「業務用エアコンのエラーコード」はこちら

OracleLinux8.8 ; SNORT3 , Tripwire , Chkrootkit インストール

SNORT3 インストール

Snortは、IPネットワーク上でリアルタイムのトラフィック分析とパケットロギングを実行できるオープンソースのネットワーク侵入検知システムです。

「プロトコル分析」「コンテンツ検索」「マッチング」を実行でき、「バッファオーバーフロー」「ステルスポートスキャン」「CGI攻撃」「SMBプローブ」「OSフィンガープリント試行」「セマンティックURL攻撃」「サーバメッセージブロック探査」など、さまざまな攻撃検出に使用できます。

1.事前準備

①CodeReady Red Hat リポジトリを追加し、必要なソフトウェアをインストールする

必要なビルドツールとライブラリをインストール

②DAQ のインストール
作業ディレクトリーを作成し、そのディレクトリーに移動し進める

③Tcmallocインストール

2. Snort をダウンロード、コンパイル、インストール

バージョンについては最新のものに変更してください

共有ライブラリを更新

バージョンを確認

3. ネットワークインターフェースカードの設定

Snortがネットワークトラフィックをリッスンしているインタフェースをプロミスキャスモードにして、Snortに送信されたすべてのネットワークトラフィックを参照できるようにします。

検証

インターフェイス オフロードを無効にする
まずこの機能が有効になっているかどうかを確認

GRO,LROを無効にする

システムの再起動後も変更が持続するように、systemd サービスユニットを作成して有効にし、変更を反映する

設定をリロードして、起動時にサービスを開始し、有効にする

4.コミュニティルールの使用

Snort Rulesディレクトリを作成

Snort 3ダウンロードページからSnort 3コミュニティルールをダウンロード
ルールを抽出し、構成フォルダーにコピー

構成フォルダーの中を確認する

5. メイン設定ファイル編集

OpenAppID インストール
Snort 3のダウンロードページからSnort OpenAppIDをダウンロードしインストール
バージョンについては最新のものに変更してください

snort 3設定ファイルを編集し、OpenAppIDライブラリの場所を定義

Snorts ログディレクトリー作成

設定ファイルのチェック

チェックの結果次のように表示されればOK

6. カスタムローカルルールを作成

7. 設定の検証

パラメーター -T を使用して構成をテストし、テスト・モードを使用可能にします

次に、以下のコマンドを実行してテストを実行する

同じローカルネットワーク内の別のPCから本サーバーにpingを実行すると、下記のように本サーバーコンソール画面ににアラート行が書き出される

ログファイルに書き込む設定

構文チェックを実行

今度は、-A alert_fastというオプションはつけずに、-l /var/log/snortというログ・ディレクトリを指定するオプションをつけ実行する

l別のPCからpingを実行するとlogsディレクトリをチェックすると、alert_fast.txtファイルが作成されている

snort.luaにローカルルールを含める

8. Snort用のユーザー作成

Snort用の非ログイン システム ユーザー アカウントを作成

9. Snort用のsystemdサービスユニットを作成

systemdの設定をリロードする

ログファイルの所有権とパーミッションを設定

システム起動時にSnortを起動し、実行できるようにする

ステータスチェック

Tripwire インストール

1.ダウンロード、インストール

2.パスフレーズ設定

サイトパスフレーズとローカルパスフレーズを設定する

3.Tripwire の設定

①設定ファイル編集

②Tripwire 設定ファイル(暗号署名版)を作成

③Tripwire 設定ファイル(テキスト版)削除

④ポリシーファイル設定

twpolmake.plの内容

⑤ポリシーファイル最適化

⑥最適化済ポリシーファイルを元に、ポリシーファイル(暗号署名版)作成

⑦データベースを作成、動作確認

テスト用ファイルを作成

テスト用ファイルを削除

⑧Tripwire 定期実行スクリプト

tripwire.shの内容

⑨Tripwire 自動実行スクリプト実行設定

参考: メールで結果報告用スクリプト

次のコマンドを実行し、メールが届いていることを確認する

Chkrootkit インストール

①chkrootkit をダウンロード、インストール

➁/root/bin ディレクトリを作成し、そのディレクトリにchkrootkit コマンドを移動

➂chkrootkit を確認

何も表示されなければ問題ありませんが
Searching for Linux.Xor.DDoS … INFECTED: Possible Malicious Linux.Xor.DDoS installed
と表示される場合
/tmp 下に、実行可能形式のファイルがあると、それを Linux.Xor.DDoS として検出するようですので
/tmp配下にある実行可能形式のファイルを実行不可にするか問題なければ削除します

④chkrootkit 定期実行スクリプトの作成と権限変更

chkrootkit実行スクリプトを毎日自動実行されるディレクトリへ作成

定期実行スクリプトの内容

chkrootkit実行スクリプトへ実行権限付加

⑥chkrootkit が使用するコマンドをバックアップ
chkrootkit が使用するコマンドが改ざんされた場合、rootkit を検出できなくなるので、
これらのコマンドをバックアップしておきます。
必要な場合は、バックアップしたコマンドを使用してchkrootkit を実行します