호스트 기반 침입 탐지 시스템으로 서버 보안 강화하기

호스트 기반 침입 탐지 시스템으로 서버 보안 강화하기

버전 1.0
저자: Falko Timme

이 문서에서는 오픈 소스 호스트 기반 침입 탐지 시스템인 OSSEC HIDS를 설치하고 실행하는 방법을 보여줍니다. 이 시스템은 로그 분석, 무결성 검사, 루트킷 탐지, 시간 기반 경고 및 능동적 응답을 수행합니다. 이를 통해 공격, 소프트웨어 오용, 정책 위반 및 기타 부적절한 활동을 탐지할 수 있습니다.

OSSEC HIDS를 사용하면 여러 시스템을 모니터링할 수 있으며, 하나의 시스템이 OSSEC HIDS 서버가 되고 나머지는 서버에 보고하는 OSSEC HIDS 에이전트가 됩니다. 그러나 이 튜토리얼에서는 단일 시스템만 모니터링할 것이므로 OSSEC HIDS가 해당 시스템에서 로컬로 작업을 수행하도록 “로컬” 설치를 수행합니다.

다음에서는 Debian Sarge (3.1) 시스템을 사용하여 OSSEC HIDS를 설치합니다.

먼저, 이러한 시스템을 설정하는 유일한 방법이 아니라는 점을 말씀드리고 싶습니다. 이 목표를 달성하는 방법은 여러 가지가 있지만, 제가 선택한 방법입니다. 이 방법이 여러분에게도 작동할 것이라는 보장은 하지 않습니다!

1 OSSEC HIDS 설치하기

OSSEC HIDS 설치는 매우 쉽습니다. 소스를 다운로드하고 설치 스크립트를 실행한 후 설치 스크립트의 질문에 답하는 것만으로 이루어집니다. 먼저 OSSEC HIDS 소스를 다운로드하고 압축을 풉니다:

cd /tmp  
wget http://www.ossec.net/files/ossec-hids-0.9-1a.tar.gz  
tar xvfz ossec-hids-0.9-1a.tar.gz

그런 다음 설치 스크립트를 실행합니다:

cd ossec-hids-0.9-1a  
./install.sh

설치 스크립트는 몇 가지 질문을 할 것입니다:

 포르투갈어로 설치하려면 [br]를 선택하세요.  
 독일어 설치를 원하시면 [de]를 선택하세요.  
 영어로 설치하려면 [en]을 선택하세요.  
 스페인어로 설치하려면 [es]를 선택하세요.  
 프랑스어로 설치하려면 [fr]를 선택하세요.  
 이탈리아어로 설치하려면 [it]를 선택하세요.  
 일본어로 설치하려면 [jp]를 선택하세요.  
 폴란드어로 설치하려면 [pl]를 선택하세요.  
 러시아어로 설치하려면 [ru]를 입력하세요.  
 터키어로 설치하려면 [tr]를 선택하세요.  
(en/br/de/es/fr/it/jp/pl/ru/tr) [en]: <-- en (또는 영어를 사용하고 싶지 않다면 다른 옵션 중 하나)

OSSEC HIDS v0.9-1 설치 스크립트 - http://www.ossec.net

OSSEC HIDS 설치 프로세스를 시작하려고 합니다.  
시스템에 C 컴파일러가 미리 설치되어 있어야 합니다.  
질문이나 의견이 있으시면 이메일을 보내주세요  
to [email protected] (또는 [email protected]).

- 시스템: Linux server1.example.com 2.6.8-2-386  
- 사용자: root  
- 호스트: server1.example.com

– 계속하려면 ENTER를 누르거나 중단하려면 Ctrl-C를 누르세요. – <– [ENTER]

1- 어떤 종류의 설치를 원하십니까 (서버, 에이전트, 로컬 또는 도움말)? <– local

• OSSEC HIDS를 설치할 위치 [/var/ossec]: <– /var/ossec

3.1- 이메일 알림을 원하십니까? (y/n) [y]: <– y

• 이메일 주소는 무엇입니까? <– [email protected] (여기에 자신의 이메일 주소를 입력하세요)

• SMTP 서버를 다음과 같이 찾았습니다: mail.example.com.

• 사용하시겠습니까? (y/n) [y]: <– y (일반적으로 다른 SMTP 서버를 사용하고 싶지 않다면 설치자의 제안을 수락할 수 있습니다)

3.2- 무결성 검사 데몬을 실행하시겠습니까? (y/n) [y]: <– y

3.3- 루트킷 탐지 엔진을 실행하시겠습니까? (y/n) [y]: <– y

• 능동적 응답을 활성화하시겠습니까? (y/n) [y]: <– y

• 방화벽 드롭 응답을 활성화하시겠습니까? (y/n) [y]: <– y

• 화이트리스트에 더 많은 IP를 추가하시겠습니까? (y/n)? [n]: <– n (더 많은 IP 주소를 화이트리스트에 추가하고 싶지 않다면)

3.6- 다음 로그를 분석하도록 설정합니다:
– /var/log/messages
– /var/log/auth.log
– /var/log/syslog
– /var/log/mail.info

- 다른 파일을 모니터링하려면 ossec.conf를 변경하고 새 localfile 항목을 추가하세요.  
구성에 대한 질문은 http://www.ossec.net를 방문하여 답변을 받을 수 있습니다.

— 계속하려면 ENTER를 누르세요 — <– [ENTER]

• 시스템은 Linux (SysV)입니다.
• 부팅 시 OSSEC HIDS를 시작하도록 init 스크립트가 수정되었습니다.
  /etc/init.d/ossec에 대한 시스템 시작 추가 …
  /etc/rc0.d/K20ossec -> ../init.d/ossec
  /etc/rc1.d/K20ossec -> ../init.d/ossec
  /etc/rc6.d/K20ossec -> ../init.d/ossec
  /etc/rc2.d/S20ossec -> ../init.d/ossec
  /etc/rc3.d/S20ossec -> ../init.d/ossec
  /etc/rc4.d/S20ossec -> ../init.d/ossec
  /etc/rc5.d/S20ossec -> ../init.d/ossec

- 구성이 제대로 완료되었습니다.

- OSSEC HIDS를 시작하려면:  
/var/ossec/bin/ossec-control start

- OSSEC HIDS를 중지하려면:  
/var/ossec/bin/ossec-control stop

- 구성은 /var/ossec/etc/ossec.conf에서 볼 수 있거나 수정할 수 있습니다.

OSSEC HIDS를 사용해 주셔서 감사합니다.  
질문, 제안 또는 버그를 발견하신 경우,  
[email protected] 또는 공개 메일링 리스트를 통해 문의해 주세요.  
[email protected]  
(http://mailman.underlinux.com.br/mailman/listinfo/ossec-list).

자세한 정보는 http://www.ossec.net에서 확인할 수 있습니다.

— 완료하려면 ENTER를 누르세요 (아래에 더 많은 정보가 있을 수 있습니다). — <– [ENTER]

그게 전부입니다. OSSEC HIDS가 이제 설치되었으며 시작할 준비가 되었습니다.

2 OSSEC HIDS 시작 및 실행하기

OSSEC HIDS를 시작하려면 다음 명령을 실행합니다:

/etc/init.d/ossec start

출력은 다음과 같아야 합니다:

server1:/etc/init.d# /etc/init.d/ossec start  
OSSEC HIDS v0.9-1 (by Daniel B. Cid) 시작 중...  
ossec-maild 시작됨...  
ossec-execd 시작됨...  
ossec-analysisd 시작됨...  
ossec-logcollector 시작됨...  
ossec-syscheckd 시작됨...  
완료되었습니다.  
server1:/etc/init.d#

OSSEC HIDS 설치 중에 보셨겠지만, 설치자는 OSSEC HIDS에 필요한 시스템 시작 링크도 생성했으므로, 시스템을 부팅/재부팅할 때마다 OSSEC HIDS가 자동으로 시작됩니다.

OSSEC HIDS가 시작된 후에는 백그라운드에서 조용히 실행되며 로그 분석, 무결성 검사, 루트킷 탐지 등을 수행합니다. 실행 중인지 확인하려면 다음을 실행합니다:

ps aux

출력에서 다음과 같은 내용을 찾아야 합니다:

ossecm    2038  0.0  0.4  1860  792 ?        S    12:40   0:00 /var/ossec/bin/ossec-maild root      2042  0.0  0.3  1736  648 ?        S    12:40   0:00 /var/ossec/bin/ossec-execd ossec     2046  0.2  0.5  2192 1136 ?        S    12:40   0:00 /var/ossec/bin/ossec-analysisd root      2050  0.0  0.2  1592  556 ?        S    12:40   0:00 /var/ossec/bin/ossec-logcollector root      2054 12.2  0.3  1756  616 ?        S    12:40   0:05 /var/ossec/bin/ossec-syscheckd

OSSEC HIDS 로그 파일은 /var/ossec/logs/ossec.log이므로, tail 명령어를 사용하여 무슨 일이 일어나고 있는지 확인할 수 있습니다.

tail -f /var/ossec/logs/ossec.log

실시간으로 무슨 일이 일어나고 있는지 보여줍니다. 나가려면 CTRL-C를 누르세요.

tail -n 100 /var/ossec/logs/ossec.log

OSSEC HIDS 로그의 마지막 100줄을 보여줍니다.

OSSEC HIDS가 의심스러운 것을 탐지하면, 설치 중에 지정한 이메일 주소로 활동에 대한 보고서를 포함한 이메일을 보냅니다:

OSSEC HIDS의 설정을 변경하고 싶다면 (예: 이메일 주소 변경, 사용자 정의 규칙 세트 추가 등), 구성 파일 /var/ossec/etc/ossec.conf를 편집하여 수행할 수 있습니다 (XML 형식입니다). vi와 같은 명령줄 편집기를 사용하여 수행할 수 있습니다:

vi /var/ossec/etc/ossec.conf

파일은 다음과 같이 보입니다:

| yes [email protected] mail.example.com. [email protected] [...] |

파일을 변경한 경우, OSSEC HIDS를 다시 시작해야 합니다:

/etc/init.d/ossec restart

OSSEC HIDS 구성에 사용자 정의 규칙 세트를 추가하는 방법에 대한 자세한 내용은 OSSEC HIDS 매뉴얼을 참조하세요: http://www.ossec.net/en/manual.html

3 링크

• OSSEC HIDS: http://www.ossec.net