スキップしてメイン コンテンツに移動

AWSでOSSECを導入する

前回の調査に引き続き、クラウドにおける侵入検知の一つの方式として、AWSにOSSECを導入してみました。



IDSとは
IDSはInstrusion Detection Systemの略称であり、日本語では「侵入検知システム」と呼ばれます。
IDSは大きくネットワーク型(Network IDS/NIDS)とホスト型IDS(Host IDS/HIDS)に分類されます。両者とも、検知した際にアラートを表示・記録・通知を行うことで管理者が迅速な対応を行えることを目的としています。

ネットワーク型はネットワークパケットを監視してルールベースのパターンマッチングを行い、不正アクセスや悪意ある通信と思われるパケットを検知します。また検知と同時に通信の遮断も行えるものがあり、一般的にIDPやIPS(Intrusion Detection and Protection System)と呼ばれます。現在Firewallなどのネットワーク機器に組み込まれたIDPはProtectionの機能を備えたものが主流です(例えばFortigateやSonicWallなど)。
ネットワーク型IDSとして代表的なものにSnortがあります。商用製品としてはインターネット・セキュリティ・システムズ(ISS)社のRealSecure Network Sensorが超メジャー製品でしたが、2006年にIBMに買収されて現在はほぼ死に体です...

ホスト型はサーバ上のI/Oを監視し、不正アクセスと思われる行為を検知します。検知手法としてはシステムログの監視や、ある瞬間のファイルスナップショットとの差異を確認することによる改ざん検知などがあります。
ホスト型IDSとして代表的なものにtripwireinotify(ionotify-tools)aide、そして今回導入するossecなどがあります。

OSSECについて
OSSECはGPL v2ライセンスにて配布されているオープンソース・ソフトウェアであり、ホスト型IDSです。サーバとエージェントで構成されており、サーバにてアラートの一元管理を行うことが可能です。マルチプラットフォームに対応しており、監視項目もログ監視、ファイル整合性チェック、Windowsレジストリ監視、rootkitの検出などの機能を有しています。


AWSでのOSSECの導入
OSSECは大きくサーバとエージェントの二つに分けて導入作業を行います。

(1)事前準備
サーバ用とエージェント用の二つのSecurity Groupを作成します。OSSECはサーバ側でinput 1514/udpをオープンする必要があります。またWebUIを使用するためのHTTP(80/tcp)の開放も必要になります。
agent -- input -- any:22/tcp(SSH)
        -- output -- any:any
server -- input -- agent:1514/udp
                     -- any:22/tcp(SSH)
                     -- any:80/tcp(HTTP)
        -- output -- any:any
(2)サーバの導入
OSSECのパッケージはCentOSのサードパーティリポジトリであるAtomic Repoに登録されています。まずはyumにリポジトリを追加します。
$ sudo rpm -Uvh http://www.atomicorp.com/channels/atomic/centos/6/x86_64/RPMS/atomic-release-1.0-16.el6.art.noarch.rpm

yumコマンドでOSSECメインパッケージとサーバパッケージをインストールします。
$ sudo yum install ossec-hids ossec-hids-server

OSSECを起動します。
$ sudo service ossec-hids start

次にOSSECのWeb-UIをインストールし、環境設定します。Web-UIはApacheとPHPが必要になります。php.iniのセキュリティ設定は見直しておきましょう。
$ sudo yum install httpd php

OSSECのWebサイトからWeb-UIのバイナリをダウンロードし、Webコンテンツディレクトリに展開します。
$ wget http://www.ossec.net/files/ossec-wui-0.3.tar.gz
$ tar xvzf ossec-wui-0.3.tar.gz
$ sudo mv ossec-wui-0.3 /var/www/html/ossec

Web-UIのセットアップスクリプトを実行します。
$ cd /var/www/html/ossec
$ sudo ./setup.sh
Setting up ossec ui...

Username: "ユーザー名"
New password: "パスワード"
Re-type new password: "パスワード"
Adding password for user "ユーザー名"

Setup completed successfuly.

gpasswdコマンドで、ユーザapacheをグループossecに追加します。
$ sudo gpasswd -a apache ossec
Adding user apache to group ossec

Webサーバを起動します。
$ sudo service ossec-hids restart
$ sudo service httpd start

「http://IPアドレス/ossec/index.php」にアクセスするとOSSEC Web-UIが表示されます。


次にエージェント定義を追加します。
$ sudo /var/ossec/bin/manage_agents

****************************************
* OSSEC HIDS v2.7 Agent manager.     *
* The following options are available: *
****************************************
   (A)dd an agent (A).
   (E)xtract key for an agent (E).
   (L)ist already added agents (L).
   (R)emove an agent (R).
   (Q)uit.
Choose your action: A,E,L,R or Q: A

- Adding a new agent (use '\q' to return to the main menu).
  Please provide the following:
   * A name for the new agent: agents
   * The IP Address of the new agent: 172.31.0.100
   * An ID for the new agent[001]:
Agent information:
   ID:001
   Name: agents
   IP Address: 172.31.0.100

Confirm adding it?(y/n): y
Agent added.
エージェントとサーバを結びつけするために使用するKeyの設定を行います。
****************************************
* OSSEC HIDS v2.7 Agent manager.     *
* The following options are available: *
****************************************
   (A)dd an agent (A).
   (E)xtract key for an agent (E).
   (L)ist already added agents (L).
   (R)emove an agent (R).
   (Q)uit.
Choose your action: A,E,L,R or Q: e

Available agents:
   ID: 001, Name: agents, IP: 172.31.0.100
Provide the ID of the agent to extract the key (or '\q' to quit): 001

Agent key information for '001' is:
MDAyIGFnZW50cyAxNzIuMzEuMC4wLzE2IGY5ZmZhMGFhNDU3ODVhMzFlNjVhNjAyMDAzYWUxOTFlODUxZjkwMDM2MWM3MzRkNGQxYjk4YTZhYmQ5ZWJkNDE=

** Press ENTER to return to the main menu.
 以上でサーバ側の設定は終了です。

(3)エージェントの導入
サーバと同様にAtomic RepoからOSSECメインパッケージとクライアントパッケージをインストールします。
$ sudo rpm -Uvh http://www.atomicorp.com/channels/atomic/centos/6/x86_64/RPMS/atomic-release-1.0-16.el6.art.noarch.rpm
$ sudo yum install ossec-hids ossec-hids-client

OSSECの設定ファイルは/var/ossec/etc/ossec.confですが、クライアントパッケージの場合/var/ossec/etc/ossec-agent.confのリンクになっています。ossec-agent.confを編集し、サーバのIPアドレスを指定します。
$ sudo vi /var/ossec/etc/ossec-agent.conf
... 略 ...
<server-ip>172.31.0.10</server-ip>
... 略 ... 

次にサーバ側で作成したKeyをインポートします。
$ sudo /var/ossec/bin/manage_client
****************************************
* OSSEC HIDS v2.7 Agent manager.     *
* The following options are available: *
****************************************
   (I)mport key from the server (I).
   (Q)uit.
Choose your action: I or Q: i

* Provide the Key generated by the server.
* The best approach is to cut and paste it.
*** OBS: Do not include spaces or new lines.

Paste it here (or '\q' to quit): MDAyIGFnZW50cyAxNzIuMzEuMC4wLzE2IGY5ZmZhMGFhNDU3ODVhMzFlNjVhjAyMDAzYWUxOTFlODUxZjkwMDM2MWM3MzRkNGQxYjk4YTZhYmQ5ZWJkNDE=

Agent information:
   ID:001
   Name:agents
   IP Address:172.31.0.100

Confirm adding it?(y/n): y
Added.
** Press ENTER to return to the main menu.

最後にOSSECエージェントを起動します。
$ sudo /var/ossec/bin/ossec-client.sh start
Starting OSSEC HIDS v2.7 (by Trend Micro Inc.)...
2013/10/21 04:51:14 DEBUG: I am creating the SQLite table.
Started ossec-execd...
Started ossec-agentd...
2013/10/21 04:51:14 ossec-logcollector(1103): ERROR: Unable to open file '/queue/ossec/.agent_info'.
Started ossec-logcollector...
2013/10/21 04:51:14 ossec-config(1756): ERROR: Duplicated directory given: '/etc'.
2013/10/21 04:51:14 ossec-config(1756): ERROR: Duplicated directory given: '/bin'.
Started ossec-syscheckd...
Completed.
初回のみagent_infoファイルが無いエラーが発生します。またDuplicatedエラーはは/var/ossec/etc/ossec.confと/var/ossec/etc/shared/agent.confに二重で設定されているために発生しているようですが、起動としては問題ありません。本来は修正すべき点です。

最後に
今回はAWSにOSSECをインストールし、サーバ1台とエージェント1台の構成を作成しましたが、OSSECの集中管理という利点を活かすためにはVyattaなど他OSのログの集積なども検討が必要だと思います。
またサーバ側でmanage_agentsを使ってエージェントを登録する際にIPサブネットを指定することが出来ますが、複数のサーバで同じエージェント定義を使ったところ、2台目以降がうまくサーバと通信できませんでした。Scale Outを考慮するとIPサブネット指定したエージェント定義に対し複数台のエージェントを紐つける構成がしたいところです。



Amazon Web Services クラウドデザインパターン実装ガイドAmazon Web Services クラウドデザインパターン実装ガイド
大澤 文孝,玉川 憲,片山 暁雄,鈴木 宏康

日経BP社
売り上げランキング : 17216

Amazonで詳しく見る by AZlink

コメント

このブログの人気の投稿

自走する組織に必要なのはルールではなくガイドライン

ということをいつも心がけている、という話です。 僕が組織のマネジメント職を20年ほどやらせてもらっている上で、いつも意識しているのは権限移譲とセルフマネジメントです。この辺の話は過去のブログにも書きました。 管理職のためのエンジニア組織構築マニュアル 管理職のための役職引退マニュアル 現場に口を出さないマネージャーの作り方 つまり「権限と裁量を同時に移譲し、責任感を持ってプロアクティブに仕事をしてもらいながらも、メンバーの良いところを更に引き出して高いパフォーマンスを出してもらう」ことこそが、マネジメント職のやるべきことだと思っています。 そのために僕がいつも権限移譲の際に伝えるのは、ルールではなくガイドラインです。ルールは規則や規定といった決まりごとなので「やること」「やってはいけないこと」が書かれたものです。ガイドラインは大まかな指針なので「方向性」「やったほうがいいこと」「やらないほうがいいこと」が書かれたものです。 ルールを提示した場合、そのとおりにすれば過去の実績からある程度の成功は見込めるものの、状況に応じた柔軟な判断が出来ませんし、メンバーの考えや意見が行動に反映されません。メンバーはルール通りの行動しか出来ず、結果としてルールを作成した人以上の成果は出せなくなってしまいます。 ガイドラインの場合、会社として望ましいと考える方向性だけが書かれているので、状況に応じた柔軟な判断も出来ますし、メンバーが考えるより良いやり方や行動を取り入れることが出来ます。ガイドラインを作成した人以上の良いアイデアがあればガイドラインをアップデートすることも出来ます。 これは権限移譲だけでなく、育成においても同様だと僕は考えます。1から10まで決まりきったカリキュラムをやらせることも時には(あるいは人によっては)必要だけれど、本当に価値のある育成は、メンバーに目指してほしい姿を伝え、現在とのギャップを一緒に認識し、そのギャップを埋めるための多種多様な方法を伝えて、その上で本人が取捨選択して自分自身で学習していく。企業や上長はそのサポートを行う。というのが、最も成長出来る育成方法だと思います。 学習する組織 ― システム思考で未来を創造する posted with AmaQuick at 2

「許可を得るな、謝罪せよ」が意図していること

 弊社ではセルフマネジメントとアウトプットファーストを行動指針として掲げていますが、セルフマネジメントを象徴する言葉としてよく使われるのが 「許可を得るな、謝罪せよ」 です。 細かい話は 以前ブログにした のでそちらを読んで頂くとして、この言葉が意味するのは「アクションするのにいちいち許可を得る必要はない。許可を取る時間が無駄。やっていいですかじゃなくてやりましたと言えばいい。その結果間違っていれば謝れば良いだけ」です。 何故この方針を取るのか、この方針によってどのような結果を期待しているのか、を改めて整理したいと思います。 アクションのスピードを上げたい これは上述した意味の通りで、何らかの施策や企画があるときに、上長の許可を取るために資料を作ったり、打ち合わせしたり、下調べをしたり、という時間が無駄だからです。 この考え方の前提として「小さな失敗を早くたくさんする」というのがあります。どんな施策も企画も、正解なんて誰にもわからないし、やり方次第で変わるものです。アイデアの時点であーだこーだ言うより、実際に手を動かしてやってみて、その結果から継続の判断を行うことで、リスクを小さく、コストも小さく、たくさんアクションすることが出来ます。 モチベーションを持って取り組んでもらいたい 何でもそうですけど、人に言われたことをそのままやるより、自分で考えたことを自分のやり方でやるほうが、面白いです。僕が仕事をする上で、または僕がピープルマネジメントする上で、一番重要視しているのは、面白いかどうか、です。 担当者がモチベーションのないままやって成功することなんて(ほとんど)ありません。その施策や企画の実施に一番モチベーションがあるのはそれを考えた人なので、その人に主導してもらうのが一番成功率が高いです。 主体性を持って取り組んでもらいたい モチベーションと同様に、担当者が主体性のないままやって成功することなんて(ほとんど)ありません。その施策/企画を自分ごととして捉え、だからこそ知恵を絞って、全力を発揮する、つまり主体性を持って取り組むことが、一番成功率が高いです。そしてもちろん、一番主体性を持てるのはそれを考えた人です。 なお、主体性と責任は違います。前述の通り「小さな失敗を早くたくさんする」ためには、失敗に対して責任を追求するのではなく、結果と知見を追求する、という文化が

組織を構成するビルダー、フォロワー、ワーカーについて

僕の経験上、新しい事業体を立ち上げたときの組織構成は大きく3つに分かれる。というか3つのタイプを必要とする。なお、ここではそもそもパフォーマンスが出ない人を含めていない。 その事業を成功させることに高いモチベーションがあり、その結果の責任も積極的に取るタイプ。会社の創業者とか新部門の責任者とか、立ち上げメンバーがコレに当たる。 もともとはその事業に対して特にモチベーションが無いんだけど、事業を担当することによって深くコミットし、結果としてモチベーションが高くなるタイプ。 事業に対するモチベーションが無いからコミットもしないんだけど、担当する業務はしっかりとこなすタイプ。 1をビルダー、2をフォロワー、3をワーカーとこの記事では呼称する。 事業が立ち上がったばかりの組織構成として、ビルダーは当然少ない。可能な限りフォロワーを増やすことを僕はお薦めする。事業のスタート時期というのは不足していたりそもそも無かったりすることがたくさんあり、それらをプロアクティブに拾い続けて解決するためにはモチベーションが必要だからだ。この時期の組織では、業務に対して合うスキルセットの人を採用する(=ワーカー)より、企業理念や事業ビジョンにコミットしてくれる人(フォロワー)を採用したほうがスピードが上がる。ワーカーがあまりに多いと作業指示が無いゆえの作業待ちが発生し、スピードが上がらない。比率的には1:6:3くらい。 事業がある程度立ち上がって順調に拡大するフェーズになると、今度はフォロワーをどうやってビルダーに成長させるか、ワーカーをどうやってフォロワーに成長させるか、が課題になる。このくらいのフェーズではマネジメント教育とかコーチング研修なんかが必要になる。企業理念や事業ビジョンを更に明確にし、言い続け、常に意識させる作業が必要になる。 そして、ある程度事業の形が出来てくると、ふわふわした仕事が少なくなるので、ワーカーを業務に対してアサインしやすくなる。こうなると2:4:4くらいの比率でも上手くいく。それでもワーカーを過半数以上にするのは僕はおすすめしない。事業にコミットしない人が増えると組織全体が「コミットしないのが当たり前」「コミットしない人が評価されて不公平」みたいな空気感が生まれちゃうことが多い。なので過半数以上は事業にコミットする人で固めたほうが良い。 つまり、組織の責任者は「