Debian12.1 : Suricata , Logwatch, Chkrootkit,ディスク使用率チェックスクリプト

 Suricata インストール

SURICATA IDS/IPSはネットワーク上の通信を監視し、不審なトラフィックを検知するオープンソースのIDSです。基本的な仕組みはシグネチャ型であるため、あらかじめ設定した不正な通信を検知できます。また、Suricataは検知だけでなく防御も行えることが特徴です。

1.Suricata のインストールと設定

①Suricata のインストール

バージョンの確認

サービスに登録し有効化する

②Suricataがネットワークパケットを検査するインターフェースとIPアドレスを決定

③設定ファイルを編集

④Suricataのルール更新

⑤Suricataの起動確認

ログを確認

統計情報を確認するには、stats.log ファイルを確認します(デフォルトで8秒ごとに更新)

より高度な出力であるEVE JSONは、以下のコマンドで生成することができる

2.Suricata のテスト

①curl ユーティリティで ping テストを実行

②ログに記録されたかどうかを調べるため、アラートログを確認

3.Suricata Rulesの設定

①Suricataにパッケージされているルールセットの表示

②ルールセットを提供するソースのインデックス一覧

③ソースを有効にする(et/openを有効にする場合)

アップデートを実行

Suricata service再起動

4.Suricata Custom Rulesの作成

①カスタマールールを含むファイルを作成

②設定ファイルを編集(新しいルールのパスを定義)

 ③設定ファイルのテスト

Suricat service再起動

④Custom Rulesの適用テスト
同一ローカルネットワーク上の別のデバイスでpingを実行し、ログに記録されたかどうかを確認する

JSON形式のログを取得するには、システムにjqをインストールする

下記コマンドを実行し、同一ローカルネットワーク上の別のデバイスでpingを実行する

Logwatch

①インストール

②デフォルトの設定ファイルをコピー

➂メールの送信先等を変更

④ディレクトリの作成

⑤動作確認
logwatch をインストールするとデフォルトで cron 登録されるので、毎日レポートメールが届く
設定したアドレスにレポートが届くかテストを行います。

Chkrootkit

①chkrootkit をダウンロード、インストール

➁chkrootkit を確認

④chkrootkit 定期実行スクリプトの作成と権限変更

自動で /usr/sbin/chkrootkit-dailyをもとに/etc/cron.daily/chkrtootkit が作成され、毎日自動で実行されるので、スクリプトの作成は不要。
これで、rootkit が仕掛けられていた場合に root 宛にメールが届くようになる。

ディスク使用率チェックスクリプト

1. スクリプト作成

disk_capacity_check.shの内容

2. 実行確認

①現在の使用率を確認

次のように表示される

②使用率80%以上になるようダミーファイルを作成(例ではdummyfile という名前で15G程度)

③再度確認

を実行して80%以上になっていることを確認

④ディスク容量チェックスクリプトを実行

設定したメールアドレスに本文の内容として「Disk usage alert : 93%」のように記載のメールが届きます

⑤作成した「dummyfile」を削除

⑥定期実行設定