前書き
サーバーでの許可されたアクティビティと許可されていないアクティビティをどのように追跡しますか?
OSSECは、サーバーにインストールしてそのアクティビティを追跡できるツールの1つです。
OSSECは、ログ分析、整合性チェック、Windowsレジストリの監視、ルートキットの検出、時間ベースのアラート、アクティブな応答を実行する、オープンソースのホストベースの侵入検知システム(HIDS)です。 サーバー/エージェントモードで1台または数千台のサーバーを監視するために使用できます。
適切に構成されていれば、OSSECはサーバーで何が起こっているかをリアルタイムで表示できます。
このチュートリアルでは、Ubuntu 14.04 LTSを実行している1つのDigitalOceanサーバーを監視するようにOSSECをインストールおよび構成する方法を示します。 ファイルがサーバーに変更、削除、または追加された場合、OSSECがリアルタイムでメールで通知するようにOSSECを構成します。 これは、OSSECが提供する他の整合性チェック機能に追加されます。
OSSECはファイルの変更を通知する以上のことを実行できますが、1つの記事ではすべての機能を活用する方法を示すのに十分ではありません。
** OSSECの利点は何ですか?
インストールと設定の部分に進む前に、OSSECを使用することで得られる具体的なメリットをいくつか見てみましょう。
以下は、ファイル/var/ossec/etc/ossec.confが変更されたことを示すOSSECからの電子メール通知の例です。
OSSEC HIDS Notification.
2014 Nov 29 09:45:15
Received From: kuruji->syscheck
Rule: 552 fired (level 7) -> "Integrity checksum changed again (3rd time)."
Portion of the log(s):
Integrity checksum changed for: '/var/ossec/etc/ossec.conf'
Size changed from '7521' to '7752'
そのようなアラートを受信し、そのファイルが変更されることを期待していなかった場合、サーバーで不正なことが発生したことがわかります。
これは、ファイル/etc/ossec/testossec.txtが削除されたことを示すOSSECからの別の電子メールアラートの例です。
OSSEC HIDS Notification.
2014 Nov 29 10:56:14
Received From: kuruji->syscheck
Rule: 553 fired (level 7) -> "File deleted. Unable to retrieve checksum."
Portion of the log(s):
File /etc/ossec/testossec.txt was deleted. Unable to retrieve checksum.
繰り返しますが、問題のファイルを削除しなかった場合は、サーバーで何が起こっているかを把握する必要があります。
さて、OSSECをインストールするのに十分なほど上記のことを気にかけているなら、最初にやらなければならないことがいくつかあります。
前提条件
もちろん、監視するサーバーが必要です。 このチュートリアルでは、既にお持ちであること、および使用するために既にセットアップされていることを前提としています。 今日設定したサーバーでも、数か月使用していたサーバーでもかまいません。 最も重要なことは、あなたがそれにアクセスし、SSH経由でログインできることです。 OSSECのセットアップは、サーバーにSSHで接続する方法がまだわからない場合に実行したいことではありません。
-
Ubuntu 14.04サーバー
-
サーバー上にsudoユーザーを作成する必要があります。 この例では、ユーザーの名前はsammyです。 ただし、このチュートリアルは、rootユーザーとして完了するのがはるかに簡単です。
sudo su
-
オプション:ローカルSMTPサーバーからメールを送信する場合は、単純なメール送信用にPostfixをインストールする必要があります
-
OSSECのインストールにはコンパイルが含まれるため、
gcc
とmake
をインストールする必要があります。build-essential
という単一のパッケージをインストールすることで両方をインストールできます -
また、
inotify-tools
というパッケージをインストールする必要があります。これは、リアルタイムアラートが機能するために必要です。
必要なすべてのパッケージをインストールするには、まずサーバーを更新します。
apt-get update
パッケージをインストールします。
apt-get install build-essential inotify-tools
準備が整いましたので、楽しみましょう。
[[step-1 -—- download-and-verify-ossec]] ==ステップ1—OSSECをダウンロードして確認する
この手順では、OSSEC tarballとその暗号化チェックサムを含むファイルをダウンロードします。
これはセキュリティに関する記事なので、有効なソフトウェアをインストールしていることを確認するために、少し余分な作業を行います。 考えは、ダウンロードしたOSSEC tarballのMD5およびSHA1チェックサムを生成し、それらをチェックサムファイル内のチェックサムと比較することです。 それらが一致する場合、tarballが改ざんされていないことを想定できます。
執筆時点で、OSSECの最新のサーバーエディションはバージョン2.8.1です。 ダウンロードするには、次を入力します。
wget -U ossec http://www.ossec.net/files/ossec-hids-2.8.1.tar.gz
チェックサムファイルをダウンロードするには、次のように入力します。
wget -U ossec http://www.ossec.net/files/ossec-hids-2.8.1-checksum.txt
両方のファイルが適切に配置されていることを確認するには、次を入力します。
ls -l ossec*
ファイルが表示されるはずです。
ossec-hids-2.8.1-checksum.txt
ossec-hids-2.8.1.tar.gz
次に、次のように、catコマンドを使用してチェックサムファイルを調べます。
cat ossec-hids-2.8.1-checksum.txt
期待される出力:
MD5(ossec-hids-2.8.1.tar.gz)= c2ffd25180f760e366ab16eeb82ae382
SHA1(ossec-hids-2.8.1.tar.gz)= 0ecf1df09558dc8bb4b6f65e1fb2ca7a7df9817c
上記の出力で重要な部分は、=記号の右側にある部分です。 これらは、tarballのMD5およびSHA1チェックサムです。
ここで、tarball用に生成したチェックサムがダウンロードしたチェックサムと一致することを確認します。
tarballのMD5sumを生成するには、次を入力します。
md5sum ossec-hids-2.8.1.tar.gz
期待される出力:
c2ffd25180f760e366ab16eeb82ae382 ossec-hids-2.8.1.tar.gz
生成されたMD5チェックサムをチェックサムファイルのチェックサムと比較します。 それらは一致するはずです。
次のように入力して、SHA1チェックサムについても同じことを行います。
sha1sum ossec-hids-2.8.1.tar.gz
期待される出力:
0ecf1df09558dc8bb4b6f65e1fb2ca7a7df9817c ossec-hids-2.8.1.tar.gz
両方が一致する場合は、行って構いません。 ステップ2手招き。
[[step-2 -—- install-ossec]] ==ステップ2—OSSECをインストールします
この手順では、OSSECをインストールします。
OSSECは、server、agent、local、またはhybridモードでインストールできます。 このインストールは、OSSECがインストールされているサーバーを監視するためのものです。 これは、localのインストールを意味します。
インストールを開始する前に、ファイルを展開する必要があります。 次のように入力します。
tar -zxf ossec-hids-2.8.1.tar.gz
その後、ossec-hids-2.8.1という名前のディレクトリが作成されます。 インストールを開始するには、次のように入力して、そのディレクトリに変更(cd)する必要があります。
cd ossec-hids-2.8.1
現在のディレクトリの内容を確認するには、次のように入力してlsコマンドを使用します。
ls -lgG
次のファイルとディレクトリが表示されます。
total 100
drwxrwxr-x 4 4096 Sep 8 21:03 active-response
-rw-rw-r-- 1 542 Sep 8 21:03 BUGS
-rw-rw-r-- 1 289 Sep 8 21:03 CONFIG
drwxrwxr-x 6 4096 Sep 8 21:03 contrib
-rw-rw-r-- 1 3196 Sep 8 21:03 CONTRIBUTORS
drwxrwxr-x 4 4096 Sep 8 21:03 doc
drwxrwxr-x 4 4096 Sep 8 21:03 etc
-rw-rw-r-- 1 1848 Sep 8 21:03 INSTALL
-rwxrwxr-x 1 32019 Sep 8 21:03 install.sh
-rw-rw-r-- 1 24710 Sep 8 21:03 LICENSE
-rw-rw-r-- 1 1664 Sep 8 21:03 README.md
drwxrwxr-x 30 4096 Sep 8 21:03 src
そのリストで私たちが関心を持っている唯一のファイルはinstall.shです。 これがOSSECインストールスクリプトです。 インストールを開始するには、次を入力します。
./install.sh
インストールに関するいくつかの質問に答えるよう求められます。
あなたに必要な最初のタスクは、言語の選択です。 以下の出力に示すように、デフォルトは英語です。 インストールプロセス全体を通して、選択が必要な場合、角括弧内のエントリがデフォルトです。 デフォルトが希望どおりの場合は、ENTERキーを押してデフォルトを受け入れます。 メールアドレスを入力する以外に、何をしているのかわからない限り、すべてのデフォルトを受け入れることをお勧めします。
エントリはredで表示されます。
したがって、言語が英語の場合は、ENTER
を押してください。 それ以外の場合は、言語の2文字を入力してEnterキーを押します。
(en/br/cn/de/el/es/fr/hu/it/jp/nl/pl/ru/sr/tr) [en]:
言語を選択すると、次のように表示されます。
OSSEC HIDS v2.8 Installation Script - http://www.ossec.net
You are about to start the installation process of the OSSEC HIDS.
You must have a C compiler pre-installed in your system.
If you have any questions or comments, please send an e-mail
to [email protected] (or [email protected]).
- System: Linux kuruji 3.13.0-36-generic
- User: root
- Host: kuruji
-- Press ENTER to continue or Ctrl-C to abort. --
Enterキーを押すと、次のようになります。
1- What kind of installation do you want (server, agent, local, hybrid or help)? local
local
と入力し、Enterキーを押します。 あなたが得るべきです:
- Local installation chosen.
2- Setting up the installation environment.
- Choose where to install the OSSEC HIDS [/var/ossec]:
デフォルトを受け入れてEnterキーを押します。 その後、次のものが得られます。
- Installation will be made at /var/ossec .
3- Configuring the OSSEC HIDS.
3.1- Do you want e-mail notification? (y/n) [y]:
ENTERを押します。
- What's your e-mail address? [email protected]
OSSECから通知を受信する電子メールアドレスを入力します。
- We found your SMTP server as: mail.example.com.
- Do you want to use it? (y/n) [y]:
--- Using SMTP server: mail.example.com.
使用する特定のSMTPサーバー設定がない限り、Enterキーを押します。
次に、OSSECに実行すべきチェックを通知します。 スクリプトからのプロンプトに応答して、ENTER
を押してデフォルトを受け入れます。
整合性チェックデーモンのENTER。
3.2- Do you want to run the integrity check daemon? (y/n) [y]:
- Running syscheck (integrity check daemon).
ルートキットの検出を入力します。
3.3- Do you want to run the rootkit detection engine? (y/n) [y]:
- Running rootcheck (rootkit detection).
アクティブな応答を入力します。
3.4- Active response allows you to execute a specific command based on the events received.
Do you want to enable active response? (y/n) [y]:
Active response enabled.
ファイアウォールドロップ応答のデフォルトを受け入れます。 出力にいくつかのIPv6オプションが表示される場合があります-それは問題ありません。
Do you want to enable the firewall-drop response? (y/n) [y]:
- firewall-drop enabled (local) for levels >= 6
- Default white list for the active response:
- 8.8.8.8
- 8.8.4.4
- Do you want to add more IPs to the white list? (y/n)? [n]:
ここにIPアドレスを追加できますが、必須ではありません。
OSSECは、監視するファイルのデフォルトリストを表示します。 インストール後に追加のファイルを追加できるため、Enterキーを押します。
3.6- Setting the configuration to analyze the following logs:
-- /var/log/auth.log
-- /var/log/syslog
-- /var/log/dpkg.log
- If you want to monitor any other file, just change
the ossec.conf and add a new localfile entry.
Any questions about the configuration can be answered
by visiting us online at http://www.ossec.net .
--- Press ENTER to continue ---
この時点までに、インストーラーはOSSECのインストールに必要なすべての情報を取得しています。 キックバックして、インストーラーに任せてください。 インストールには約5分かかります。 インストールが成功したら、OSSECを起動して構成する準備ができました。
Note:インストールが失敗する理由の1つは、コンパイラがインストールされていない場合です。 その場合、次のようなエラーが表示されます。
5- Installing the system - Running the Makefile ./install.sh: 85: ./install.sh: make: not found Error 0x5. Building error. Unable to finish the installation.
そのエラーが発生した場合は、チュートリアルの「前提条件」セクションで説明されているように、
build-essential
をインストールする必要があります。
インストールが成功すると、次のタイプの出力が表示されます。
- System is Debian (Ubuntu or derivative).
- Init script modified to start OSSEC HIDS during boot.
- Configuration finished properly.
- To start OSSEC HIDS:
/var/ossec/bin/ossec-control start
- To stop OSSEC HIDS:
/var/ossec/bin/ossec-control stop
- The configuration can be viewed or modified at /var/ossec/etc/ossec.conf
--- Press ENTER to finish (maybe more information below). ---
OSSECがインストールされました。 次のステップはそれを開始することです。
[[step-3 -—- start-ossec]] ==ステップ3—OSSECを開始します
デフォルトでは、OSSECは起動時に起動するように設定されていますが、最初は手動で起動する必要があります。
現在のステータスを確認する場合は、次のように入力します。
/var/ossec/bin/ossec-control status
期待される出力:
ossec-monitord not running...
ossec-logcollector not running...
ossec-syscheckd not running...
ossec-analysisd not running...
ossec-maild not running...
ossec-execd not running...
OSSECのプロセスはどれも実行されていないことがわかります。
OSSECを起動するには、次を入力します。
/var/ossec/bin/ossec-control start
起動するのが見えるはずです:
Starting OSSEC HIDS v2.8 (by Trend Micro Inc.)...
Started ossec-maild...
Started ossec-execd...
Started ossec-analysisd...
Started ossec-logcollector...
Started ossec-syscheckd...
Started ossec-monitord...
Completed.
ステータスを再度確認すると、OSSECが実行されていることを確認する必要があります。
/var/ossec/bin/ossec-control status
この出力は、OSSECが実行されていることを示しています。
ossec-monitord is running...
ossec-logcollector is running...
ossec-syscheckd is running...
ossec-analysisd is running...
ossec-maild is running...
ossec-execd is running...
OSSECの起動直後に、次のようなメールが届きます。
OSSEC HIDS Notification.
2014 Nov 30 11:15:38
Received From: ossec2->ossec-monitord
Rule: 502 fired (level 3) -> "Ossec server started."
Portion of the log(s):
ossec: Ossec started.
これは、OSSECが機能していることのもう1つの確認であり、監視するように設定されている場合は必ずメールアラートを送信します。 再起動しても、OSSECからメールが送信されます。
このメールをすぐに受け取らなかったとしても、心配しないでください。 OSSECサーバーのメールがメールプロバイダーに確実に届くように、メール設定を微調整する必要があります(チュートリアルの後半で説明します)。 これは、GoogleやFastmailなどの一部のサードパーティのメールサービスプロバイダーに特に当てはまります。
[[step-4 -—- configure-ossec-for-real-time-alerts-on-file-modifications]] ==ステップ4—ファイル変更に関するリアルタイムアラート用にOSSECを構成します
次に、OSSECのファイルとディレクトリを理解し、OSSECの監視と警告の設定を変更する方法を学びましょう。
このチュートリアルでは、指定したディレクトリにファイルが変更、削除、または追加されるたびに通知するようにOSSECを変更します。
OSSECのディレクトリ構造を知る
OSSECのデフォルトディレクトリは、root(管理者)権限を持つユーザーのみがアクセスできるchroot-ed(サンドボックス)環境です。 標準ユーザーは、cd
を/var/ossec
に変換したり、その中のファイルを一覧表示したりすることはできません。 ただし、ルート(または管理者)ユーザーとしては可能です。
したがって、次のように入力して、cd
をインストールディレクトリに追加します。
cd /var/ossec
新しい作業ディレクトリ内のファイルを一覧表示するには、次のように入力します。
ls -lgG
次のファイルとディレクトリが表示されます。
total 40
dr-xr-x--- 3 4096 Nov 26 14:56 active-response
dr-xr-x--- 2 4096 Nov 20 20:56 agentless
dr-xr-x--- 2 4096 Nov 20 20:56 bin
dr-xr-x--- 3 4096 Nov 29 00:49 etc
drwxr-x--- 5 4096 Nov 20 20:56 logs
dr-xr-x--- 11 4096 Nov 20 20:56 queue
dr-xr-x--- 4 4096 Nov 20 20:56 rules
drwxr-x--- 5 4096 Nov 20 21:00 stats
dr-xr-x--- 2 4096 Nov 20 20:56 tmp
dr-xr-x--- 3 4096 Nov 29 18:34 var
-
OSSECのメイン構成ファイルは
/var/ossec/etc
ディレクトリにあります。 -
事前定義されたルールは
/var/ossec/rules
ディレクトリにあります -
OSSECの管理に使用されるコマンドは
/var/ossec/bin
です。 -
/var/ossec/logs
ディレクトリに注意してください。 OSSECがエラーをスローした場合、そのディレクトリ内の/var/ossec/logs/ossec.log
ファイルが最初に確認されます
メイン構成ファイル、/ var / ossec / etc / ossec.conf
メイン設定ファイルにアクセスするには、/var/ossec/etc
に変更する必要があります。 これを行うには、次のように入力します。
cd /var/ossec/etc
そのディレクトリでls
を実行すると、次のファイルとディレクトリが表示されます。
ls -lgG
結果:
total 120
-r--r----- 1 97786 Sep 8 22:03 decoder.xml
-r--r----- 1 2842 Sep 8 22:03 internal_options.conf
-r--r----- 1 3519 Oct 30 13:46 localtime
-r--r----- 1 7752 Nov 29 09:45 ossec.conf
-rw-r----- 1 87 Nov 20 20:56 ossec-init.conf
drwxrwx--- 2 4096 Nov 20 21:00 shared
主な構成ファイルは/var/ossec/etc/ossec.conf
です。
ファイルを変更する前に、念のためバックアップコピーを作成してください。 そのコピーを作成するには、次のようにcp
コマンドを使用します。
cp /var/ossec/etc/ossec.conf /var/ossec/etc/ossec.conf.00
変更が機能しない場合やシステムを台無しにした場合は、コピーに戻って通常の状態に戻すことができます。 常に活用すべき最も簡単な災害復旧の実践です。
ここで、nano
エディターを使用してossec.conf
を開きます。
nano /var/ossec/etc/ossec.conf
構成ファイルは、いくつかのセクションを持つ非常に長いXMLファイルです。
メール設定
Note:電子メールは、特にGmailアドレスへの送信など、より厳格なメールプロバイダーに送信する場合は、一般的に厄介です。 スパムを確認し、必要に応じて設定を調整します。
最初に表示される設定オプションは、インストール中に指定したメール認証情報です。 別の電子メールアドレスやSMTPサーバーを指定する必要がある場合は、これがその場所です。
yes
[email protected]
mail.example.com.
ossecm@ossec_server
デフォルトでは、OSSECは1時間あたり12通のメールを送信するため、メールアラートが殺到することはありません。 そのセクションに<email_maxperhour>N</email_maxperhour>
設定を追加して、次のようにすることで、その値を増減できます。
yes
[email protected]
mail.example.com.
ossecm@ossec_server
N
N
を、1時間あたりに受信する電子メールの数(1から9999の間)に置き換えてください。
一部のサードパーティの電子メールサービスプロバイダー(GoogleやFastmailなど)は、上記のコードブロックのように、<email_from>
アドレスに有効なドメイン部分が含まれていない場合、OSSECによって送信されたアラートをサイレントにドロップします。 これを回避するには、そのメールアドレスに有効なドメイン部分が含まれていることを確認してください。 例えば:
yes
[email protected]
mail.example.com.
sammy@ossec_server.com
<email_to>
アドレスと<email_from>
アドレスは同じにすることができます。 例えば:
yes
[email protected]
mail.example.com.
[email protected]
外部のメールプロバイダーのSMTPサーバーを使用したくない場合は、独自のSMTPサーバーを設定できます(指定されている場合)。 (これはこのチュートリアルではカバーされていませんが、these instructionsの後にPostfixをインストールできます。)SMTPサーバーがOSSECと同じドロップレットで実行されている場合は、<smtp_server>
設定をlocalhost
に変更します。 例えば:
yes
[email protected]
localhost
[email protected]
OSSECはデフォルトではリアルタイムのアラートを送信しませんが、このチュートリアルではリアルタイムの通知を必要とするため、これを変更する側面の1つです。
それでもOSSECから予期したメールが届かない場合は、/var/ossec/logs/ossec.log
のログでメールエラーを確認してください。
メールエラーの例:
2014/12/18 17:48:35 os_sendmail(1767): WARN: End of DATA not accepted by server
2014/12/18 17:48:35 ossec-maild(1223): ERROR: Error Sending email to 74.125.131.26 (smtp server)
これらのエラーメッセージを使用して、電子メール通知の受信に関する問題をデバッグできます。
スキャンの頻度
ossec.conf
の<syscheck>
セクションでは、次のように始まります。
79200
新しいファイル作成のアラートをオンにします。 次のようになるように行<alert_new_files>yes</alert_new_files>
を追加します。
79200
yes
テストのために、システムチェックの頻度をはるかに低く設定することもできます。 デフォルトでは、システムチェックは22時間ごとに実行されます。 テストの目的で、これを1分に1回、つまり60
秒に設定することをお勧めします。 Revert this to a sane value when you are done testing.
60
yes
ディレクトリとファイルの変更設定
その直後に、OSSECが監視するシステムディレクトリのリストが表示されます。 次のようになります。
/etc,/usr/bin,/usr/sbin
/bin,/sbin
各行に設定report_changes="yes" realtime="yes"
を追加して、リアルタイム監視を有効にしましょう。 これらの行を修正して、次のようにします。
/etc,/usr/bin,/usr/sbin
/bin,/sbin
report_changes="yes"
は、言われていることを正確に実行します。 realtime="yes"
についても同様です。
OSSECが監視するように設定されているディレクトリのデフォルトリストに加えて、監視する新しいディレクトリを追加できます。 この次のセクションでは、/home/sammy
と/var/www
を監視するようにOSSECに指示します。 そのために、既存の行のすぐ下に新しい行を追加して、そのセクションが次のようになるようにします。
/etc,/usr/bin,/usr/sbin
/bin,/sbin
/home/sammy,/var/www
目的の設定に一致するようにディレクトリを変更する必要があります。 ユーザーの名前がsammyでない場合は、ホームディレクトリへのパスを変更する必要があります。
監視する新しいディレクトリ用に、restrict
オプションを追加しました。これは、指定されたファイル形式のみを監視するようにOSSECに指示します。 このオプションを使用する必要はありませんが、画像ファイルなど、OSSECに警告させたくない他のファイルがある場合に便利です。
ossec.conf
の変更は以上です。 ファイルを保存して閉じることができます。
/var/ossec/rules/local_rules.xmlのローカルルール
次に変更するファイルは/var/ossec/rules
ディレクトリにあるため、次のように入力してcd
をそのファイルに追加します。
cd /var/ossec/rules
そのディレクトリでls
を実行すると、次のようなXMLファイルが多数表示されます。
ls -lgG
短縮出力:
total 376
-r-xr-x--- 1 5882 Sep 8 22:03 apache_rules.xml
-r-xr-x--- 1 2567 Sep 8 22:03 arpwatch_rules.xml
-r-xr-x--- 1 3726 Sep 8 22:03 asterisk_rules.xml
-r-xr-x--- 1 4315 Sep 8 22:03 attack_rules.xml
...
-r-xr-x--- 1 1772 Nov 30 17:33 local_rules.xml
...
-r-xr-x--- 1 10359 Sep 8 22:03 ossec_rules.xml
...
これらのファイルのうち、現在私たちが関心を持っているのは、local_rules.xml
とossec_rules.xml
の2つだけです。 後者にはOSSECのデフォルトのルール定義が含まれていますが、前者にはカスタムルールを追加します。 つまり、local_rules.xml
を除いて、このディレクトリ内のファイルは変更しません。
ossec_rules.xml
のデフォルトのルール定義は、ローカルルールに変更してコピーできるように、確認するのに役立ちます。 ossec_rules.xml
では、ファイルが監視対象ディレクトリに対してaddedである場合に実行されるルールは、ルール554です。 デフォルトでは、OSSECはそのルールがトリガーされたときにアラートを送信しないため、ここでのタスクはその動作を変更することです。 デフォルトバージョンでルール554は次のようになります。
ossec
syscheck_new_entry
File added to the system.
syscheck,
ルールのlevel
が0に設定されている場合、OSSECはアラートを送信しません。 このルールを変更して、アラートレベルを上げたいと思います。 デフォルトファイルで変更する代わりに、ルールをlocal_rules.xml
にコピーし、アラートをトリガーできるように変更します。
これを行うには、/var/ossec/rules/local_rules.xml
ファイルのバックアップコピーを作成します。
cp /var/ossec/rules/local_rules.xml /var/ossec/rules/local_rules.xml.00
nanoでファイルを編集します。
nano /var/ossec/rules/local_rules.xml
ファイルの最後に新しいルールを追加します。 <group> ... </group>
タグ内にあることを確認してください。
ossec
syscheck_new_entry
File added to the system.
syscheck,
ファイルを保存して閉じます。
これらはすべて必要な変更です。
OSSECを再起動します
今残っているのはOSSECを再起動することだけです。これは、OSSECのファイルを変更するたびに行わなければならないことです。 OSSECを再起動するには、次を入力します。
/var/ossec/bin/ossec-control restart
すべてが正常に動作している場合、OSSECから(再)起動したことを通知するメールを受信する必要があります。
[[step-5 -—- trigger-file-change-alerts]] ==ステップ5—ファイル変更アラートをトリガーする
また、OSSECが監視するように設定されているディレクトリで何が起こるかに応じて、次のようなメールを受信するはずです。
次に、/home/sammy
でサンプルファイルを作成してみます
touch /home/sammy/index.html
ちょっと待って。 コンテンツを追加します。
nano /home/sammy/index.html
ちょっと待って。 ファイルを削除します。
rm /home/sammy/index.html
次のような通知の受信を開始する必要があります。
OSSEC HIDS Notification.
2014 Nov 30 18:03:51
Received From: ossec2->syscheck
Rule: 550 fired (level 7) -> "Integrity checksum changed."
Portion of the log(s):
Integrity checksum changed for: '/home/sammy/index.html'
Size changed from '21' to '46'
What changed:
1c1,4
< This is an html file
---
This is an html file
Old md5sum was: '4473d6ada73de51b5b36748627fa119b'
New md5sum is : 'ef36c42cd7014de95680d656dec62de9'
Old sha1sum was: '96bd9d685a7d23b20abd7d8231bb215521bcdb6c'
New sha1sum is : '5ab0f31c32077a23c71c18018a374375edcd0b90'
またはこれ:
OSSEC HIDS Notification.
2014 Dec 01 10:13:31
Received From: ossec2->syscheck
Rule: 554 fired (level 7) -> "File added to the system."
Portion of the log(s):
New file '/var/www/header.html' added to the file system.
Note: OSSECは、ファイルの追加と削除についてのみ、リアルタイムのアラートを送信しません。 ファイルの追加に関するアラートは、完全なシステムチェックの後に送信されます。これは、
ossec.conf
の頻度チェック時間によって管理されます。nano /var/ossec/etc/ossec.conf
frequency
の設定:
79200
繰り返しになりますが、メールが届かない場合は、スパムを確認し、/var/ossec/logs/ossec.log
を確認し、メールログを確認してください。
結論
これにより、OSSECが提供するものの味がお分かりいただけたと思います。 より高度なセットアップと構成が可能です。OSSECを展開してサーバーを監視および保護する方法に関する今後の記事をお楽しみに。
OSSECの詳細については、プロジェクトのWebサイト(http://www.ossec.net/)にアクセスしてください。