序章
OSSECは、オープンソースのホストベースの侵入検知システム(HIDS)であり、ログ分析、整合性チェック、Windowsレジストリ監視、ルートキット検出、時間ベースのアラート、およびアクティブな応答を実行します。 サーバー内で何が起こっているかを監視したい場合は、サーバーにインストールするアプリケーションです。
OSSECは、インストールされているサーバーのみを監視するためにインストールできます。これは、OSSECの用語ではローカルインストールであり、サーバーとしてインストールして1つ以上のエージェントを監視することもできます。 このチュートリアルでは、OSSECをインストールして、インストール先のFedora 21またはRHELサーバー(ローカルOSSECインストール)を監視する方法を学習します。
前提条件
このチュートリアルを完了するには、次のものが必要です。
- このチュートリアルに従って設定したFedora21ドロップレット。
このチュートリアルは、sudo非rootユーザーとして従う必要があります。
ステップ1—必要なパッケージのインストール
このセクションでは、いくつかの必要なパッケージをインストールします。
特に、次のコマンドを使用して、bind-utils
、gcc
、make
、およびinotify-tools
をインストールします。
sudo yum install -y bind-utils gcc make inotify-tools
bind-utils
はドメインネームシステム(DNS)ユーティリティを提供し、gcc
とmake
はOSSECインストーラーによって使用され、inotify-tools
はOSSECによって実際に必要です。時間通知。
ステップ2—OSSECのダウンロードと検証
OSSECは、圧縮されたtarballとして提供されます。 このステップでは、tarballが改ざんされていないことを確認するチェックサムファイルとそのチェックサムファイルをダウンロードします。
プロジェクトのウェブサイトで最新バージョンを確認できます。 この記事の執筆時点では、OSSEC 2.8.1
が最新の安定版リリースです。
まず、tarballをダウンロードします。
wget -U ossec http://www.ossec.net/files/ossec-hids-2.8.1.tar.gz
次に、チェックサムファイルをダウンロードします。
wget -U ossec http://www.ossec.net/files/ossec-hids-2.8.1-checksum.txt
両方のファイルをダウンロードした後、圧縮されたtarballのmd5sumを確認します。
md5sum -c ossec-hids-2.8.1-checksum.txt
出力は次のようになります。
ossec-hids-2.8.1.tar.gz: OK md5sum: WARNING: 1 line is improperly formatted
その後、SHA1チェックサムを確認します。
sha1sum -c ossec-hids-2.8.1-checksum.txt
その出力は次のようになります。
ossec-hids-2.8.1.tar.gz: OK sha1sum: WARNING: 1 line is improperly formatted
いずれの場合も、WARNING行は無視してください。 OK 行は、ファイルが正常であることを確認するものです。
ステップ3—SMTPサーバーを見つける
OSSECのインストール中に電子メール通知を設定すると、OSSECはSMTPサーバーを要求します。 このステップでは、その情報を把握します。
電子メールサービスプロバイダーに使用する正しいSMTPサーバーを決定するには、dig
コマンドを使用して、プロバイダーのメールエクスチェンジャー(MX)リソースレコードを照会できます。 次のコマンドを入力し、example.com
をメールプロバイダーのドメイン名に置き換えます。
dig -t mx example.com
出力はいくつかのセクションで構成されていますが、関心があるのはANSWERセクションだけです。このセクションには1行以上が含まれています。 各行の終わりには、使用するSMTPサーバーがあります。
たとえば、fastmail.com
を使用してコマンドを実行する場合:
dig -t mx fastmail.com
プロバイダーの有効なSMTPサーバーは、ANSWERセクションの各リストの最後にあります。
;; ANSWER SECTION: fastmail.com. 3600 IN MX 10 in1-smtp.messagingengine.com. fastmail.com. 3600 IN MX 20 in2-smtp.messagingengine.com.
この例では、SMTPサーバーとしてin1-smtp.messagingengine.com.
またはin2-smtp.messagingengine.com.
のいずれかを使用できます。
電子メールプロバイダーからSMTPサーバーの1つをコピーし、保存して次の手順に進みます。 最後に。(ピリオド)も必ず含めてください。
ステップ4—OSSECのインストール
このステップでは、OSSECをインストールします。
インストールを開始する前に、以下を使用して解凍します。
tar xf ossec-hids-2.8.1.tar.gz
ossec-hids-2.8.1
というディレクトリに解凍されます。 そのディレクトリに移動します。
cd ossec-hids-2.8.1
次に、インストールを開始します。
sudo ./install.sh
セットアッププロセス全体を通して、入力を入力するように求められます。 ほとんどの場合、必要なのはENTERを押してデフォルト値を受け入れることだけです。
最初に、インストール言語を選択するように求められます。 デフォルトでは英語(en)なので、希望する言語の場合はENTERを押してください。 それ以外の場合は、サポートされている言語のリストから2文字を入力します。 次に、ENTERをもう一度押してインストールを開始します。
質問1は、どのようなインストールが必要かを尋ねます。 ここに、localと入力します。
1- What kind of installation do you want (server, agent, local, hybrid or help)? local
以下のすべての質問について、ENTERを押してデフォルトを受け入れます。 質問3.1はさらに、電子メールアドレスの入力を求め、SMTPサーバーのIP/ホストを要求します。 ここに、ステップ3で保存したメールアドレスとSMTPサーバーを入力します。
インストールが成功すると、最後に次の出力が表示されます。
- Configuration finished properly. ... More information can be found at http://www.ossec.net --- Press ENTER to finish (maybe more information below). ---
ENTERを押してインストールを終了します。
ステップ5—OSSECの電子メール設定を確認する
ここでは、前の手順で指定した電子メールの資格情報とOSSECが自動構成した電子メールの資格情報が正しいことを確認します。
電子メール設定は、/var/ossec/etc
ディレクトリにあるOSSECのメイン構成ファイルossec.conf
にあります。 OSSECファイルにアクセスして変更するには、最初にrootユーザーに切り替える必要があります。
sudo su
ルートになったら、cd
をOSSECの構成ファイルがあるディレクトリに移動します。
cd /var/ossec/etc
まず、そのファイルのバックアップコピーを作成します。
cp ossec.conf ossec.conf.00
次に、元のファイルを開きます。 ここでは、nano
テキストエディタを使用していますが、任意のテキストエディタを使用できます。
nano ossec.conf
メール設定はファイルの先頭にあります。 フィールドの説明は次のとおりです。
- 'インストール中に送信したメールです。 アラートはそのメールアドレスに送信されます。
- 'OSSECのアラートが発信されているように見える場所です。 これを有効な電子メールアドレスに変更して、電子メールプロバイダーのSMTPサーバーによってスパムとしてタグ付けされる可能性を減らします。
- 'セットアップ中に指定したSMTPサーバーです。
ご了承ください'と'同じにすることができ、OSSECサーバーと同じホスト上に独自の電子メールサーバーがある場合は、' に設定'ローカルホスト 。
終了すると、そのセクションは次のようになります。
<global> <email_notification>yes</email_notification> <email_to>[email protected]</email_to> <smtp_server>mail.example.com.</smtp_server> <email_from>[email protected]</email_from> </global>
メール設定を変更したら、ファイルを保存して閉じます。 次に、OSSECを起動します。
/var/ossec/bin/ossec-control start
受信トレイで、OSSECが開始されたことを通知する電子メールを確認してください。 OSSECインストールから電子メールを受信した場合、将来のアラートも受信トレイに届くことがわかります。 そうでない場合は、スパムフォルダを確認してください。
ステップ6—アラートを追加する
デフォルトでは、OSSECはサーバー上のファイルの変更やその他のアクティビティについてアラートを発行しますが、新しいファイルの追加についてはアラートを送信せず、リアルタイムでアラートを送信しません—スケジュールされたシステムスキャン(79200秒(または22時間)後のみ) )デフォルトで。 このセクションでは、ファイルの追加に関するアラートをリアルタイムで追加します。
まず、ossec.conf
を開きます。
nano ossec.conf
次に、下にスクロールして'このテキストで始まるセクション:
<syscheck> <!-- Frequency that syscheck is executed - default to every 22 hours --> <frequency>79200</frequency>
すぐ下'タグ、追加<alert_new_files>yes</alert_new_files>
。
<syscheck> <!-- Frequency that syscheck is executed - default to every 22 hours --> <frequency>79200</frequency> <alert_new_files>yes</alert_new_files>
ossec.conf
を開いたまま、OSSECが監視するシステムディレクトリのリストを確認します。これは、変更した最後の行のすぐ下にあります。 それは読むべきです:
<!-- Directories to check (perform all possible verifications) --> <directories check_all="yes">/etc,/usr/bin,/usr/sbin</directories> <directories check_all="yes">/bin,/sbin</directories>
ディレクトリのリストごとに、report_changes="yes"
およびrealtime="yes"
オプションを追加します。 変更が行われた後、セクションは次のようになります。
<!-- Directories to check (perform all possible verifications) --> <directories report_changes="yes" realtime="yes" check_all="yes">/etc,/usr/bin,/usr/sbin</directories> <directories report_changes="yes" realtime="yes" check_all="yes">/bin,/sbin</directories>
OSSECが監視するように構成されているディレクトリのデフォルトのリストの他に、監視したいディレクトリを追加することもできます。 たとえば、ホームディレクトリ/home/sammy
の監視を追加できます。 これを行うには、この新しい行を他のディレクトリ行のすぐ下に追加し、ユーザー名を次のように置き換えます。
<directories report_changes="yes" realtime="yes" check_all="yes">/home/sammy</directories>
次に、ossec.conf
を保存して閉じます。
次に変更するファイルは/var/ossec/rules
ディレクトリにあるので、そのディレクトリに移動します。
cd /var/ossec/rules
/var/ossec/rules
ディレクトリには、OSSECのデフォルトのルール定義を含むossec_rules.xml
や、カスタムルールを追加できるlocal_rules.xml
など、多くのXMLファイルが含まれています。 local_rules.xml
は、このディレクトリで編集する必要がある唯一のファイルです。
ossec_rules.xml
では、ファイルが監視対象ディレクトリに追加されたときに発生するルールはルール554です。 デフォルトでは、OSSECはそのルールがトリガーされたときにアラートを送信しないため、ここでのタスクはその動作を変更することです。 ルール554はデフォルトで次のようになります。
<rule id="554" level="0"> <category>ossec</category> <decoded_as>syscheck_new_entry</decoded_as> <description>File added to the system.</description> <group>syscheck,</group> </rule>
ルールがレベル0に設定されている場合、OSSECはアラートを送信しないため、そのルールをlocal_rules.xml
にコピーし、アラートをトリガーするように変更します。 これを行うには、local_rules.xml
を開きます。
nano local_rules.xml
ファイルの最後、</group>
タグの行の前に以下を追加します。
<rule id="554" level="7" overwrite="yes"> <category>ossec</category> <decoded_as>syscheck_new_entry</decoded_as> <description>File added to the system.</description> <group>syscheck,</group> </rule>
ファイルを保存して閉じます。 次に、OSSECを再起動して、編集したファイルを再読み込みします。
/var/ossec/bin/ossec-control restart
これで、監視対象のディレクトリとログファイルでOSSECからアラートを受信するはずです。
結論
これで、基本的なローカルOSSECインストールがセットアップされました。 その公式ドキュメントで調べることができる、さらに多くのカスタマイズが利用可能です。
OSSECを(ローカルモードではなく)クライアントサーバーモードまたはサーバーエージェントモードでインストールする方法については、 Ubuntu14.04でOSSECサーバーを使用してOSSECエージェントを監視する方法を参照してください。