Ubuntu 14.04でOSSECセキュリティ通知をインストールおよび構成する方法

前書き

サーバーでの承認されたアクティビティと未承認のアクティビティをどのように追跡しますか?

OSSECは、サーバーにインストールしてそのアクティビティを追跡できるツールの1つです。

OSSECは、ログ分析、整合性チェック、Windowsレジストリの監視、ルートキットの検出、時間ベースのアラート、アクティブな応答を実行する、オープンソースのホストベースの侵入検知システム(HIDS)です。 サーバー/エージェントモードで1台または数千台のサーバーを監視するために使用できます。

適切に構成されていれば、OSSECはサーバーで何が起こっているかをリアルタイムで表示できます。

このチュートリアルでは、Ubuntu 14.04 LTSを実行している1つのDigitalOceanサーバーを監視するようにOSSECをインストールおよび構成する方法を示します。 ファイルがサーバーに変更、削除、または追加された場合、OSSECがリアルタイムでメールで通知するようにOSSECを構成します。 これは、OSSECが提供する他の整合性チェック機能に追加されます。

OSSECはファイルの変更を通知する以上のことを実行できますが、1つの記事ではすべての機能を活用する方法を示すのに十分ではありません。

  • OSSECの利点は何ですか?

インストールと設定の部分に進む前に、OSSECを使用することで得られる具体的なメリットをいくつか見てみましょう。

以下は、OSSECからの電子メール通知の例で、ファイルが変更されたことを示しています。

OSSEC HIDS Notification.
2014 Nov 29 09:45:15

Received From: kuruji->syscheck
Rule: 552 fired (level 7) -> "Integrity checksum changed again (3rd time)."
Portion of the log(s):

Integrity checksum changed for: '/var/ossec/etc/ossec.conf'
Size changed from '7521' to '7752'

そのようなアラートを受信し、そのファイルが変更されることを期待していなかった場合、サーバーで不正なことが発生したことがわかります。

次に、ファイルが削除されたことを示す、OSSECからの別のメールアラートの例を示します。

OSSEC HIDS Notification.
2014 Nov 29 10:56:14

Received From: kuruji->syscheck
Rule: 553 fired (level 7) -> "File deleted. Unable to retrieve checksum."
Portion of the log(s):

File  was deleted. Unable to retrieve checksum.

繰り返しますが、問題のファイルを削除しなかった場合は、サーバーで何が起こっているかを把握する必要があります。

さて、OSSECをインストールするのに十分なほど上記のことを気にかけているなら、最初にやらなければならないことがいくつかあります。

前提条件

もちろん、監視するサーバーが必要です。 このチュートリアルでは、既にお持ちであること、および使用するために既にセットアップされていることを前提としています。 今日設定したサーバーでも、数か月使用していたサーバーでもかまいません。 最も重要なことは、あなたがそれにアクセスし、SSH経由でログインできることです。 OSSECのセットアップは、サーバーにSSHで接続する方法がまだわからない場合に実行したいことではありません。

  • Ubuntu 14.04サーバー

  • サーバー上でhttps://www.digitalocean.com/community/tutorials/how-to-add-and-delete-users-on-an-ubuntu-14-04-vps[sudo]ユーザーを作成する必要があります。 この例では、ユーザーの名前は* sammy です。 ただし、このチュートリアルは root *ユーザーとしてより簡単に完了できます。

sudo su
  • オプション:ローカルSMTPサーバーからメールを送信する場合は、https://www.digitalocean.com/community/tutorials/how-to-install-and-setup-postfix-on-ubuntu-14-04をインストールする必要があります[Postfix]簡単なメール送信用

  • OSSECのインストールにはコンパイルが必要なので、 `+ gcc `と ` make `をインストールする必要があります。 ` build-essential +`という単一のパッケージをインストールすることで両方をインストールできます

  • また、リアルタイムアラートが機能するために必要な `+ inotify-tools +`というパッケージをインストールする必要があります

必要なすべてのパッケージをインストールするには、まずサーバーを更新します。

apt-get update

パッケージをインストールします。

apt-get install build-essential inotify-tools

準備が整いましたので、楽しみましょう。

ステップ1-OSSECのダウンロードと検証

この手順では、OSSEC tarballとその暗号化チェックサムを含むファイルをダウンロードします。

これはセキュリティに関する記事なので、有効なソフトウェアをインストールしていることを確認するために、少し余分な作業を行います。 考えは、ダウンロードしたOSSEC tarballのMD5およびSHA1チェックサムを生成し、それらをチェックサムファイル内のチェックサムと比較することです。 それらが一致する場合、tarballが改ざんされていないことを想定できます。

執筆時点で、OSSECの最新のサーバーエディションはバージョン2.8.1です。 ダウンロードするには、次を入力します。

wget -U ossec http://www.ossec.net/files/ossec-hids-2.8.1.tar.gz

チェックサムファイルをダウンロードするには、次のように入力します。

wget -U ossec http://www.ossec.net/files/ossec-hids-2.8.1-checksum.txt

両方のファイルが適切に配置されていることを確認するには、次を入力します。

ls -l ossec*

ファイルが表示されるはずです。

ossec-hids-2.8.1-checksum.txt
ossec-hids-2.8.1.tar.gz

次のように、コマンドでチェックサムファイルを調べてみましょう。

cat ossec-hids-2.8.1-checksum.txt

期待される出力:

MD5(ossec-hids-2.8.1.tar.gz)= c2ffd25180f760e366ab16eeb82ae382
SHA1(ossec-hids-2.8.1.tar.gz)= 0ecf1df09558dc8bb4b6f65e1fb2ca7a7df9817c

上記の出力では、重要な部分は* = *記号の右側にあります。 これらは、tarballのMD5およびSHA1チェックサムです。

次に、tarball用に生成したチェックサムがダウンロードしたチェックサムと一致することを確認します。

tarballのMD5sumを生成するには、次を入力します。

md5sum ossec-hids-2.8.1.tar.gz

期待される出力:

c2ffd25180f760e366ab16eeb82ae382  ossec-hids-2.8.1.tar.gz

生成されたMD5チェックサムをチェックサムファイルのチェックサムと比較します。 それらは一致するはずです。

次のように入力して、SHA1チェックサムについても同じことを行います。

sha1sum  ossec-hids-2.8.1.tar.gz

期待される出力:

0ecf1df09558dc8bb4b6f65e1fb2ca7a7df9817c  ossec-hids-2.8.1.tar.gz

両方が一致する場合は、行って構いません。 ステップ2手招き。

ステップ2-OSSECのインストール

この手順では、OSSECをインストールします。

OSSECは、* server agent local 、または hybrid *モードでインストールできます。 このインストールは、OSSECがインストールされているサーバーを監視するためのものです。 これは、*ローカル*インストールを意味します。

インストールを開始する前に、ファイルを展開する必要があります。 次のように入力します。

tar -zxf ossec-hids-2.8.1.tar.gz

その後、という名前のディレクトリが必要です。 インストールを開始するには、次のように入力して、そのディレクトリに変更(cd)する必要があります。

cd ossec-hids-2.8.1

現在いるディレクトリの内容を表示するには、次のように入力してコマンドを使用します。

ls -lgG

次のファイルとディレクトリが表示されます。

total 100
drwxrwxr-x  4  4096 Sep  8 21:03 active-response
-rw-rw-r--  1   542 Sep  8 21:03 BUGS
-rw-rw-r--  1   289 Sep  8 21:03 CONFIG
drwxrwxr-x  6  4096 Sep  8 21:03 contrib
-rw-rw-r--  1  3196 Sep  8 21:03 CONTRIBUTORS
drwxrwxr-x  4  4096 Sep  8 21:03 doc
drwxrwxr-x  4  4096 Sep  8 21:03 etc
-rw-rw-r--  1  1848 Sep  8 21:03 INSTALL
-rwxrwxr-x  1 32019 Sep  8 21:03 install.sh
-rw-rw-r--  1 24710 Sep  8 21:03 LICENSE
-rw-rw-r--  1  1664 Sep  8 21:03 README.md
drwxrwxr-x 30  4096 Sep  8 21:03 src

そのリストで私たちが興味を持つ唯一のファイルはです。 これがOSSECインストールスクリプトです。 インストールを開始するには、次を入力します。

./install.sh

インストールに関するいくつかの質問に答えるよう求められます。

あなたに必要な最初のタスクは、言語の選択です。 以下の出力に示すように、デフォルトは英語です。 インストールプロセス全体を通して、選択が必要な場合、角括弧内のエントリがデフォルトです。 デフォルトが希望どおりの場合は、ENTERキーを押してデフォルトを受け入れます。 メールアドレスを入力する以外に、何をしているのかわからない限り、デフォルトをすべて受け入れることをお勧めします。

エントリはに表示されます。

したがって、言語が英語の場合、「+ ENTER」を押します。 それ以外の場合は、言語の2文字を入力してEnterキーを押します。

 (en/br/cn/de/el/es/fr/hu/it/jp/nl/pl/ru/sr/tr) [en]:

言語を選択すると、次のように表示されます。

OSSEC HIDS v2.8 Installation Script - http://www.ossec.net

You are about to start the installation process of the OSSEC HIDS.
You must have a C compiler pre-installed in your system.
If you have any questions or comments, please send an e-mail
to [email protected] (or [email protected]).

 - System: Linux kuruji 3.13.0-36-generic
 - User: root
 - Host: kuruji

 -- Press ENTER to continue or Ctrl-C to abort. --

Enterキーを押すと、次のようになります。

1- What kind of installation do you want (server, agent, local, hybrid or help)?

「++」と入力してEnterキーを押します。 あなたが得るべきです:

 - Local installation chosen.

2- Setting up the installation environment.

 - Choose where to install the OSSEC HIDS [/var/ossec]:

デフォルトを受け入れてEnterキーを押します。 その後、次のものが得られます。

   - Installation will be made at  /var/ossec .

3- Configuring the OSSEC HIDS.

 3.1- Do you want e-mail notification? (y/n) [y]:

ENTERを押します。

 - What's your e-mail address?

OSSECから通知を受信するメールアドレスを入力します。

 - We found your SMTP server as: mail.example.com.
 - Do you want to use it? (y/n) [y]:

--- Using SMTP server:  mail.example.com.

使用する特定のSMTPサーバー設定がない限り、Enterキーを押します。

次に、OSSECに実行すべきチェックを通知します。 スクリプトからのプロンプトに応答して、 `+ ENTER`を押してデフォルトを受け入れます。

整合性チェックデーモンのENTER。

 3.2- Do you want to run the integrity check daemon? (y/n) [y]:

- Running syscheck (integrity check daemon).

ルートキットの検出を入力します。

 3.3- Do you want to run the rootkit detection engine? (y/n) [y]:

- Running rootcheck (rootkit detection).

アクティブな応答を入力します。

 3.4- Active response allows you to execute a specific command based on the events received.

  Do you want to enable active response? (y/n) [y]:

  Active response enabled.

ファイアウォールドロップ応答のデフォルトを受け入れます。 出力には、いくつかのIPv6オプションが表示される場合があります-それは問題ありません。

 Do you want to enable the firewall-drop response? (y/n) [y]:

- firewall-drop enabled (local) for levels >= 6

  - Default white list for the active response:
     - 8.8.8.8
     - 8.8.4.4

  - Do you want to add more IPs to the white list? (y/n)? [n]:

ここにIPアドレスを追加できますが、必須ではありません。

OSSECは、監視するファイルのデフォルトリストを表示します。 インストール後に追加のファイルを追加できるため、Enterキーを押します。

3.6- Setting the configuration to analyze the following logs:
   -- /var/log/auth.log
   -- /var/log/syslog
   -- /var/log/dpkg.log

- If you want to monitor any other file, just change
  the ossec.conf and add a new localfile entry.
  Any questions about the configuration can be answered
  by visiting us online at http://www.ossec.net .


  --- Press ENTER to continue ---

この時点で、インストーラーはOSSECをインストールするために必要なすべての情報を持っています。 キックバックして、インストーラーに任せてください。 インストールには約5分かかります。 インストールが成功したら、OSSECを起動して構成する準備ができました。

_ _ *注意:*コンパイラーがインストールされていない場合、インストールが失敗する可能性があります。 その場合、次のようなエラーが表示されます。

5- Installing the system
- Running the Makefile
./install.sh: 85: ./install.sh: make: not found

Error 0x5.
Building error. Unable to finish the installation.

このエラーが発生した場合、チュートリアルの前提条件セクションで説明されているように、 `+ build-essential +`をインストールする必要があります。 _ _

インストールが成功すると、次のタイプの出力が表示されます。

- System is Debian (Ubuntu or derivative).
- Init script modified to start OSSEC HIDS during boot.

- Configuration finished properly.

- To start OSSEC HIDS:
               /var/ossec/bin/ossec-control start

- To stop OSSEC HIDS:
               /var/ossec/bin/ossec-control stop

- The configuration can be viewed or modified at /var/ossec/etc/ossec.conf

   ---  Press ENTER to finish (maybe more information below). ---

OSSECがインストールされました。 次のステップはそれを開始することです。

ステップ3-OSSECの開始

デフォルトでは、OSSECは起動時に起動するように設定されていますが、最初は手動で起動する必要があります。

現在のステータスを確認する場合は、次のように入力します。

/var/ossec/bin/ossec-control status

期待される出力:

ossec-monitord not running...
ossec-logcollector not running...
ossec-syscheckd not running...
ossec-analysisd not running...
ossec-maild not running...
ossec-execd not running...

OSSECのプロセスはどれも実行されていないことがわかります。

OSSECを起動するには、次を入力します。

/var/ossec/bin/ossec-control start

起動するのが見えるはずです:

Starting OSSEC HIDS v2.8 (by Trend Micro Inc.)...
Started ossec-maild...
Started ossec-execd...
Started ossec-analysisd...
Started ossec-logcollector...
Started ossec-syscheckd...
Started ossec-monitord...
Completed.

ステータスを再度確認すると、OSSECが実行されていることを確認する必要があります。

/var/ossec/bin/ossec-control status

この出力は、OSSECが実行されていることを示しています。

ossec-monitord is running...
ossec-logcollector is running...
ossec-syscheckd is running...
ossec-analysisd is running...
ossec-maild is running...
ossec-execd is running...

OSSECを起動した直後に、次のようなメールが届きます。

OSSEC HIDS Notification.
2014 Nov 30 11:15:38

Received From: ossec2->ossec-monitord
Rule: 502 fired (level 3) -> "Ossec server started."
Portion of the log(s):

ossec: Ossec started.

これは、OSSECが機能していることのもう1つの確認であり、監視するように設定されている場合は必ずメールアラートを送信します。 再起動しても、OSSECからメールが送信されます。

このメールをすぐに受け取らなかったとしても、心配しないでください。 OSSECサーバーのメールがメールプロバイダーに確実に届くように、メール設定を微調整する必要があります(チュートリアルの後半で説明します)。 これは、GoogleやFastmailなどの一部のサードパーティのメールサービスプロバイダーに特に当てはまります。

手順4-ファイル変更に関するリアルタイムアラート用のOSSECの構成

次に、OSSECのファイルとディレクトリを理解し、OSSECの監視と警告の設定を変更する方法を学びましょう。

このチュートリアルでは、指定したディレクトリにファイルが変更、削除、または追加されるたびに通知するようにOSSECを変更します。

OSSECのディレクトリ構造を知る

OSSECのデフォルトディレクトリは_chroot_-ed(サンドボックス)環境であり、ルート(管理)権限を持つユーザーのみがアクセスできます。 標準ユーザーは、「+ cd 」を「 / var / ossec +」に追加したり、その中のファイルを一覧表示することさえできません。 ただし、ルート(または管理者)ユーザーとしては可能です。

したがって、次のように入力して、インストールディレクトリに「+ cd +」を追加します。

cd /var/ossec

新しい作業ディレクトリ内のファイルをリストするには、次のように入力します。

ls -lgG

次のファイルとディレクトリが表示されます。

total 40
dr-xr-x---  3 4096 Nov 26 14:56 active-response
dr-xr-x---  2 4096 Nov 20 20:56 agentless
dr-xr-x---  2 4096 Nov 20 20:56 bin
dr-xr-x---  3 4096 Nov 29 00:49 etc
drwxr-x---  5 4096 Nov 20 20:56 logs
dr-xr-x--- 11 4096 Nov 20 20:56 queue
dr-xr-x---  4 4096 Nov 20 20:56 rules
drwxr-x---  5 4096 Nov 20 21:00 stats
dr-xr-x---  2 4096 Nov 20 20:56 tmp
dr-xr-x---  3 4096 Nov 29 18:34 var
  • OSSECのメイン設定ファイルは、 `+ / var / ossec / etc +`ディレクトリにあります。

  • 事前定義されたルールは `+ / var / ossec / rules +`ディレクトリにあります

  • OSSECの管理に使用されるコマンドは、「+ / var / ossec / bin +」にあります

  • `+ / var / ossec / logs `ディレクトリに注意してください。 OSSECがエラーをスローした場合、そのディレクトリ内の ` / var / ossec / logs / ossec.log +`ファイルが最初に見る場所です

メイン構成ファイル、/ var / ossec / etc / ossec.conf

メインの設定ファイルにアクセスするには、 `+ / var / ossec / etc +`に変更する必要があります。 これを行うには、次のように入力します。

cd /var/ossec/etc

そのディレクトリで `+ ls +`を実行すると、次のファイルとディレクトリが表示されます。

ls -lgG

結果:

total 120
-r--r----- 1 97786 Sep  8 22:03 decoder.xml
-r--r----- 1  2842 Sep  8 22:03 internal_options.conf
-r--r----- 1  3519 Oct 30 13:46 localtime
-r--r----- 1  7752 Nov 29 09:45 ossec.conf
-rw-r----- 1    87 Nov 20 20:56 ossec-init.conf
drwxrwx--- 2  4096 Nov 20 21:00 shared

メインの設定ファイルは `+ / var / ossec / etc / ossec.conf +`です。

ファイルを変更する前に、念のためバックアップコピーを作成してください。 そのコピーを作成するには、次のような `+ cp +`コマンドを使用します。

cp /var/ossec/etc/ossec.conf /var/ossec/etc/ossec.conf.00

変更が機能しない場合やシステムを台無しにした場合は、コピーに戻って通常の状態に戻すことができます。 常に活用すべき最も簡単な災害復旧の実践です。

ここで、 `+ nano `エディターを使用して ` ossec.conf +`を開きます。

nano /var/ossec/etc/ossec.conf

構成ファイルは、いくつかのセクションを持つ非常に長いXMLファイルです。

メール設定

_ *注:*特にGmailアドレスへの送信など、より厳格なメールプロバイダーに送信する場合は、電子メールは細心の注意を払って送信されます。 スパムを確認し、必要に応じて設定を調整します。 _

最初に表示される設定オプションは、インストール中に指定したメール認証情報です。 別の電子メールアドレスやSMTPサーバーを指定する必要がある場合は、これがその場所です。

<global>
   <email_notification>yes</email_notification>
   <email_to>[email protected]</email_to>
   <smtp_server>mail.example.com.</smtp_server>
   <email_from>[email protected]_server</email_from>
</global>

デフォルトでは、OSSECは1時間あたり12通のメールを送信するため、メールアラートが殺到することはありません。 その値に「+ <email_maxperhour> </ email_maxperhour> +」設定を追加して、その値を増減させることができます。

<global>
   <email_notification>yes</email_notification>
   <email_to>[email protected]</email_to>
   <smtp_server>mail.example.com.</smtp_server>
   <email_from>[email protected]_server</email_from>

</global>

`++`を、1時間あたりに受信するメールの数(* 1 9999 *)に置き換えてください。

`+ <email_from> +`アドレスに上記のコードブロックのような有効なドメイン部分が含まれていない場合、一部のサードパーティのメールサービスプロバイダー(たとえば、GoogleやFastmail)はOSSECによって送信されたアラートをサイレントドロップします。 これを回避するには、そのメールアドレスに有効なドメイン部分が含まれていることを確認してください。 例えば:

<global>
   <email_notification>yes</email_notification>
   <email_to>[email protected]</email_to>
   <smtp_server>mail.example.com.</smtp_server>
   <email_from></email_from>
</global>

`+ <email_to> `と ` <email_from> +`のアドレスは同じにすることができます。 例えば:

<global>
   <email_notification>yes</email_notification>
   <email_to></email_to>
   <smtp_server>mail.example.com.</smtp_server>
   <email_from></email_from>
</global>

外部のメールプロバイダーのSMTPサーバーを使用したくない場合は、独自のSMTPサーバーを設定できます(指定されている場合)。 (これはこのチュートリアルではカバーされていませんが、https://www.digitalocean.com/community/tutorials/how-to-install-and-setup-postfix-on-ubuntu-14-04 [これらは手順]。)SMTPサーバーがOSSECと同じドロップレットで実行されている場合は、 `+ <smtp_server> `設定を `+`に変更します。 例えば:

<global>
   <email_notification>yes</email_notification>
   <email_to>[email protected]</email_to>
   <smtp_server></smtp_server>
   <email_from>[email protected]</email_from>
</global>

OSSECはデフォルトではリアルタイムのアラートを送信しませんが、このチュートリアルではリアルタイムの通知を必要とするため、これを変更する側面の1つです。

それでもOSSECから期待される電子メールを受信しない場合は、メールエラーについて「+ / var / ossec / logs / ossec.log +」のログを確認してください。

メールエラーの例:

2014/12/18 17:48:35 os_sendmail(1767): WARN: End of DATA not accepted by server
2014/12/18 17:48:35 ossec-maild(1223): ERROR: Error Sending email to 74.125.131.26 (smtp server)

これらのエラーメッセージを使用して、電子メール通知の受信に関する問題をデバッグできます。

スキャンの頻度

`+ ossec.conf `の ` <syscheck> +`セクションでは、次のように始まります。

<syscheck>
   <!-- Frequency that syscheck is executed - default to every 22 hours -->
   <frequency>79200</frequency>

新しいファイル作成のアラートをオンにします。 次のように `+ <alert_new_files> yes </ alert_new_files> +`の行を追加してください:

<syscheck>
   <!-- Frequency that syscheck is executed - default to every 22 hours -->
   <frequency>79200</frequency>

テストのために、システムチェックの頻度をはるかに低く設定することもできます。 デフォルトでは、システムチェックは22時間ごとに実行されます。 テストのために、これを1分に1回、つまり「60」秒に設定することができます。 テストが完了したら、これを正しい値に戻します。

<syscheck>
   <!-- Frequency that syscheck is executed - default to every 22 hours -->
   <frequency></frequency>

   <alert_new_files>yes</alert_new_files>

ディレクトリとファイルの変更設定

その直後に、OSSECが監視するシステムディレクトリのリストが表示されます。 次のようになります。

<!-- Directories to check  (perform all possible verifications) -->
<directories check_all="yes">/etc,/usr/bin,/usr/sbin</directories>
<directories check_all="yes">/bin,/sbin</directories>

設定 `+ report_changes =" yes "realtime =" yes "+`を各行に追加して、リアルタイム監視を有効にしましょう。 これらの行を修正して、次のようにします。

<!-- Directories to check  (perform all possible verifications) -->
<directories  check_all="yes">/etc,/usr/bin,/usr/sbin</directories>
<directories  check_all="yes">/bin,/sbin</directories>

`+ report_changes =" yes "`はまさにそのとおりです。 ` realtime =" yes "+`についても同様です。

OSSECが監視するように設定されているディレクトリのデフォルトリストに加えて、監視する新しいディレクトリを追加できます。 次のセクションでは、OSSECに「+ / home / sammy 」と「 / var / www +」を監視するように指示します。 そのために、既存の行のすぐ下に新しい行を追加して、そのセクションが次のようになるようにします。

<!-- Directories to check  (perform all possible verifications) -->
<directories report_changes="yes" realtime="yes" check_all="yes">/etc,/usr/bin,/usr/sbin</directories>
<directories report_changes="yes" realtime="yes" check_all="yes">/bin,/sbin</directories>

目的の設定に一致するようにディレクトリを変更する必要があります。 ユーザーの名前が* sammy *でない場合、ホームディレクトリへのパスを変更する必要があります。

新しいディレクトリを監視するために、指定されたファイル形式のみを監視するようOSSECに指示する「+ restrict +」オプションを追加しました。 このオプションを使用する必要はありませんが、画像ファイルなど、OSSECに警告させたくない他のファイルがある場合に便利です。

それが、 `+ ossec.conf +`のすべての変更です。 ファイルを保存して閉じることができます。

/var/ossec/rules/local_rules.xmlのローカルルール

変更する次のファイルは `+ / var / ossec / rules `ディレクトリにあるため、次のように入力して ` cd +`を追加します。

cd /var/ossec/rules

そのディレクトリで「+ ls +」を実行すると、次のような多数のXMLファイルが表示されます。

ls -lgG

短縮出力:

total 376
-r-xr-x--- 1  5882 Sep  8 22:03 apache_rules.xml
-r-xr-x--- 1  2567 Sep  8 22:03 arpwatch_rules.xml
-r-xr-x--- 1  3726 Sep  8 22:03 asterisk_rules.xml
-r-xr-x--- 1  4315 Sep  8 22:03 attack_rules.xml

...

-r-xr-x--- 1  1772 Nov 30 17:33 local_rules.xml

...

-r-xr-x--- 1 10359 Sep  8 22:03 ossec_rules.xml

...

現在、これらのファイルのうち、2つのファイル( + local_rules.xml`と + ossec ruleset.xml`)のみが対象です。 後者にはOSSECのデフォルトのルール定義が含まれていますが、前者にはカスタムルールを追加します。 つまり、 `+ local_rules.xml +`を除き、このディレクトリ内のファイルを変更しないでください。

`+ ossec ruleset.xml`のデフォルトのルール定義は、ローカルルールに変更してコピーできるようにするのに役立ちます。 `+ ossec rules.xml`では、ファイルが監視対象ディレクトリに「追加」されたときに起動するルールはルール* 554 *です。 デフォルトでは、OSSECはそのルールがトリガーされたときにアラートを送信しないため、ここでのタスクはその動作を変更することです。 デフォルトバージョンでルール554は次のようになります。

<rule id="554" level="0">
<category>ossec</category>
<decoded_as>syscheck_new_entry</decoded_as>
<description>File added to the system.</description>
<group>syscheck,</group>
</rule>

OSSECは、ルールの `+ level `が* 0 *に設定されている場合、アラートを送信しません。 このルールを変更して、アラートレベルを上げたいと思います。 デフォルトのファイルで変更する代わりに、ルールを ` local_rules.xml +`にコピーし、アラートをトリガーできるように変更します。

それを行うには、 `+ / var / ossec / rules / local_rules.xml`ファイルのバックアップコピーを作成します。

cp /var/ossec/rules/local_rules.xml /var/ossec/rules/local_rules.xml.00
  • nano *を使用してファイルを編集します。

nano /var/ossec/rules/local_rules.xml

ファイルの最後に新しいルールを追加します。 それが `+ <group>内にあることを確認してください…​ </ group> + `タグ。

<rule id="554" level="7" overwrite="yes">
<category>ossec</category>
<decoded_as>syscheck_new_entry</decoded_as>
<description>File added to the system.</description>
<group>syscheck,</group>
</rule>

ファイルを保存して閉じます。

これらはすべて必要な変更です。

OSSECを再起動します

今残っているのはOSSECを再起動することだけです。これは、OSSECのファイルを変更するたびに行わなければならないことです。 OSSECを再起動するには、次を入力します。

/var/ossec/bin/ossec-control restart

すべてが正常に動作している場合、OSSECから(再)起動したことを通知するメールを受信する必要があります。

ステップ5-ファイル変更アラートのトリガー

また、OSSECが監視するように設定されているディレクトリで何が起こるかに応じて、次のようなメールを受信する必要があります。

次に、 `+ / home / sammy +`にサンプルファイルを作成してみてください。

touch /home/sammy/index.html

ちょっと待って。 コンテンツを追加します。

nano /home/sammy/index.html

ちょっと待って。 ファイルを削除します。

rm /home/sammy/index.html

次のような通知の受信を開始する必要があります。

OSSEC HIDS Notification.
2014 Nov 30 18:03:51

Received From: ossec2->syscheck
Rule: 550 fired (level 7) -> "Integrity checksum changed."
Portion of the log(s):

Integrity checksum changed for: '/home/sammy/index.html'
Size changed from '21' to '46'
What changed:
1c1,4
< This is an html file
---

   <!doctype html> <p>This is an html file</p>

Old md5sum was: '4473d6ada73de51b5b36748627fa119b'
New md5sum is : 'ef36c42cd7014de95680d656dec62de9'
Old sha1sum was: '96bd9d685a7d23b20abd7d8231bb215521bcdb6c'
New sha1sum is : '5ab0f31c32077a23c71c18018a374375edcd0b90'

またはこれ:

OSSEC HIDS Notification.
2014 Dec 01 10:13:31

Received From: ossec2->syscheck
Rule: 554 fired (level 7) -> "File added to the system."
Portion of the log(s):

New file '/var/www/header.html' added to the file system.

_ _ 注意: OSSECは、ファイルの変更や削除に対してのみ、ファイルの追加時にリアルタイムアラートを送信しません。 ファイルの追加に関するアラートは、システムの完全なチェック後に出力されます。これは、 `+ ossec.conf +`の頻度チェック時間によって管理されます。

nano /var/ossec/etc/ossec.conf

`+ frequency`の設定:

<syscheck>
   <!-- Frequency that syscheck is executed - default to every 22 hours -->
   <frequency>79200</frequency>

_ _

繰り返しますが、メールを受信して​​いない場合は、スパムをチェックし、 `+ / var / ossec / logs / ossec.log +`をチェックし、メールログをチェックします。

結論

これにより、OSSECが提供するものの味がお分かりいただけたと思います。 より高度なセットアップと構成が可能です。OSSECを展開してサーバーを監視および保護する方法に関する今後の記事をお楽しみに。

OSSECの詳細については、プロジェクトのウェブサイトhttp://www.ossec.net [http://www.ossec.net/]をご覧ください。

Related