「エアコンの安全な修理・適切なフロン回収」はこちら

MiracleLinux8.4 ; SNORT ,Tripwire , Checkrootkit

SNORT インストール

1.事前準備

①CodeReady Red Hat リポジトリを追加し、必要なソフトウェアをインストールする

②DAQ のンストール

③Lua のインストール

④偽のリリース ファイルを作成

2. Snort をダウンロード、コンパイル、インストール

偽のリリース ファイルを削除

3.グルーブとユーザー作成、必要なディレクトリー、ファイル作成

設定ファイルのセットアップ・・・すべてのファイルを構成ディレクトリにコピーします。

4.コミュニティルールの使用

①コミュニティルールを取得

②ルールを抽出し、構成フォルダーにコピー

コミュニティルールに含まれていないさまざまなルールファイルがある。
sedコマンドを使用して、不要な行をコメントアウトする。

5. 登録済みユーザールールの取得

Snortのウェブサイトに登録すると、Oink コードを使用して登録済みユーザールールをダウンロードできます。Oink コードは Snort ユーザーアカウントの詳細にあります。
次のコマンドのoinkcode を個人コードに置き換えます。

ダウンロードが完了したら、構成ディレクトリにルールを抽出

6. ネットワークおよびルールの構成

7. 設定の検証

パラメーター -T を使用して構成をテストし、テスト・モードを使用可能にします

エラーが出た場合該当のファイルを /etc/snort/rulesにコピーする
当方の場合、下記のファイルでエラーが出た

unicode.mapエラーが出る場合は

8. 構成のテスト

①Snort がアラートをログに記録しているかどうかをテストするには、着信 ICMP 接続に関するカスタム検出ルールアラートを local.rules ファイルに追加します。

②コンソールで Snort を起動し、アラートを stdout に出力します。正しいネットワーク インターフェイス(eth0 など)を選択する必要があります

9. バックグラウンドで Snortを実行する

①Snort のスタートアップスクリプトを作成

②サービスを定義した後、systemctl デーモンを再ロードし実行する

Tripwire インストール

1.ダウンロード、インストール

2.初期設定

サイトパスフレーズとローカルパスフレーズを設定する

3.Tripwire の設定

①設定ファイル編集

②Tripwire 設定ファイル(暗号署名版)を作成

③Tripwire 設定ファイル(テキスト版)削除

④ポリシーファイル設定

twpolmake.plの内容

⑤ポリシーファイル最適化

⑥最適化済ポリシーファイルを元に、ポリシーファイル(暗号署名版)作成
⑦データベースを作成、動作確認
テスト用ファイルを作成
Tripwire の動作確認
テスト用ファイルを削除
⑧Tripwire 定期実行スクリプト
tripwire.shの内容
⑨Tripwire 自動実行スクリプト実行設定

cron に追加
/var/www/system/tripwire.sh を実行するとmailコマンドがないと表示される場合

chkrootkit インストール

①chkrootkit をダウンロード、インストール

➁/root/bin ディレクトリを作成し、そのディレクトリにchkrootkit コマンドを移動
➂chkrootkit を確認します。
④chkrootkit 定期実行スクリプトの作成と権限変更
chkrootkitの内容
⑤chkrootkitで使用するコマンドの確保
chkrootkitが使用するコマンドが改竄されていた場合、rootkitを正常に検出できなくなるので、chkrootkitが使用するコマンドをコピーしておき、必要な場合にはそのコマンドを使用してchkrootkitを実行する。
chkrootkit使用コマンド退避先ディレクトリ作成
chkrootkit使用コマンドを退避先ディレクトリへコピー
退避したchkrootkit使用コマンドを使用してchkrootkit実行
chkrootkit使用コマンド退避先ディレクトリを圧縮して削除
chkrootkit使用コマンド(圧縮版)をroot宛にメール送信
chkrootkit使用コマンド(圧縮版)削除
タイトルとURLをコピーしました