「エアコンの安全な修理・適切なフロン回収」はこちら

OracleLinux8.6 : SNORT2 , Tripwire , Chkrootkitインストール

SNORT2 インストール

Snortは、IPネットワーク上でリアルタイムのトラフィック分析とパケットロギングを実行できるオープンソースのネットワーク侵入検知システムです。

「プロトコル分析」「コンテンツ検索」「マッチング」を実行でき、「バッファオーバーフロー」「ステルスポートスキャン」「CGI攻撃」「SMBプローブ」「OSフィンガープリント試行」「セマンティックURL攻撃」「サーバメッセージブロック探査」など、さまざまな攻撃検出に使用できます。

1.事前準備

①CodeReady Red Hat リポジトリを追加し、必要なソフトウェアをインストールする

②DAQ のインストール

③Lua のインストール

④偽のリリース ファイルを作成

2. Snort をダウンロード、コンパイル、インストール

偽のリリース ファイルを削除

3.グルーブとユーザー作成、必要なディレクトリー、ファイル作成

下記ファイル作成

設定ファイルのセットアップ・・・すべてのファイルを構成ディレクトリにコピーします。

4.コミュニティルールの使用

①コミュニティルールを取得

②ルールを抽出し、構成フォルダーにコピー

コミュニティルールに含まれていないさまざまなルールファイルがある。
sedコマンドを使用して、不要な行をコメントアウトする。

5. 登録済みユーザールールの取得

Snortのウェブサイトに登録すると、Oink コードを使用して登録済みユーザールールをダウンロードできます。Oink コードは Snort ユーザーアカウントの詳細にあります。
次のコマンドのoinkcode を個人コードに置き換えます。

ダウンロードが完了したら、構成ディレクトリにルールを抽出

6. ネットワークおよびルールの構成

7. 設定の検証

パラメーター -T を使用して構成をテストし、テスト・モードを使用可能にします

エラーが出た場合該当のファイルを /etc/snort/rulesにコピーする
当方の場合、下記のファイルでエラーが出た

unicode.mapエラーが出る場合は

また、「/etc/snort/rules/snort.conf(322) => Invalid keyword '}'」エラーが出る場合
該当行
decompress_swf { deflate lzma } \  をコメントにしてください
# decompress_swf { deflate lzma } \

8. 構成のテスト

①Snort がアラートをログに記録しているかどうかをテストするには、着信 ICMP 接続に関するカスタム検出ルールアラートを local.rules ファイルに追加します。

②コンソールで Snort を起動し、アラートを stdout に出力します。正しいネットワーク インターフェイス(eth0 など)を選択する必要があります

9. バックグラウンドで Snortを実行する

①Snort のスタートアップスクリプトを作成

②サービスを定義した後、systemctl デーモンを再ロードし実行する

Tripwire インストール

1.ダウンロード、インストール

2.パスフレーズ設定

サイトパスフレーズとローカルパスフレーズを設定する

3.Tripwire の設定

①設定ファイル編集

②Tripwire 設定ファイル(暗号署名版)を作成

③Tripwire 設定ファイル(テキスト版)削除

④ポリシーファイル設定

twpolmake.plの内容

⑤ポリシーファイル最適化

⑥最適化済ポリシーファイルを元に、ポリシーファイル(暗号署名版)作成

⑦データベースを作成、動作確認

テスト用ファイルを作成

テスト用ファイルを削除

⑧Tripwire 定期実行スクリプト

tripwire.shの内容

⑨Tripwire 自動実行スクリプト実行設定

参考: メールで結果報告用スクリプト

次のコマンドを実行し、メールが届いていることを確認する

Chkrootkit インストール

①chkrootkit をダウンロード、インストール

➁/root/bin ディレクトリを作成し、そのディレクトリにchkrootkit コマンドを移動
➂chkrootkit を確認します。
何も表示されなければ問題ありません

④chkrootkit 定期実行スクリプトの作成と権限変更

chkrootkit実行スクリプトを毎日自動実行されるディレクトリへ作成

定期実行スクリプトの内容

chkrootkit実行スクリプトへ実行権限付加

⑥chkrootkit が使用するコマンドをバックアップ
chkrootkit が使用するコマンドが改ざんされた場合、rootkit を検出できなくなるので、
これらのコマンドをバックアップしておきます。
必要な場合は、バックアップしたコマンドを使用してchkrootkit を実行します

⑦コピーしたコマンドにchkrootkit を実行

何も表示されなければ問題ありません

⑧バックアップしたコマンドを圧縮
⑨chkrootkit使用コマンド(圧縮版)をroot宛にメール送信
⑩Windows にchkrootkit_cmd.tar.gz ファイルをダウンロードして退避
⑪バックアップしたサーバー上のコマンドを削除
 

タイトルとURLをコピーしました