序章

OSSECは、オープンソースのホストベースの侵入検知システム(HIDS)であり、ログ分析、整合性チェック、Windowsレジストリ監視、ルートキット検出、時間ベースのアラート、およびアクティブな応答を実行します。 単一のサーバーまたは数千台のサーバーを監視するためにインストールできます。

このチュートリアルでは、OSSEC2.8.1のインストールを最新リリースのOSSEC2.8.2にアップグレードする方法を示します。これは、最近発見されたバグに対処するものです。

前提条件

  • すでにOSSEC2.8.1を実行しているドロップレットで、 Ubuntu 14.04 Debian 8 、または Fedora21のチュートリアルに従って設定されています。

このチュートリアルを使用してFreeBSD10.1にOSSEC2.8.1をインストールした場合、代わりにそのディストリビューションのパッケージマネージャーを使用して簡単にアップグレードを実行でき、このガイドに従う必要はありません。

ステップ1—OSSEC2.8.2のダウンロードと検証

OSSECをアップグレードするための最初のステップは、tarballとそのチェックサムファイルをダウンロードすることです。このファイルは、tarballが危険にさらされていないことを確認するために使用されます。

まず、新しいtarballをダウンロードします。

  1. wget -U ossec http://www.ossec.net/files/ossec-hids-2.8.2.tar.gz

次に、チェックサムファイルをダウンロードします。

  1. wget -U ossec http://www.ossec.net/files/ossec-hids-2.8.2-checksum.txt

tarballが危険にさらされていないことを確認するには、最初にMD5チェックサムを確認します。

  1. md5sum -c ossec-hids-2.8.2-checksum.txt

出力は次のようになります。

md5sum出力
ossec-hids-2.8.2.tar.gz: OK
md5sum: WARNING: 1 line is improperly formatted

次に、SHA1チェックサムを確認します。

  1. sha1sum -c ossec-hids-2.8.2-checksum.txt

期待される出力は次のとおりです。

sha1sum出力
ossec-hids-2.8.2.tar.gz: OK
sha1sum: WARNING: 1 line is improperly formatted

ステップ2—バグの修正

OSSEC 2.8.2はセキュリティバグを修正しましたが、OSSECが/etc/hosts.denyファイルの内容を上書きする原因となった長年のバグには対処していませんでした。 アップグレードを開始する前に、その修正を手動で適用する必要があります。 また、修正には、新しくダウンロードしたtarball内のファイルの編集が含まれます。

つまり、最初にtarballを解凍する必要があります。

  1. tar xf ossec-hids-2.8.2.tar.gz

プログラムのバージョン番号が名前に含まれているディレクトリに解凍する必要があります。 (cd)をそのディレクトリに変更します。

  1. cd ossec-hids-2.8.2

編集する必要のあるファイルhost-deny.shは、active-responseディレクトリにあります。 したがって、次を使用して開きます。

  1. nano active-response/host-deny.sh

ファイルの終わりに向かって、#ホストからの削除.denyコメントの下にある TMP_FILE=で始まるコード内の2行を探します。 両方の行を編集して、 = 記号の両側のスペースを削除し、コードブロックが次のようになるようにします。

host-deny.shコードブロックを変更しました
# Deleting from hosts.deny
elif [ "x${ACTION}" = "xdelete" ]; then
   lock;
   TMP_FILE=`mktemp /var/ossec/ossec-hosts.XXXXXXXXXX`
   if [ "X${TMP_FILE}" = "X" ]; then
     # Cheap fake tmpfile, but should be harder then no random data
     TMP_FILE="/var/ossec/ossec-hosts.`cat /dev/urandom | tr -dc 'a-zA-Z0-9' | fold -w 32 | head -1 `" 
   fi

ファイルを保存して閉じます。

ステップ3—OSSEC2.8.1のアップグレード

これで、アップグレードを開始できます。

  1. sudo ./install.sh

インストールの言語を選択するように求められます。 ENTER を押してデフォルトを受け入れるか、希望する言語を表す2文字のコードを入力してから、ENTERを押します。 画面の指示に従って、ある時点で、2つの簡単な質問が表示されます。 それぞれにyと入力し、ENTERを押します。

OSSECの質問プロンプト
- You already have OSSEC installed. Do you want to update it? (y/n): y
 - Do you want to update the rules? (y/n): y

アップグレードプロセスには約2分かかります。 インストーラーが停止し、最後にOSSECを再起動すると、OSSECが再起動したことを確認する電子メールが届きます。

OSSECのステータスを照会することにより、これを再確認できます。

  1. sudo /var/ossec/bin/ossec-control status

出力は、すべてのプロセスが実行中であることを示しているはずです。

結論

これらの簡単な手順に従うことで、OSSEC2.8.1をOSSEC2.8.2にアップグレードしました。