CentOS 7サーバーにOSSEC HIDSをインストールする方法

• 前書き
• 前提条件
• ステップ1：必要なパッケージをインストールする
• ステップ2-OSSECをダウンロードして確認する
• 手順3：SMTPサーバーを決定する
• ステップ4：OSSECをインストールする
• ステップ5：OSSECを開始する
• ステップ6：OSSECをカスタマイズする
• 詳しくは

前書き

OSSECは、ログ分析、整合性チェック、Windowsレジストリ監視、ルートキット検出、時間ベースのアラート、アクティブな応答を実行するオープンソースのホストベースの侵入検知システム（HIDS）です。これは、すべてのサーバーで必須のセキュリティアプリケーションです。

OSSECは、それがインストールされているサーバー（ローカルインストール）のみを監視するためにインストールすることも、1つ以上のエージェントを監視するサーバーとしてインストールすることもできます。このチュートリアルでは、CentOS 7をローカルインストールとして監視するためにOSSECをインストールする方法を学びます。

前提条件

• CentOS 7サーバーは、できればSSHキーでセットアップし、CentOS 7サーバーの初期セットアップを使用してカスタマイズします。標準ユーザーアカウントを使用してサーバーにログインします。ユーザー名がjoeであると想定します。

  ssh -l joe server-ip-address
  

ステップ1：必要なパッケージをインストールする

OSSECはソースからコンパイルされるため、それを可能にするにはコンパイラーが必要です。また、通知用の追加パッケージも必要です。次のように入力してインストールします。

sudo yum install -y gcc inotify-tools

ステップ2-OSSECをダウンロードして確認する

OSSECは、プロジェクトのWebサイトからダウンロードする必要がある圧縮tarballとして提供されます。tarballが改ざんされていないことを確認するために使用されるチェックサムファイルもダウンロードする必要があります。この公開時点でのOSSECの最新バージョンは2.8.2です。プロジェクトのダウンロードページを確認し、最新バージョンをダウンロードします。

tarballをダウンロードするには、次のように入力します。

wget -U ossec http://www.ossec.net/files/ossec-hids-2.8.2.tar.gz

チェックサムファイルの場合、次のように入力します。

wget -U ossec http://www.ossec.net/files/ossec-hids-2.8.2-checksum.txt

両方のファイルをダウンロードしたら、次のステップはtarballのMD5およびSHA1チェックサムを確認することです。MD5sumの場合、次のように入力します。

md5sum -c ossec-hids-2.8.2-checksum.txt

予想される出力は次のとおりです。

ossec-hids-2.8.2.tar.gz: OK
md5sum: WARNING: 1 line is improperly formatted

SHA1ハッシュを確認するには、次のように入力します。

sha1sum -c ossec-hids-2.8.2-checksum.txt

そして、予想される出力は次のとおりです。

ossec-hids-2.8.2.tar.gz: OK
sha1sum: WARNING: 1 line is improperly formatted

手順3：SMTPサーバーを決定する

OSSECのインストールプロセス中に、電子メールアドレス用のSMTPサーバーを指定するように求められます。それが何であるかわからない場合は、ローカルマシンからこのコマンドを発行するのが最も簡単な方法です（偽の電子メールアドレスを実際のアドレスに置き換えます）。

dig -t mx [email protected]

出力の関連セクションは、このコードブロックに示されています。この出力例では、照会された電子メールアドレスのSMTPサーバーは行の最後にあります-mail.vivaldi.net。。末尾のドットが含まれていることに注意してください。

;; ANSWER SECTION:
vivaldi.net.        300 IN  MX  10 mail.vivaldi.net.

ステップ4：OSSECをインストールする

OSSECをインストールするには、まずtarballを解凍する必要があります。これには、次のように入力します。

tar xf ossec-hids-2.8.2.tar.gz

プログラムの名前とバージョンが記載されたディレクトリに解凍されます。変更またはcdそれに。この記事でインストールするバージョンであるOSSEC 2.8.2には、インストールを開始する前に修正する必要があるマイナーなバグがあります。OSSEC 2.9である次の安定バージョンがリリースされるまでに、修正は既にmasterブランチにあるため、これは必要ありません。OSSEC 2.8.2用に修正すると、active-responseディレクトリにある1つのファイルを編集するだけです。ファイルはhosts-deny.shなので、次を使用して開きます。

nano active-response/hosts-deny.sh

ファイルの終わりに向かって、次のコードブロックを探します。

# Deleting from hosts.deny
elif [ "x$" = "xdelete" ]; then
   lock;
   TMP_FILE = `mktemp /var/ossec/ossec-hosts.XXXXXXXXXX`
   if [ "X$" = "X" ]; then
      # Cheap fake tmpfile, but should be harder then no random data
      TMP_FILE = "/var/ossec/ossec-hosts.`cat /dev/urandom | tr -dc 'a-zA-Z0-9' | fold -w 32 | head -1 `"
   fi

TMP_FILEで始まる行で、=記号の前後のスペースを削除します。スペースを削除すると、ファイルのその部分は、以下のコードのブロックに示すようになります。ファイルを保存して閉じます。

# Deleting from hosts.deny
elif [ "x$" = "xdelete" ]; then
   lock;
   TMP_FILE=`mktemp /var/ossec/ossec-hosts.XXXXXXXXXX`
   if [ "X$" = "X" ]; then
      # Cheap fake tmpfile, but should be harder then no random data
      TMP_FILE="/var/ossec/ossec-hosts.`cat /dev/urandom | tr -dc 'a-zA-Z0-9' | fold -w 32 | head -1 `"
   fi

修正が完了したので、次のように入力してインストールプロセスを開始できます。

sudo ./install.sh

インストールプロセス全体を通じ���、いくつかの入力を求めるプロンプトが表示されます。ほとんどの場合、Enterキーを押すだけでデフォルトを受け入れます。最初に、インストール言語（デフォルトでは英語（en））を選択するように求められます。希望する言語の場合は、Enterキーを押してください。それ以外の場合は、サポートされている言語のリストから2文字を入力します。その後、もう一度Enterキーを押します。

最初の質問では、どのタイプのインストールが必要かを尋ねられます。ここでは、localと入力します。

1- What kind of installation do you want (server, agent, local, hybrid or help)? local

以降の質問では、Enterキーを押してデフォルトを受け入れます。質問3.1では、電子メールアドレスの入力を求め、次にSMTPサーバーを要求します。その質問については、有効なメールアドレスとステップ3で決定したSMTPサーバーを入力してください。

3- Configuring the OSSEC HIDS.

   3.1- Do you want e-mail notification? (y/n) [y]: 
      - What's your e-mail address? [email protected]
      - What's your SMTP server ip/host?

インストールが成功すると、次の出力が表示されます。

- Configuration finished properly.

...

    More information can be found at http://www.ossec.net

    ---  Press ENTER to finish (maybe more information below). ---

Enterキーを押して、インストールを終了します。

ステップ5：OSSECを開始する

OSSECはインストールされていますが、開始されていません。開始するには、まずrootアカウントに切り替えます。

sudo su

次に、次のコマンドを発行して起動します。

/var/ossec/bin/ossec-control start

その後、受信トレイを確認してください。OSSECが起動したことを知らせるアラートが表示されます。これで、OSSECがインストールされ、必要に応じてアラートを送信することがわかりました。

ステップ6：OSSECをカスタマイズする

OSSECのデフォルト設定は問題なく機能しますが、サーバーをより適切に保護するために調整できる設定があります。カスタマイズする最初のファイルは、メインの構成ファイル- ossec.confです。このファイルは、/var/ossec/etcディレクトリにあります。ファイルを開きます。

nano /var/ossec/etc/ossec.conf

確認する最初の項目はメール設定です。これはファイルのグローバルセクションにあります。

<global>
   <email_notification>yes</email_notification>
   <email_to>[email protected]</email_to>
   <smtp_server>mail.vivaldi.net.</smtp_server>
   <email_from>[email protected]</email_from>
</global>

email_fromアドレスが有効なメールであることを確認してください。それ以外の場合、一部の電子メールプロバイダーのSMTPサーバーは、OSSECからのアラートをスパムとしてマークします。サーバーのFQDNが設定されていない場合、電子メールのドメイン部分はサーバーのホスト名に設定されるため、これは本当に有効な電子メールアドレスが必要な設定です。

特にシステムのテスト中にカスタマイズするもう1つの設定は、OSSECが監査を実行する頻度です。その設定はsyscheckセクションにあり、デフォルトでは22時間ごとに実行されます。OSSECのアラート機能をテストするには、これを低い値に設定し、後でデフォルトにリセットすることができます。

<syscheck>
   <!-- Frequency that syscheck is executed - default to every 22 hours -->
   <frequency>79200</frequency>

デフォルトでは、OSSECは新しいファイルがサーバーに追加されたときにアラートを出しません。これを変更するには、<frequency>タグのすぐ下に新しいタグを追加します。完了すると、セクションに次のものが含まれるようになります。

<syscheck>
   <!-- Frequency that syscheck is executed - default to every 22 hours -->
   <frequency>79200</frequency>

   <alert_new_files>yes</alert_new_files>

変更するのに適した最後の設定の1つは、OSSECがチェックする必要があるディレクトリのリストにあります。前の設定の直後に見つかります。デフォルトでは、ディレクトリは次のように表示されます。

<!-- Directories to check  (perform all possible verifications) -->
   <directories check_all="yes">/etc,/usr/bin,/usr/sbin</directories>
   <directories check_all="yes">/bin,/sbin</directories>

両方の行を変更して、OSSECが変更をリアルタイムで報告するようにします。終了したら、次のように読みます。

<directories report_changes="yes" realtime="yes" check_all="yes">/etc,/usr/bin,/usr/sbin</directories>
<directories report_changes="yes" realtime="yes" check_all="yes">/bin,/sbin</directories>

ファイルを保存して閉じます。

変更する必要がある次のファイルlocal_rules.xmlは/var/ossec/rulesディレクトリにあります。だからcdそのディレクトリに：

cd /var/ossec/rules

そのディレクトリはOSSECのルールファイルを保持しますが、local_rules.xmlファイル以外は変更しないでください。そのファイルに、カスタムルールを追加します。追加する必要があるルールは、新しいファイルが追加されたときに実行されるルールです。554と番号が付けられたそのルールは、デフォルトではアラートをトリガーしません。これは、レベルがゼロに設定されたルールがトリガーされたときにOSSECがアラートを送信しないためです。

デフォルトのルール554は次のとおりです。

 <rule id="554" level="0">
    <category>ossec</category>
    <decoded_as>syscheck_new_entry</decoded_as>
    <description>File added to the system.</description>
    <group>syscheck,</group>
 </rule>

そのルールの修正バージョンをlocal_rules.xmlファイルに追加する必要があります。その変更されたバージョンは、以下のコードのブロックで与えられます。コピーして、ファイルの最後の終了タグの直前に追加します。

 <rule id="554" level="7" overwrite="yes">
    <category>ossec</category>
    <decoded_as>syscheck_new_entry</decoded_as>
    <description>File added to the system.</description>
    <group>syscheck,</group>
 </rule>

ファイルを保存して閉じ、OSSECを再起動します。

/var/ossec/bin/ossec-control restart

詳しくは

OSSECは非常に強力なソフトウェアであり、この記事では基本的な部分についてのみ触れました。公式ドキュメントには、さらに多くのカスタマイズ設定があります。