RockyLinux8.8 ; SNORT3+SnortSnarf , Chkrootkit インストール

Snort3 + SnortSnarfインストール

不正アクセス検知システムにネットワーク型IDSのSnortを導入する。
また、Snortが抽出した不正アクセスログをWebブラウザ上で確認できるようにするためにSnortSnarfも導入する。
RockyLinux8はSnortリポジトリがありませんので、ソースコードからSnort3をビルド、コンパイルしてインストールします

事前準備

①ビルドとインストールに必要なビルドツールと依存関係のあるライブラリーをインストール。

EPELをインストールし、Powertoolsリポジトリを有効にします。

②SNORT3のインストール作業ディレクトリー作成

③DAQのダウンロード、インストール

④メモリ使用量の増加時の速度が向上のためgperftoolsインストール

Snort3 ダウンロード、インストール

①Snort3をダウンロードしてインストール

②共有ライブラリを更新

Snort3を構成する

①ネットワークインターフェイスカードを構成

Snortが1518バイトを超える大きなパケットを切り捨てないよう、インターフェイスオフロードを無効にする
現状の確認

GRO,LROがonになっているのてこれを無効にする

システムの再起動後も変更が反映するように、systemdサービスを作成して有効にする

snort3-promisc.serviceの内容

②ルールセットを構成
今回はコミュニティールールをセットします

ルールディレクトリを作成

③Snort3コミュニティルールをダウンロードしてルールディレクトリに保存

④構成ファイルを編集

⑤ルールへのパスを更新

⑥SnortOpenAppIDのインストール(バージョンは最新のものに書き換えてください)

⑦ログディレクトリー作成

⑧構成のチェック

⑨ローカルルールを作成

テスト実行

同じネットワーク内の別のPCからサーバーにpingすると、コンソール画面に以下のように表示される

⑩アラートをログに書き込む

ログディレクトリーにalert_fast.txt ファイルが作成される

構成をチェック

再度、同じネットワーク内の別のPCからサーバーにpingすると今度はコンソール画面には何も表示されないが
ログディレクトリを確認すると、 alert_fast.txt ファイルが作成されました
alert_fast.txt ファイルを確認するには

⑪ローカルルールをsnort.luaに含める

バックグラウンドでSnortを実行

①Snortの非ログインシステムユーザーアカウントを作成

②systemdサービスユニットを作成

snort3.serviceの内容

再起動

ログファイルの所有権と権限を設定

③Snortを起動し、システム起動時に実行できるようにする

ログローテーション設定ファイルを配置

①設定ファイル作成

➁テスト # -fオプションで強制実行する

ログファイル確認

Snortsnarf インストール

①事前準備
PerlのTime-modulesをインストール

Cpanインストール

➁Snortsnarfダウンロード、インストール

➂設定ファイル等編集

④解析結果出力ディレクトリ作成

⑤解析結果へのアクセス制御

⑥実行と確認

ブラウザにて、http://[server IP]/snortsnarf/にアクセスすると下記の画面になればOK

chkrootkit インストール

①chkrootkit をダウンロード、インストール

➁/root/bin ディレクトリを作成し、そのディレクトリにchkrootkit コマンドを移動

➂chkrootkit を確認します。

Searching for Linux.Xor.DDoS … INFECTED: Possible Malicious Linux.Xor.DDoS installed
上記のような表示が出る場合は、/tmp配下に実行フィルがある可能性があります。
/tmp配下のファイルを確認すると「ks-script-xxx」のファイルがありましたので削除し再実行すると
INFECTEDが消えました。

④chkrootkit 定期実行スクリプトの作成と権限変更
chkrootkit実行スクリプトを毎日自動実行されるディレクトリへ作成

chkrootkit の内容

chkrootkitに実行権限

④chkrootkitで使用するコマンドの確保
chkrootkitが使用するコマンドが改竄されていた場合、rootkitを正常に検出できなくなるので、chkrootkitが使用するコマンドをコピーしておき、必要な場合にはそのコマンドを使用してchkrootkitを実行する。

chkrootkit使用コマンド退避先ディレクトリ作成

chkrootkit使用コマンドを退避先ディレクトリへコピー

退避したchkrootkit使用コマンドを使用してchkrootkit実行

chkrootkit使用コマンド退避先ディレクトリを圧縮して削除

chkrootkit使用コマンド(圧縮版)をroot宛にメール送信

chkrootkit使用コマンド(圧縮版)削除

タイトルとURLをコピーしました