前書き

OSSECは、ログ分析、整合性チェック、Windowsレジストリの監視、ルートキットの検出、時間ベースのアラート、アクティブな応答を実行する、オープンソースのホストベースの侵入検知システム(HIDS)です。 サーバー内で何が起こっているかを監視したい場合、サーバーにインストールするアプリケーションです。

OSSECは、インストールされているサーバー(OSSECの用語ではローカルインストール)のみを監視するようにインストールするか、1つ以上のエージェントを監視するサーバーとしてインストールできます。 このチュートリアルでは、OSSECをインストールして、それがインストールされているFedora 21またはRHELサーバーを監視する方法を学習します:ローカルOSSECインストール。

前提条件

このチュートリアルを完了するには、次のものが必要です。

このチュートリアルは、sudoの非rootユーザーとして実行する必要があります。

ステップ1-必要なパッケージのインストール

このセクションでは、いくつかの必要なパッケージをインストールします。

特に、次のコマンドを使用して、「+ bind-utils」、「+ gcc」、「+ make」、および「+ inotify-tools is」をインストールします。

sudo yum install -y bind-utils gcc make inotify-tools

+ bind-utils _`はドメインネームシステム(DNS)ユーティリティを提供し、OSSECインストーラーは + gcc + + make + を使用し、リアルタイム通知にはOSSECが + inotify-tools + `を必要とします。

ステップ2-OSSECのダウンロードと検証

OSSECは、圧縮されたtarballとして提供されます。 この手順では、ファイルとそのチェックサムファイルをダウンロードし、tarballが改ざんされていないことを確認します。

http://www.ossec.net/?page_id=19 [プロジェクトのウェブサイト]で最新バージョンを確認できます。 この記事の執筆時点では、「+ OSSEC 2.8.1+」が最新の安定版リリースです。

まず、tarballをダウンロードします。

wget -U ossec http://www.ossec.net/files/ossec-hids-2.8.1.tar.gz

次に、チェックサムファイルをダウンロードします。

wget -U ossec http://www.ossec.net/files/ossec-hids-2.8.1-checksum.txt

両方のファイルをダウンロードしたら、圧縮されたtarballのmd5sumを確認します。

md5sum -c ossec-hids-2.8.1-checksum.txt

出力は次のようになります。

ossec-hids-2.8.1.tar.gz: OK
md5sum: WARNING: 1 line is improperly formatted

続いて、SHA1チェックサムを確認します。

sha1sum -c ossec-hids-2.8.1-checksum.txt

出力は次のようになります。

ossec-hids-2.8.1.tar.gz: OK
sha1sum: WARNING: 1 line is improperly formatted

いずれの場合も、* WARNING *行を無視します。 * OK *行は、ファイルが正常であることを確認するものです。

ステップ3-SMTPサーバーを見つける

OSSECのインストール中に電子メール通知を設定すると、OSSECはSMTPサーバーを要求します。 このステップでは、その情報を把握します。

メールサービスプロバイダーに使用する正しいSMTPサーバーを決定するには、 `+ dig `コマンドを使用してプロバイダーのメールエクスチェンジャー(MX)リソースレコードをクエリします。 次のコマンドを入力し、「 example.com +」をメールプロバイダーのドメイン名に置き換えます。

dig -t mx

出力は複数のセクションで構成されていますが、1つ以上の行を含む* ANSWER *セクションのみに関心があります。 各行の最後には、使用するSMTPサーバーがあります。

たとえば、 `+ fastmail.com +`を使用してコマンドを実行する場合:

dig -t mx fastmail.com

プロバイダーの有効なSMTPサーバーは、ANSWERセクションの各リストの最後にあります。

;; ANSWER SECTION:
fastmail.com.           3600    IN      MX      10 in1-smtp.messagingengine.com.
fastmail.com.           3600    IN      MX      20 in2-smtp.messagingengine.com.

この例では、SMTPサーバーとして「+ in1-smtp.messagingengine.com。」または「 in2-smtp.messagingengine.com。+」のいずれかを使用できます。

電子メールプロバイダーからSMTPサーバーの1つをコピーして保存し、次のステップで入力します。 必ず最後に*。*(ピリオド)も含めるようにしてください。

ステップ4-OSSECのインストール

このステップでは、OSSECをインストールします。

インストールを開始する前に、次を使用して展開します。

tar xf ossec-hids-2.8.1.tar.gz

`+ ossec-hids-2.8.1 +`と呼ばれるディレクトリに展開されます。 そのディレクトリに移動します。

cd ossec-hids-2.8.1

次に、インストールを開始します。

sudo ./install.sh

セットアッププロセス全体を通して、入力を行うよう求められます。 ほとんどの場合、* ENTER *を押してデフォルト値を受け入れるだけです。

最初にインストール言語を選択するよう求められます。 デフォルトでは英語(en)であるため、希望する言語の場合は* ENTER を押します。 それ以外の場合は、サポートされている言語のリストから2文字を入力します。 次に、もう一度 ENTER *を押してインストールを開始します。

質問1では、どのようなインストールが必要かを尋ねられます。 ここで、* local *と入力します。

1- What kind of installation do you want (server, agent, local, hybrid or help)?

以下の質問すべてについて、* ENTER *を押してデフォルトを受け入れます。 質問3.1では、さらにメールアドレスの入力を求められ、SMTPサーバーのip / hostが要求されます。 ここで、手順3で保存した電子メールアドレスとSMTPサーバーを入力します。

インストールが成功すると、最後に次の出力が表示されます。

- Configuration finished properly.

...

   More information can be found at http://www.ossec.net

   ---  Press ENTER to finish (maybe more information below). ---

  • ENTER *を押してインストールを終了します。

ステップ5-OSSECのメール設定の確認

ここでは、前の手順で指定した電子メール資格情報と、OSSECが自動構成したものが正しいことを確認します。

メール設定は、OSSECのメイン設定ファイルである `+ ossec.conf `にあります。これは、 ` / var / ossec / etc +`ディレクトリにあります。 OSSECファイルにアクセスして変更するには、最初にrootユーザーに切り替える必要があります。

sudo su

ルートになったので、OSSECの設定ファイルがあるディレクトリに「+ cd +」を追加します。

cd /var/ossec/etc

まず、そのファイルのバックアップコピーを作成します。

cp ossec.conf ossec.conf.00

次に、元のファイルを開きます。 ここでは、 `+ nano +`テキストエディターを使用しますが、任意のテキストエディターを使用できます。

nano ossec.conf

メール設定はファイルの上部にあります。 フィールドの説明は次のとおりです。

  • * <email_to> *は、インストール時に指定したメールです。 アラートはそのメールアドレスに送信されます。

  • * <email_from> *は、OSSECのアラートの発信元と思われる場所です。 これを有効なメールアドレスに変更して、メールプロバイダーのSMTPサーバーによってスパムとしてタグ付けされる確率を減らします。

  • * <smtp_server> *は、セットアップ中に指定したSMTPサーバーです。

  • <email_to> <email_from> は同じにすることができ、OSSECサーバーと同じホスト上に独自のメールサーバーがある場合は、 <smtp_server> 設定を localhost *に変更できます。

終了すると、そのセクションは次のようになります。

<global>
   <email_notification>yes</email_notification>
   <email_to></email_to>
   <smtp_server></smtp_server>
   <email_from></email_from>
</global>

メール設定を変更した後、ファイルを保存して閉じます。 次に、OSSECを起動します。

/var/ossec/bin/ossec-control start

OSSECが開始されたことを知らせるメールを受信トレイで確認します。 OSSECインストールから電子メールを受け取った場合、今後のアラートも受信トレイに届くことがわかります。 そうでない場合は、スパムフォルダーを確認してください。

ステップ6-アラートの追加

デフォルトでは、OSSECはファイルの変更やサーバー上のその他のアクティビティについてアラートを発行しますが、新しいファイルの追加についてアラートを発行せず、リアルタイムでアラートを発行しません-スケジュールされたシステムスキャン(79200秒(または22時間) )デフォルトで。 このセクションでは、ファイルの追加に関するアラートをリアルタイムで追加します。

まず、 `+ ossec.conf +`を開きます。

nano ossec.conf

次に、このテキストで始まる* <syscheck> *セクションまでスクロールします。

<syscheck>
   <!-- Frequency that syscheck is executed - default to every 22 hours -->
   <frequency>79200</frequency>

  • <frequency> *タグのすぐ下に、「++」を追加します。

<syscheck>
   <!-- Frequency that syscheck is executed - default to every 22 hours -->
   <frequency>79200</frequency>

`+ ossec.conf +`を開いたまま、OSSECが監視するシステムディレクトリのリストを確認します。これは、変更した最後の行のすぐ下にあります。 読みます:

<!-- Directories to check  (perform all possible verifications) -->
<directories check_all="yes">/etc,/usr/bin,/usr/sbin</directories>
<directories check_all="yes">/bin,/sbin</directories>

ディレクトリのリストごとに、 `+ report_changes =” yes “`および ` realtime =” yes “+`オプションを追加します。 変更が行われた後、セクションは次のようになります。

<!-- Directories to check  (perform all possible verifications) -->
<directories  check_all="yes">/etc,/usr/bin,/usr/sbin</directories>
<directories  check_all="yes">/bin,/sbin</directories>

OSSECが監視するように設定されているディレクトリのデフォルトリストの他に、監視するものを追加することもできます。 たとえば、ホームディレクトリ「+ / home / +」の監視を追加できます。 これを行うには、他のディレクトリ行のすぐ下にこの新しい行を追加し、ユーザー名を置き換えます。

<directories report_changes="yes" realtime="yes" check_all="yes">/home/</directories>

次に、 `+ ossec.conf +`を保存して閉じます。

変更する次のファイルは `+ / var / ossec / rules +`ディレクトリにあるため、そのディレクトリに移動します。

cd /var/ossec/rules

`+ / var / ossec / rules `ディレクトリには、OSSECのデフォルトのルール定義を含む ` ossec_rules.xml `や、カスタムルールを追加できる ` local_rules.xml `など、多くのXMLファイルが含まれています。 このディレクトリで編集する必要があるファイルは、 ` local_rules.xml`のみです。

`+ ossec ruleset.xml`では、監視対象ディレクトリにファイルが追加されたときに起動するルールはルール554です。 デフォルトでは、OSSECはそのルールがトリガーされたときにアラートを送信しないため、ここでのタスクはその動作を変更することです。 デフォルトでルール554は次のようになります。

<rule id="554" level="0">
<category>ossec</category>
<decoded_as>syscheck_new_entry</decoded_as>
<description>File added to the system.</description>
<group>syscheck,</group>
</rule>

ルールがレベル0に設定されている場合、OSSECはアラートを送信しないため、そのルールを「+ local_rules.xml 」にコピーし、アラートをトリガーするように変更します。 それを行うには、 ` local_rules.xml`を開きます。

nano local_rules.xml

ファイルの最後、 `+ </ group> +`タグのある行の前に以下を追加します。

<rule id="554" level="" >
<category>ossec</category>
<decoded_as>syscheck_new_entry</decoded_as>
<description>File added to the system.</description>
<group>syscheck,</group>
</rule>

ファイルを保存して閉じます。 ここで、OSSECを再起動して、編集したファイルをリロードします。

/var/ossec/bin/ossec-control restart

これで、監視対象のディレクトリとログファイルでOSSECからアラートを受信するはずです。

結論

これで、基本的なローカルOSSECインストールがセットアップされました。 さらに多くのカスタマイズが利用可能です。http://ossec-docs.readthedocs.org/en/latest/manual/index.html [その公式ドキュメント]で調べることができます。

(ローカルモードではなく)クライアントサーバーモードまたはサーバーエージェントモードでOSSECをインストールする方法については、https://www.digitalocean.com/community/tutorials/how-to-monitor-ossec-agents-を参照してください。 using-an-ossec-server-on-ubuntu-14-04 [Ubuntu 14.04でOSSECサーバーを使用してOSSECエージェントを監視する方法]。