「エアコンの安全な修理・適切なフロン回収」はこちら

Rocky Linux8.6 : SNORT2 ,Tripwire ,Chkrootkitインストール

2022.06.08

SNORT2 インストール

SNORT3をインストールする場合は下記を参照

Rocky Linux8.6 : SNORT3+SnortSnarf インストール
Snort3 + SnortSnarfインストール不正アクセス検知システムにネットワーク型IDSのSnortを導入する。また、Snortが抽出した不正アクセスログをWebブラウザ上で確認できるようにするためにSnortSnarfも導入する。RockyLinux8はSnortリポジトリがありませんので、ソースコードからSnort3をビルド、コンパイルしてインストールします事前準備①ビルドとインストールに必要なビルドツールと依存関係のあるライブラリーをインストール。EPELをインストールし、Powertoolsリポジトリを有効にします。
korodes.com
2022.06.20

1.事前準備

①CodeReady Red Hat リポジトリを追加し、必要なソフトウェアをインストールする

②DAQ のインストール

③Lua のインストール

④偽のリリース ファイルを作成

2. Snort をダウンロード、コンパイル、インストール

偽のリリース ファイルを削除

3.グルーブとユーザー作成、必要なディレクトリー、ファイル作成

設定ファイルのセットアップ・・・すべてのファイルを構成ディレクトリにコピーします。

4.コミュニティルールの使用

①コミュニティルールを取得

②ルールを抽出し、構成フォルダーにコピー

コミュニティルールに含まれていないさまざまなルールファイルがある。
sedコマンドを使用して、不要な行をコメントアウトする。

5. 登録済みユーザールールの取得

Snortのウェブサイトに登録すると、Oink コードを使用して登録済みユーザールールをダウンロードできます。Oink コードは Snort ユーザーアカウントの詳細にあります。
次のコマンドのoinkcode を個人コードに置き換えます。

ダウンロードが完了したら、構成ディレクトリにルールを抽出

6. ネットワークおよびルールの構成

7. 設定の検証

パラメーター -T を使用して構成をテストし、テスト・モードを使用可能にします

エラーが出た場合該当のファイルを /etc/snort/rulesにコピーする
当方の場合、下記のファイルでエラーが出た

unicode.mapエラーが出る場合は

また、「/etc/snort/rules/snort.conf(322) => Invalid keyword '}'」エラーが出る場合
該当行
decompress_swf { deflate lzma } \  をコメントにしてください
# decompress_swf { deflate lzma } \

8. 構成のテスト

①Snort がアラートをログに記録しているかどうかをテストするには、着信 ICMP 接続に関するカスタム検出ルールアラートを local.rules ファイルに追加します。

②コンソールで Snort を起動し、アラートを stdout に出力します。正しいネットワーク インターフェイス(eth0 など)を選択する必要があります

9. バックグラウンドで Snortを実行する

①Snort のスタートアップスクリプトを作成

②サービスを定義した後、systemctl デーモンを再ロードし実行する

Tripwire インストール

1.ダウンロード、インストール

2.パスフレーズ設定

サイトパスフレーズとローカルパスフレーズを設定する

3.Tripwire の設定

①設定ファイル編集

②Tripwire 設定ファイル(暗号署名版)を作成

③Tripwire 設定ファイル(テキスト版)削除

④ポリシーファイル設定

twpolmake.plの内容

⑤ポリシーファイル最適化

⑥最適化済ポリシーファイルを元に、ポリシーファイル(暗号署名版)作成
⑦データベースを作成、動作確認
⑧Tripwire 定期実行スクリプト
tripwire.shの内容
⑨Tripwire 自動実行スクリプト実行設定

参考: メールで結果報告用スクリプト

Chkrootkit インストール

①chkrootkit をダウンロード、インストール

➁/root/bin ディレクトリを作成し、そのディレクトリにchkrootkit コマンドを移動
➂chkrootkit を確認します。
何も表示されなければ問題ありません

Searching for Linux.Xor.DDoS ... INFECTED: Possible Malicious Linux.Xor.DDoS installed
上記のエラーが出る場合
/tmp配下に実行可能なファイルがある場合に起こる誤検知と思われます。
当方の場合下記のファイルを実行不可にしました。
④chkrootkit 定期実行スクリプトの作成と権限変更

chkrootkit実行スクリプトを毎日自動実行されるディレクトリへ作成

定期実行スクリプトの内容

chkrootkit実行スクリプトへ実行権限付加

⑥chkrootkit が使用するコマンドをバックアップ
chkrootkit が使用するコマンドが改ざんされた場合、rootkit を検出できなくなるので、
これらのコマンドをバックアップしておきます。
必要な場合は、バックアップしたコマンドを使用してchkrootkit を実行します

⑦コピーしたコマンドにchkrootkit を実行

何も表示されなければ問題ありません

⑧バックアップしたコマンドを圧縮
⑨chkrootkit使用コマンド(圧縮版)をroot宛にメール送信
⑩Windows にchkrootkit_cmd.tar.gz ファイルをダウンロードして退避
⑪バックアップしたサーバー上のコマンドを削除
 

タイトルとURLをコピーしました