セキュリティ · 2 min read · Oct 17, 2025

侵入検知: Snort (IDS)、OSSEC (HbIDS) および Prelude (HIDS) の Ubuntu Gutsy Gibbon - ページ 3

パート 3 : Ossec のインストールと設定

まず最初に、ossec ソースをダウンロードして解凍します:

cd /src  
wget http://www.ossec.net/files/ossec-hids-1.4.tar.gz  
tar xvzf ossec-hids-1.4.tar.gz

次に、prelude サポートを追加するために以下を実行します:

cd ossec-hids-xx  
cd src  
make setprelude

次に、Config.OS を編集し、すべての行の前に -lgcc_s を追加します

-lpthread のように:

CPRELUDE=-DPRELUDE -lprelude -pthread -lgcc_s -L/usr/lib -lprelude -lgnutls -lgcrypt -lrt -ldl

この HOWTO の大部分は、非常にわかりやすい OSSEC-HID のインストールマニュアルから直接引用されています。問題が発生した場合は、常に最新の情報が記載されているマニュアルを最初に確認してください。

次は簡単な部分です。Ossec には、すべての面倒な作業を行うインストールスクリプト install.sh が付属しています。

cd ..   
./install.sh

読みたい言語を選択し、エンターを押してください。

ポルトガル語でのインストールには [br] を選択してください。 ドイツ語でのインストールには [de] を選択してください。
英語でのインストールには [en] を選択してください。 イタリア語でのインストールには [it] を選択してください。
ポーランド語でのインストールには [pl] を選択してください。 トルコ語でのインストールには [tr] を選択してください。
(en/br/de/it/pl/tr) [en]: en

次に、マシンに C コンパイラが必要であることを警告し、コンピュータに関する一般的な情報(カーネルバージョン、ユーザー、ホスト)を提供します。

そのままエンターを押してください。

OSSEC HIDS のインストールプロセスを開始しようとしています。
システムに事前に C コンパイラがインストールされている必要があります。
質問やコメントがある場合は、[email protected](または [email protected])までメールを送信してください。

  • システム: Linux 一部の情報
  • ユーザー: root
  • ホスト: あなたのホスト名
    – 続行するには ENTER を押すか、Ctrl-C で中止します。 –

次に、ローカルインストールを選択します:

1- どの種類のインストールを希望しますか (サーバー、エージェント、ローカル、またはヘルプ)? local

次に、インストール先を選択します。デフォルトを使用するか、変更したい場合は変更してください。ただし、この HOWTO ではデフォルトの場所を前提とします。

OSSEC HIDS をインストールする場所を選択してください [/var/ossec]:

次に、通知オプションを選択します。この HOWTO で使用される回答を選択するか、別のものを選択できます。すべてに「Y」を設定することをお勧めします。アクティブレスポンスは本当に便利です。回答とシステム上で見つかった特定のものに基づいて、いくつかのデフォルトの設定変数が設定されます。

3- OSSEC HIDS の設定。
  
  3.1- Eメール通知を希望しますか? (y/n) [y]: y  
   - あなたのメールアドレスは何ですか? [email protected]  
   - あなたの SMTP サーバーの IP/ホストは何ですか? あなたの SMTP サーバーアドレス (localhost)  
  
  3.2- 整合性チェックデーモンを実行しますか? (y/n) [y]: y  
  
   - syscheck を実行中 (整合性チェックデーモン)。  
  
  3.3- rootkit 検出エンジンを実行しますか? (y/n) [y]: y  
  
   - rootcheck を実行中 (rootkit 検出)。  
  
  3.4- アクティブレスポンスにより、受信したイベントに基づいて特定のコマンドを実行できます。たとえば、IP アドレスをブロックしたり、特定のユーザーのアクセスを無効にしたりできます。  
       詳細情報は次のリンクを参照してください:  
       http://www.ossec.net/en/manual.html#active-response  
  
   - アクティブレスポンスを有効にしますか? (y/n) [y]: y  
  
     - アクティブレスポンスが有効になりました。  
  
   - デフォルトでは、ホスト拒否とファイアウォールドロップのレスポンスを有効にできます。最初のものは /etc/hosts.deny にホストを追加し、2 番目のものは iptables(Linux の場合)または ipfilter(Solaris、FreeBSD、または NetBSD の場合)でホストをブロックします。  
   - これらは SSHD のブルートフォーススキャン、ポートスキャン、およびその他の攻撃の形態を停止するために使用できます。また、たとえば snort イベントでブロックするために追加することもできます。  
  
   - ファイアウォールドロップレスポンスを有効にしますか? (y/n) [y]: y  
  
     - ファイアウォールドロップが有効になりました (ローカル) レベル >= 6  
  
   - アクティブレスポンスのデフォルトホワイトリスト:  
      - 192.168.2.1  
  
   - ホワイトリストに追加する IP をもっと追加しますか? (y/n)? [n]: n  
  
  3.6- 次のログを分析するための設定:  
    -- /var/log/messages  
    -- /var/log/auth.log  
    -- /var/log/syslog  
    -- /var/log/mail.info  
    -- /var/log/apache2/error.log (apache log)  
    -- /var/log/apache2/access.log (apache log)  
  
 - 他のファイルを監視したい場合は、ossec.conf を変更し、新しい localfile エントリを追加してください。  
   設定に関する質問は、http://www.ossec.net を訪問することで回答できます。  
  
   --- 続行するには ENTER を押してください ---

これで、すべてをコンパイルします。完了するまでそれほど時間はかからないはずです。私のボックスでは約 1-2 分かかりました。完了したら、エンターを押して終了します。

  • 不明なシステム。初期化スクリプトは追加されませんでした。
  • 設定が正常に完了しました。
  • OSSEC HIDS を開始するには: /var/ossec/bin/ossec-control start
  • OSSEC HIDS を停止するには: /var/ossec/bin/ossec-control stop
  • 設定は /var/ossec/etc/ossec.conf で表示または変更できます
    OSSEC HIDS を使用していただきありがとうございます。質問、提案、またはバグを見つけた場合は、[email protected] または [email protected] にご連絡ください (http://mailman.underlinux.com.br/mailman/listinfo/ossec-list)。詳細情報は http://www.ossec.net で確認できます。
    — 終了するには ENTER を押してください (以下にさらに情報があるかもしれません)。 —

残念ながら、Ubuntu を検出できないため、初期化スクリプトは作成されません。これは簡単に対処できます。(はい、基本的です。改善したい場合は自由に行ってください)以下を /etc/init.d/ossec にコピーして貼り付けます:

#!/bin/sh
 
case "$1" in
start)
  /var/ossec/bin/ossec-control start
;;
stop)
  /var/ossec/bin/ossec-control stop
;;
restart)
  $0 stop && sleep 3
  $0 start
;;
reload)
  $0 stop
  $0 start
;;
*)
echo "Usage: $0 {start|stop|restart|reload}"
exit 1
esac

次に、実行可能にします:

chmod +x /etc/init.d/ossec

ブート時に開始されるようにランレベルに追加します:

update-rc.d ossec defaults

ossec.conf

/var/ossec/etc/ossec.conf

ossec

prelude:


 ...
yes

最後に、preludeossec をエージェントとして追加します:

prelude-adduser registration-server prelude-manager

管理サーバーで次を実行します:

prelude-adduser register OSSEC "idmef:w" localhost --uid ossec --gid ossec

注意: センサー名は大文字でなければなりません > OSSEC。

OSSEC を初期化スクリプトで起動します。OSSEC (1.4 バージョン) は今や ubuntu/debian OS を検出し、初期化スクリプトが機能します!または RShadow スクリプトを使用します。

これが表示されれば、あなたは稼働しています。

OSSEC HIDS v1.4 を起動中 (Daniel B. Cid による)…
127.0.0.1:4690 の prelude Manager サーバーに接続中。
TLS 認証が Prelude Manager で成功しました。

次に、prewikka をインストールした URL に移動し、ユーザー admin とパスワード admin でログインします。このパスワードは直ちに変更して、不正アクセスを防いでください。

Share: X/Twitter LinkedIn
#セキュリティ

新しい投稿を受信箱で受け取る

スパムはありません。いつでも購読を解除できます。