Fedora 21でローカルOSSECインストールをセットアップする方法

OSSECは、ログ分析、整合性チェック、Windowsレジストリの監視、ルートキットの検出、時間ベースのアラート、アクティブな応答を実行する、オープンソースのホストベースの侵入検知システム（HIDS）です。 サーバー内で何が起こっているかを監視したい場合、サーバーにインストールするアプリケーションです。

OSSECは、インストールされているサーバー（OSSECの用語ではローカルインストール）のみを監視するようにインストールするか、1つ以上のエージェントを監視するサーバーとしてインストールできます。 このチュートリアルでは、OSSECをインストールして、それがインストールされているFedora 21またはRHELサーバーを監視する方法を学習します：ローカルOSSECインストール。

このチュートリアルを完了するには、次のものが必要です。

このチュートリアルは、sudoの非rootユーザーとして実行する必要があります。

[[step-1 -—- installing-required-packages]] ==ステップ1—必要なパッケージのインストール

このセクションでは、いくつかの必要なパッケージをインストールします。

特に、次のコマンドを使用して、bind-utils、gcc、make、およびinotify-toolsをインストールします。

bind-utilsはドメインネームシステム（DNS）ユーティリティを提供し、gccとmakeはOSSECインストーラーによって使用され、inotify-toolsはOSSECがリアルタイム通知のために必要とします。

[[step-2 -—- downloading-and-verifying-ossec]] ==ステップ2—OSSECのダウンロードと検証

OSSECは、圧縮されたtarballとして提供されます。 この手順では、ファイルとそのチェックサムファイルをダウンロードし、tarballが改ざんされていないことを確認します。

project’s websiteで最新バージョンを確認できます。 この記事の執筆時点では、OSSEC 2.8.1が最新の安定版リリースです。

まず、tarballをダウンロードします。

次に、チェックサムファイルをダウンロードします。

両方のファイルをダウンロードしたら、圧縮されたtarballのmd5sumを確認します。

出力は次のようになります。

続いて、SHA1チェックサムを確認します。

出力は次のようになります。

いずれの場合も、WARNING行は無視してください。 OK行は、ファイルが正常であることを確認するものです。

[[step-3 -—- finding-your-smtp-server]] ==ステップ3—SMTPサーバーを見つける

OSSECのインストール中に電子メール通知を設定すると、OSSECはSMTPサーバーを要求します。 このステップでは、その情報を把握します。

電子メールサービスプロバイダーに使用する正しいSMTPサーバーを決定するには、digコマンドを使用して、プロバイダーのメールエクスチェンジャー（MX）リソースレコードを照会できます。 次のコマンドを入力し、example.comをメールプロバイダーのドメイン名に置き換えます。

出力はいくつかのセクションで構成されていますが、1つ以上の行を含むANSWERセクションのみに関心があります。 各行の最後には、使用するSMTPサーバーがあります。

たとえば、fastmail.comを使用してコマンドを実行する場合：

プロバイダーの有効なSMTPサーバーは、ANSWERセクションの各リストの最後にあります。

この例では、in1-smtp.messagingengine.com.またはin2-smtp.messagingengine.com.のいずれかをSMTPサーバーとして使用できます。

電子メールプロバイダーからSMTPサーバーの1つをコピーして保存し、次のステップで入力します。 最後に.（ピリオド）も含めるようにしてください。

[[step-4 -—- installing-ossec]] ==ステップ4—OSSECのインストール

このステップでは、OSSECをインストールします。

インストールを開始する前に、次を使用して展開します。

ossec-hids-2.8.1というディレクトリに解凍されます。 そのディレクトリに移動します。

次に、インストールを開始します。

セットアッププロセス全体を通じて、入力を行うよう求められます。 ほとんどの場合、必要なのはENTERを押してデフォルト値を受け入れることだけです。

最初にインストール言語を選択するよう求められます。 デフォルトでは英語（en）なので、希望する言語の場合はENTERを押します。 それ以外の場合は、サポートされている言語のリストから2文字を入力します。 次に、ENTERをもう一度押してインストールを開始します。

質問1では、どのようなインストールが必要かを尋ねられます。 ここに、localと入力します。

以下のすべての質問について、ENTERを押してデフォルトを受け入れます。 質問3.1では、さらにメールアドレスの入力を求められ、SMTPサーバーのip / hostが要求されます。 ここで、手順3で保存した電子メールアドレスとSMTPサーバーを入力します。

インストールが成功すると、最後に次の出力が表示されます。

ENTERを押してインストールを終了します。

[[step-5 -—- verifying-ossec-39-s-email-settings]] ==ステップ5—OSSECのメール設定を確認する

ここでは、前の手順で指定した電子メール資格情報と、OSSECが自動構成したものが正しいことを確認します。

電子メール設定は、/var/ossec/etcディレクトリにあるOSSECのメイン構成ファイルossec.confにあります。 OSSECファイルにアクセスして変更するには、最初にrootユーザーに切り替える必要があります。

ルートになったら、cdをOSSECの構成ファイルがあるディレクトリに移動します。

まず、そのファイルのバックアップコピーを作成します。

次に、元のファイルを開きます。 ここでは、nanoテキストエディタを使用していますが、任意のテキストエディタを使用できます。

メール設定はファイルの上部にあります。 フィールドの説明は次のとおりです。

<email_to>と<email_from>は同じである可能性があり、OSSECサーバーと同じホスト上に独自の電子メールサーバーがある場合は、<smtp_server>設定をlocalhostに変更できることに注意してください。 。

終了すると、そのセクションは次のようになります。

メール設定を変更した後、ファイルを保存して閉じます。 次に、OSSECを起動します。

OSSECが開始されたことを知らせるメールを受信トレイで確認します。 OSSECインストールから電子メールを受信した場合、今後のアラートも受信トレイに届くことがわかります。 そうでない場合は、スパムフォルダーを確認してください。

[[step-6 -—- adding-alerts]] ==ステップ6—アラートの追加

デフォルトでは、OSSECはファイルの変更やサーバー上の他のアクティビティについてアラートを発行しますが、新しいファイルの追加についてアラートを発行せず、リアルタイムでアラートも発行しません。 ）デフォルトで。 このセクションでは、ファイルの追加に関するアラートをリアルタイムで追加します。

まず、ossec.confを開きます。

次に、このテキストで始まる<syscheck>セクションまで下にスクロールします。

<frequency>タグのすぐ下に、<alert_new_files>yes</alert_new_files>を追加します。

まだossec.confを開いている間に、OSSECが監視するシステムディレクトリのリストを確認します。これは、変更した最後の行のすぐ下にあります。 読みます：

ディレクトリのリストごとに、report_changes="yes"およびrealtime="yes"オプションを追加します。 変更が行われた後、セクションは次のようになります。

OSSECが監視するように設定されているディレクトリのデフォルトリストの他に、監視するものを追加することもできます。 たとえば、ホームディレクトリ/home/sammyの監視を追加できます。 これを行うには、他のディレクトリ行のすぐ下にこの新しい行を追加し、ユーザー名を置き換えます。

ここで、ossec.confを保存して閉じます。

次に変更するファイルは/var/ossec/rulesディレクトリにあるので、そのディレクトリに移動します。

/var/ossec/rulesディレクトリには、OSSECのデフォルトのルール定義を含むossec_rules.xmlやカスタムルールを追加できるlocal_rules.xmlなど、多くのXMLファイルが含まれています。 local_rules.xmlは、このディレクトリで編集する必要がある唯一のファイルです。

ossec_rules.xmlでは、ファイルが監視対象ディレクトリに追加されたときに発生するルールはルール554です。 デフォルトでは、OSSECはそのルールがトリガーされたときにアラートを送信しないため、ここでのタスクはその動作を変更することです。 デフォルトでルール554は次のようになります。

ルールがレベル0に設定されている場合、OSSECはアラートを送信しないため、そのルールをlocal_rules.xmlにコピーし、アラートをトリガーするように変更します。 これを行うには、local_rules.xmlを開きます。

ファイルの最後、</group>タグのある行の前に以下を追加します。

ファイルを保存して閉じます。 ここで、OSSECを再起動して、編集したファイルをリロードします。

これで、監視対象のディレクトリとログファイルでOSSECからアラートを受信するはずです。