セキュリティ · 1 min read · Oct 20, 2025

ホストベースの侵入検知システムでサーバーを保護する

ホストベースの侵入検知システムでサーバーを保護する

バージョン 1.0
著者: Falko Timme

この記事では、オープンソースのホストベースの侵入検知システムであるOSSEC HIDSのインストールと実行方法を示します。これは、ログ分析、整合性チェック、ルートキット検出、時間ベースのアラート、およびアクティブレスポンスを実行します。攻撃、ソフトウェアの誤用、ポリシー違反、その他の不適切な活動を検出するのに役立ちます。

OSSEC HIDSを使用すると、1つのシステムがOSSEC HIDSサーバーで、他のシステムがサーバーに報告するOSSEC HIDSエージェントである複数のシステムを監視できます。しかし、このチュートリアルでは、1つのシステムだけを監視したいので、OSSEC HIDSがそのシステムでローカルに作業を行うように「ローカル」インストールを行います。

以下では、Debian Sarge (3.1) システムを使用してOSSEC HIDSをインストールします。

まず、このようなシステムを設定する唯一の方法ではないことを言いたいと思います。この目標を達成する方法はたくさんありますが、私が取る方法です。これがあなたにとって機能することを保証するものではありません!

1 OSSEC HIDSのインストール

OSSEC HIDSのインストールは非常に簡単で、ソースをダウンロードし、インストールスクリプトを実行し、インストールスクリプトの質問に答えるだけです。まず、OSSEC HIDSのソースをダウンロードして解凍します:

cd /tmp  
wget http://www.ossec.net/files/ossec-hids-0.9-1a.tar.gz  
tar xvfz ossec-hids-0.9-1a.tar.gz

次に、インストールスクリプトを実行します:

cd ossec-hids-0.9-1a  
./install.sh

インストールスクリプトは、いくつかの質問をします:

 ポルトガル語でのインストールには [br] を選択してください。  
 ドイツ語のインストールには [de] を選択してください。  
 英語でのインストールには [en] を選択してください。  
 スペイン語でインストールするには、[es] を選択してください。  
 フランス語でのインストールには [fr] を選択してください。  
 イタリア語でのインストールには [it] を選択してください。  
 日本語でのインストールには [jp] を選択してください。  
 ポーランド語でのインストールには [pl] を選択してください。  
 ロシア語でのインストールには [ru] を選択してください。  
 トルコ語でのインストールには [tr] を選択してください。  
(en/br/de/es/fr/it/jp/pl/ru/tr) [en]: <-- en (または他のオプションのいずれかを選択してください。英語を使用したくない場合)

OSSEC HIDS v0.9-1 インストールスクリプト - http://www.ossec.net

OSSEC HIDSのインストールプロセスを開始しようとしています。  
システムにCコンパイラが事前にインストールされている必要があります。  
質問やコメントがある場合は、メールを送信してください  
to [email protected] (または [email protected])。
- システム: Linux server1.example.com 2.6.8-2-386  
- ユーザー: root  
- ホスト: server1.example.com

– 続行するにはENTERを押すか、Ctrl-Cで中止します。 – <– [ENTER]

1- どの種類のインストールを希望しますか (サーバー、エージェント、ローカル、またはヘルプ)? <– local

  • OSSEC HIDSをインストールする場所を選択してください [/var/ossec]: <– /var/ossec

3.1- Eメール通知を希望しますか? (y/n) [y]: <– y

  • あなたのメールアドレスは何ですか? <– [email protected] (ここに自分のメールアドレスを入力してください)

  • SMTPサーバーが次のように見つかりました: mail.example.com。

  • それを使用しますか? (y/n) [y]: <– y (通常、他のSMTPサーバーを使用したくない限り、インストーラーの提案を受け入れることができます)

3.2- 整合性チェックデーモンを実行しますか? (y/n) [y]: <– y

3.3- ルートキット検出エンジンを実行しますか? (y/n) [y]: <– y

  • アクティブレスポンスを有効にしますか? (y/n) [y]: <– y

  • ファイアウォールドロップレスポンスを有効にしますか? (y/n) [y]: <– y

  • ホワイトリストに追加するIPを増やしますか? (y/n)? [n]: <– n (他のIPアドレスをホワイトリストに追加したくない限り)

3.6- 次のログを分析するための設定:
– /var/log/messages
– /var/log/auth.log
– /var/log/syslog
– /var/log/mail.info

- 他のファイルを監視したい場合は、ossec.confを変更し、新しいlocalfileエントリを追加してください。  
設定に関する質問は、http://www.ossec.net を訪問することで回答できます。

— ENTERを押して続行 — <– [ENTER]

  • システムはLinux (SysV)です。
  • 起動時にOSSEC HIDSを開始するためにinitスクリプトが修正されました。
    /etc/init.d/ossecのシステム起動を追加しています…
    /etc/rc0.d/K20ossec -> ../init.d/ossec
    /etc/rc1.d/K20ossec -> ../init.d/ossec
    /etc/rc6.d/K20ossec -> ../init.d/ossec
    /etc/rc2.d/S20ossec -> ../init.d/ossec
    /etc/rc3.d/S20ossec -> ../init.d/ossec
    /etc/rc4.d/S20ossec -> ../init.d/ossec
    /etc/rc5.d/S20ossec -> ../init.d/ossec
- 設定が正常に終了しました。
- OSSEC HIDSを開始するには:  
/var/ossec/bin/ossec-control start
- OSSEC HIDSを停止するには:  
/var/ossec/bin/ossec-control stop
- 設定は/var/ossec/etc/ossec.confで表示または変更できます
OSSEC HIDSをご利用いただきありがとうございます。  
質問、提案、またはバグを見つけた場合は、  
[email protected] までご連絡いただくか、  
[email protected] の公開メーリングリストをご利用ください。  
(http://mailman.underlinux.com.br/mailman/listinfo/ossec-list).
詳細情報はhttp://www.ossec.netで見つけることができます

— 完了するにはENTERを押してください (以下にさらに情報があるかもしれません)。 — <– [ENTER]

これで、OSSEC HIDSがインストールされ、開始する準備が整いました。

2 OSSEC HIDSの開始と実行

OSSEC HIDSを開始するには、次のコマンドを実行します:

/etc/init.d/ossec start

出力は次のようになります:

server1:/etc/init.d# /etc/init.d/ossec start  
OSSEC HIDS v0.9-1 (by Daniel B. Cid)を開始しています...  
ossec-maildを開始しました...  
ossec-execdを開始しました...  
ossec-analysisdを開始しました...  
ossec-logcollectorを開始しました...  
ossec-syscheckdを開始しました...  
完了しました。  
server1:/etc/init.d#

OSSEC HIDSのインストール中に見たかもしれませんが、インストーラーはOSSEC HIDSの必要なシステム起動リンクも作成したため、システムを起動/再起動するたびにOSSEC HIDSが自動的に開始されます。

OSSEC HIDSが開始された後は、バックグラウンドで静かに実行され、ログ分析、整合性チェック、ルートキット検出などを行います。実行中かどうかを確認するには、次のコマンドを実行します。

ps aux

出力には次のようなものが含まれているはずです:

ossecm    2038  0.0  0.4  1860  792 ?        S    12:40   0:00 /var/ossec/bin/ossec-maild root      2042  0.0  0.3  1736  648 ?        S    12:40   0:00 /var/ossec/bin/ossec-execd ossec     2046  0.2  0.5  2192 1136 ?        S    12:40   0:00 /var/ossec/bin/ossec-analysisd root      2050  0.0  0.2  1592  556 ?        S    12:40   0:00 /var/ossec/bin/ossec-logcollector root      2054 12.2  0.3  1756  616 ?        S    12:40   0:05 /var/ossec/bin/ossec-syscheckd

OSSEC HIDSのログファイルは/var/ossec/logs/ossec.logですので、何が起こっているのかを確認するために、たとえばtailコマンドを使用して確認できます。

tail -f /var/ossec/logs/ossec.log

リアルタイムで何が起こっているかを表示します。終了するにはCTRL-Cを押してください。

tail -n 100 /var/ossec/logs/ossec.log

OSSEC HIDSのログの最後の100行を表示します。

OSSEC HIDSが何か疑わしいものを検出すると、インストール中に指定したメールアドレスに活動に関するレポートを含むメールを送信します:

OSSEC HIDSの設定を変更したい場合(たとえば、メールアドレスを変更する、カスタムルールセットを追加するなど)、/var/ossec/etc/ossec.confという設定ファイルを編集することで行えます(XML形式です)。コマンドラインエディタ(例: vi)を使用してこれを行うことができます:

vi /var/ossec/etc/ossec.conf

ファイルは次のようになります:

| yes [email protected] mail.example.com. [email protected] [...] |

ファイルを変更した場合は、その後OSSEC HIDSを再起動することを忘れないでください:

/etc/init.d/ossec restart

カスタムルールセットをOSSEC HIDSの設定に追加する方法については、OSSEC HIDSマニュアルを参照してください: http://www.ossec.net/en/manual.html

3 リンク

Share: X/Twitter LinkedIn
#セキュリティ

新しい投稿を受信箱で受け取る

スパムはありません。いつでも購読を解除できます。