クライアントサーバーモードまたはサーバーエージェントモードでインストールする方法については、 Ubuntu14.04でOSSECサーバーを使用してOSSECエージェントを監視する方法を参照してください。