「エアコンの安全な修理・適切なフロン回収」はこちら

CentOS7.9 ; SNORT2 , Tripwire , Chkrootkitインストール

SNORT2 インストール

1.事前準備

①必要なソフトウェアをインストールする

②DAQ のインストール
③Lua のインストール
④偽のリリース ファイルを作成

2. Snort をダウンロード、コンパイル、インストール

偽のリリース ファイルを削除

3.グルーブとユーザー作成、必要なディレクトリー、ファイル作成

設定ファイルのセットアップ・・・すべてのファイルを構成ディレクトリにコピーします。

4.コミュニティルールの使用

①コミュニティルールを取得

②ルールを抽出し、構成フォルダーにコピー
コミュニティルールに含まれていないさまざまなルールファイルがある。
sedコマンドを使用して、不要な行をコメントアウトする。

5. 登録済みユーザールールの取得

Snortのウェブサイトに登録すると、Oink コードを使用して登録済みユーザールールをダウンロードできます。Oink コードは Snort ユーザーアカウントの詳細にあります。
次のコマンドのoinkcode を個人コードに置き換えます。

ダウンロードが完了したら、構成ディレクトリにルールを抽出

6. ネットワークおよびルールの構成

7. 設定の検証

パラメーター -T を使用して構成をテストし、テスト・モードを使用可能にします
エラーが出た場合該当のファイルを /etc/snort/rulesにコピーする
当方の場合、下記のファイルでエラーが出た
unicode.mapエラーが出る場合は
また、「/etc/snort/rules/snort.conf(322) => Invalid keyword '}'」エラーが出る場合
該当行
decompress_swf { deflate lzma } \  をコメントにしてください
# decompress_swf { deflate lzma } \

8. 構成のテスト

①Snort がアラートをログに記録しているかどうかをテストするには、着信 ICMP 接続に関するカスタム検出ルールアラートを local.rules ファイルに追加します。
②コンソールで Snort を起動し、アラートを stdout に出力します。正しいネットワーク インターフェイス(eth0 など)を選択する必要があります

9. バックグラウンドで Snortを実行する

①Snort のスタートアップスクリプトを作成(eth0は各自の環境に合わす)

②サービスを定義した後、systemctl デーモンを再ロードし実行する

Tripwire インストール

1.ダウンロード、インストール

2.パスフレーズ設定

サイトパスフレーズとローカルパスフレーズを設定する

3.Tripwire の設定

①設定ファイル編集

②Tripwire 設定ファイル(暗号署名版)を作成
③Tripwire 設定ファイル(テキスト版)削除
④ポリシーファイル設定
twpolmake.plの内容

⑤ポリシーファイル最適化

最適化済ポリシーファイルを元に、ポリシーファイル(暗号署名版)作成
⑦データベースを作成、動作確認

テスト用ファイルを削除

⑧Tripwire 定期実行スクリプト
tripwire.shの内容

⑨Tripwire 自動実行スクリプト実行設定

参考: メールで結果報告用スクリプト

Chkrootkit インストール

①chkrootkit をダウンロード、インストール

➁/root/bin ディレクトリを作成し、そのディレクトリにchkrootkit コマンドを移動
➂chkrootkit を確認します。

Searching for Linux.Xor.DDoS ... INFECTED: Possible Malicious Linux.Xor.DDoS installed

上記のエラーが出る場合
/tmp配下に実行可能なファイルがある場合に起こる誤検知と思われます。
当方の場合下記のファイルを実行不可にしました。

④chkrootkit 定期実行スクリプトの作成と権限変更

定期実行スクリプトの内容

chkrootkit実行スクリプトへ実行権限付加

⑥chkrootkit が使用するコマンドをバックアップ
chkrootkit が使用するコマンドが改ざんされた場合、rootkit を検出できなくなるので、
これらのコマンドをバックアップしておきます。
必要な場合は、バックアップしたコマンドを使用してchkrootkit を実行します
⑦コピーしたコマンドにchkrootkit を実行

何も表示されなければ問題ありません

⑧バックアップしたコマンドを圧縮
⑨chkrootkit使用コマンド(圧縮版)をroot宛にメール送信
⑩Windows にchkrootkit_cmd.tar.gz ファイルをダウンロードして退避
⑪バックアップしたサーバー上のコマンドを削除