前書き
OSSECは、ログ分析、整合性チェック、Windowsレジストリの監視、ルートキットの検出、時間ベースのアラート、アクティブな応答を実行する、オープンソースのホストベースの侵入検知システム(HIDS)です。 サーバー内で何が起こっているかを監視したい場合、サーバーにインストールするアプリケーションです。
OSSECは、インストールされているサーバー(OSSECの用語ではローカルインストール)のみを監視するようにインストールするか、1つ以上のエージェントを監視するサーバーとしてインストールできます。 このチュートリアルでは、OSSECをインストールして、それがインストールされているFedora 21またはRHELサーバーを監視する方法を学習します:ローカルOSSECインストール。
前提条件
このチュートリアルを完了するには、次のものが必要です。
-
this tutorialに従って設定したFedora21ドロップレット。
このチュートリアルは、sudoの非rootユーザーとして実行する必要があります。
[[step-1 -—- installing-required-packages]] ==ステップ1—必要なパッケージのインストール
このセクションでは、いくつかの必要なパッケージをインストールします。
特に、次のコマンドを使用して、bind-utils
、gcc
、make
、およびinotify-tools
をインストールします。
sudo yum install -y bind-utils gcc make inotify-tools
bind-utils
はドメインネームシステム(DNS)ユーティリティを提供し、gcc
とmake
はOSSECインストーラーによって使用され、inotify-tools
はOSSECがリアルタイム通知のために必要とします。
[[step-2 -—- downloading-and-verifying-ossec]] ==ステップ2—OSSECのダウンロードと検証
OSSECは、圧縮されたtarballとして提供されます。 この手順では、ファイルとそのチェックサムファイルをダウンロードし、tarballが改ざんされていないことを確認します。
project’s websiteで最新バージョンを確認できます。 この記事の執筆時点では、OSSEC 2.8.1
が最新の安定版リリースです。
まず、tarballをダウンロードします。
wget -U ossec http://www.ossec.net/files/ossec-hids-2.8.1.tar.gz
次に、チェックサムファイルをダウンロードします。
wget -U ossec http://www.ossec.net/files/ossec-hids-2.8.1-checksum.txt
両方のファイルをダウンロードしたら、圧縮されたtarballのmd5sumを確認します。
md5sum -c ossec-hids-2.8.1-checksum.txt
出力は次のようになります。
ossec-hids-2.8.1.tar.gz: OK
md5sum: WARNING: 1 line is improperly formatted
続いて、SHA1チェックサムを確認します。
sha1sum -c ossec-hids-2.8.1-checksum.txt
出力は次のようになります。
ossec-hids-2.8.1.tar.gz: OK
sha1sum: WARNING: 1 line is improperly formatted
いずれの場合も、WARNING行は無視してください。 OK行は、ファイルが正常であることを確認するものです。
[[step-3 -—- finding-your-smtp-server]] ==ステップ3—SMTPサーバーを見つける
OSSECのインストール中に電子メール通知を設定すると、OSSECはSMTPサーバーを要求します。 このステップでは、その情報を把握します。
電子メールサービスプロバイダーに使用する正しいSMTPサーバーを決定するには、dig
コマンドを使用して、プロバイダーのメールエクスチェンジャー(MX)リソースレコードを照会できます。 次のコマンドを入力し、example.com
をメールプロバイダーのドメイン名に置き換えます。
dig -t mx example.com
出力はいくつかのセクションで構成されていますが、1つ以上の行を含むANSWERセクションのみに関心があります。 各行の最後には、使用するSMTPサーバーがあります。
たとえば、fastmail.com
を使用してコマンドを実行する場合:
dig -t mx fastmail.com
プロバイダーの有効なSMTPサーバーは、ANSWERセクションの各リストの最後にあります。
;; ANSWER SECTION:
fastmail.com. 3600 IN MX 10 in1-smtp.messagingengine.com.
fastmail.com. 3600 IN MX 20 in2-smtp.messagingengine.com.
この例では、in1-smtp.messagingengine.com.
またはin2-smtp.messagingengine.com.
のいずれかをSMTPサーバーとして使用できます。
電子メールプロバイダーからSMTPサーバーの1つをコピーして保存し、次のステップで入力します。 最後に.(ピリオド)も含めるようにしてください。
[[step-4 -—- installing-ossec]] ==ステップ4—OSSECのインストール
このステップでは、OSSECをインストールします。
インストールを開始する前に、次を使用して展開します。
tar xf ossec-hids-2.8.1.tar.gz
ossec-hids-2.8.1
というディレクトリに解凍されます。 そのディレクトリに移動します。
cd ossec-hids-2.8.1
次に、インストールを開始します。
sudo ./install.sh
セットアッププロセス全体を通じて、入力を行うよう求められます。 ほとんどの場合、必要なのはENTERを押してデフォルト値を受け入れることだけです。
最初にインストール言語を選択するよう求められます。 デフォルトでは英語(en)なので、希望する言語の場合はENTERを押します。 それ以外の場合は、サポートされている言語のリストから2文字を入力します。 次に、ENTERをもう一度押してインストールを開始します。
質問1では、どのようなインストールが必要かを尋ねられます。 ここに、localと入力します。
1- What kind of installation do you want (server, agent, local, hybrid or help)? local
以下のすべての質問について、ENTERを押してデフォルトを受け入れます。 質問3.1では、さらにメールアドレスの入力を求められ、SMTPサーバーのip / hostが要求されます。 ここで、手順3で保存した電子メールアドレスとSMTPサーバーを入力します。
インストールが成功すると、最後に次の出力が表示されます。
- Configuration finished properly.
...
More information can be found at http://www.ossec.net
--- Press ENTER to finish (maybe more information below). ---
ENTERを押してインストールを終了します。
[[step-5 -—- verifying-ossec-39-s-email-settings]] ==ステップ5—OSSECのメール設定を確認する
ここでは、前の手順で指定した電子メール資格情報と、OSSECが自動構成したものが正しいことを確認します。
電子メール設定は、/var/ossec/etc
ディレクトリにあるOSSECのメイン構成ファイルossec.conf
にあります。 OSSECファイルにアクセスして変更するには、最初にrootユーザーに切り替える必要があります。
sudo su
ルートになったら、cd
をOSSECの構成ファイルがあるディレクトリに移動します。
cd /var/ossec/etc
まず、そのファイルのバックアップコピーを作成します。
cp ossec.conf ossec.conf.00
次に、元のファイルを開きます。 ここでは、nano
テキストエディタを使用していますが、任意のテキストエディタを使用できます。
nano ossec.conf
メール設定はファイルの上部にあります。 フィールドの説明は次のとおりです。
-
<email_to>は、インストール中に送信した電子メールです。 アラートはそのメールアドレスに送信されます。
-
<email_from>は、OSSECのアラートが発信されているように見える場所です。 これを有効なメールアドレスに変更して、メールプロバイダーのSMTPサーバーによってスパムとしてタグ付けされる確率を減らします。
-
<smtp_server>は、セットアップ中に指定したSMTPサーバーです。
<email_to>と<email_from>は同じである可能性があり、OSSECサーバーと同じホスト上に独自の電子メールサーバーがある場合は、<smtp_server>設定をlocalhostに変更できることに注意してください。 。
終了すると、そのセクションは次のようになります。
yes
[email protected]
mail.example.com.
[email protected]
メール設定を変更した後、ファイルを保存して閉じます。 次に、OSSECを起動します。
/var/ossec/bin/ossec-control start
OSSECが開始されたことを知らせるメールを受信トレイで確認します。 OSSECインストールから電子メールを受信した場合、今後のアラートも受信トレイに届くことがわかります。 そうでない場合は、スパムフォルダーを確認してください。
[[step-6 -—- adding-alerts]] ==ステップ6—アラートの追加
デフォルトでは、OSSECはファイルの変更やサーバー上の他のアクティビティについてアラートを発行しますが、新しいファイルの追加についてアラートを発行せず、リアルタイムでアラートも発行しません。 )デフォルトで。 このセクションでは、ファイルの追加に関するアラートをリアルタイムで追加します。
まず、ossec.conf
を開きます。
nano ossec.conf
次に、このテキストで始まる<syscheck>セクションまで下にスクロールします。
79200
<frequency>タグのすぐ下に、<alert_new_files>yes</alert_new_files>
を追加します。
79200
yes
まだossec.conf
を開いている間に、OSSECが監視するシステムディレクトリのリストを確認します。これは、変更した最後の行のすぐ下にあります。 読みます:
/etc,/usr/bin,/usr/sbin
/bin,/sbin
ディレクトリのリストごとに、report_changes="yes"
およびrealtime="yes"
オプションを追加します。 変更が行われた後、セクションは次のようになります。
/etc,/usr/bin,/usr/sbin
/bin,/sbin
OSSECが監視するように設定されているディレクトリのデフォルトリストの他に、監視するものを追加することもできます。 たとえば、ホームディレクトリ/home/sammy
の監視を追加できます。 これを行うには、他のディレクトリ行のすぐ下にこの新しい行を追加し、ユーザー名を置き換えます。
/home/sammy
ここで、ossec.conf
を保存して閉じます。
次に変更するファイルは/var/ossec/rules
ディレクトリにあるので、そのディレクトリに移動します。
cd /var/ossec/rules
/var/ossec/rules
ディレクトリには、OSSECのデフォルトのルール定義を含むossec_rules.xml
やカスタムルールを追加できるlocal_rules.xml
など、多くのXMLファイルが含まれています。 local_rules.xml
は、このディレクトリで編集する必要がある唯一のファイルです。
ossec_rules.xml
では、ファイルが監視対象ディレクトリに追加されたときに発生するルールはルール554です。 デフォルトでは、OSSECはそのルールがトリガーされたときにアラートを送信しないため、ここでのタスクはその動作を変更することです。 デフォルトでルール554は次のようになります。
ossec
syscheck_new_entry
File added to the system.
syscheck,
ルールがレベル0に設定されている場合、OSSECはアラートを送信しないため、そのルールをlocal_rules.xml
にコピーし、アラートをトリガーするように変更します。 これを行うには、local_rules.xml
を開きます。
nano local_rules.xml
ファイルの最後、</group>
タグのある行の前に以下を追加します。
ossec
syscheck_new_entry
File added to the system.
syscheck,
ファイルを保存して閉じます。 ここで、OSSECを再起動して、編集したファイルをリロードします。
/var/ossec/bin/ossec-control restart
これで、監視対象のディレクトリとログファイルでOSSECからアラートを受信するはずです。
結論
これで、基本的なローカルOSSECインストールがセットアップされました。 its official documentationで調べることができる、さらに多くのカスタマイズが利用可能です。
OSSECを(ローカルモードではなく)クライアントサーバーモードまたはサーバーエージェントモードでインストールする方法については、How To Monitor OSSEC Agents Using an OSSEC Server on Ubuntu 14.04を参照してください。