OSSEC2.8.1をOSSEC2.8.2にアップグレードする方法
序章
OSSECは、オープンソースのホストベースの侵入検知システム(HIDS)であり、ログ分析、整合性チェック、Windowsレジストリ監視、ルートキット検出、時間ベースのアラート、およびアクティブな応答を実行します。 単一のサーバーまたは数千台のサーバーを監視するためにインストールできます。
このチュートリアルでは、OSSEC2.8.1のインストールを最新リリースのOSSEC2.8.2にアップグレードする方法を示します。これは、最近発見されたバグに対処するものです。
前提条件
- すでにOSSEC2.8.1を実行しているドロップレットで、 Ubuntu 14.04 、 Debian 8 、または Fedora21のチュートリアルに従って設定されています。
このチュートリアルを使用してFreeBSD10.1にOSSEC2.8.1をインストールした場合、代わりにそのディストリビューションのパッケージマネージャーを使用して簡単にアップグレードを実行でき、このガイドに従う必要はありません。
ステップ1—OSSEC2.8.2のダウンロードと検証
OSSECをアップグレードするための最初のステップは、tarballとそのチェックサムファイルをダウンロードすることです。このファイルは、tarballが危険にさらされていないことを確認するために使用されます。
まず、新しいtarballをダウンロードします。
- wget -U ossec http://www.ossec.net/files/ossec-hids-2.8.2.tar.gz
次に、チェックサムファイルをダウンロードします。
- wget -U ossec http://www.ossec.net/files/ossec-hids-2.8.2-checksum.txt
tarballが危険にさらされていないことを確認するには、最初にMD5チェックサムを確認します。
- md5sum -c ossec-hids-2.8.2-checksum.txt
出力は次のようになります。
ossec-hids-2.8.2.tar.gz: OK
md5sum: WARNING: 1 line is improperly formatted
次に、SHA1チェックサムを確認します。
- sha1sum -c ossec-hids-2.8.2-checksum.txt
期待される出力は次のとおりです。
ossec-hids-2.8.2.tar.gz: OK
sha1sum: WARNING: 1 line is improperly formatted
ステップ2—バグの修正
OSSEC 2.8.2はセキュリティバグを修正しましたが、OSSECがセキュリティバグの内容を上書きする原因となった長年のバグには対処していませんでした。 /etc/hosts.deny
ファイル。 アップグレードを開始する前に、その修正を手動で適用する必要があります。 また、修正には、新しくダウンロードしたtarball内のファイルの編集が含まれます。
つまり、最初にtarballを解凍する必要があります。
- tar xf ossec-hids-2.8.2.tar.gz
プログラムのバージョン番号が名前に含まれているディレクトリに解凍する必要があります。 変化 (cd
)そのディレクトリに。
- cd ossec-hids-2.8.2
編集する必要のあるファイル、 host-deny.sh
、 の中に active-response
ディレクトリ。 したがって、次を使用して開きます。
- nano active-response/host-deny.sh
ファイルの終わりに向かって、#hosts.denyコメントからの削除の下にある TMP_FILE=で始まるコード内の2行を探します。 両方の行を編集して、 = 記号の両側のスペースを削除し、コードブロックが次のようになるようにします。
# Deleting from hosts.deny
elif [ "x${ACTION}" = "xdelete" ]; then
lock;
TMP_FILE=`mktemp /var/ossec/ossec-hosts.XXXXXXXXXX`
if [ "X${TMP_FILE}" = "X" ]; then
# Cheap fake tmpfile, but should be harder then no random data
TMP_FILE="/var/ossec/ossec-hosts.`cat /dev/urandom | tr -dc 'a-zA-Z0-9' | fold -w 32 | head -1 `"
fi
ファイルを保存して閉じます。
ステップ3—OSSEC2.8.1のアップグレード
これで、アップグレードを開始できます。
- sudo ./install.sh
インストールの言語を選択するように求められます。 ENTER を押してデフォルトを受け入れるか、希望する言語を表す2文字のコードを入力してから、ENTERを押します。 画面の指示に従って、ある時点で、2つの簡単な質問が表示されます。 それぞれにyと入力し、ENTERを押します。
- You already have OSSEC installed. Do you want to update it? (y/n): y
- Do you want to update the rules? (y/n): y
アップグレードプロセスには約2分かかります。 インストーラーが停止し、最後にOSSECを再起動すると、OSSECが再起動したことを確認する電子メールが届きます。
OSSECのステータスを照会することにより、これを再確認できます。
- sudo /var/ossec/bin/ossec-control status
出力は、すべてのプロセスが実行中であることを示しているはずです。
結論
これらの簡単な手順に従うことで、OSSEC2.8.1をOSSEC2.8.2にアップグレードしました。