スキップしてメイン コンテンツに移動

AWSでOSSECを導入する

前回の調査に引き続き、クラウドにおける侵入検知の一つの方式として、AWSにOSSECを導入してみました。



IDSとは
IDSはInstrusion Detection Systemの略称であり、日本語では「侵入検知システム」と呼ばれます。
IDSは大きくネットワーク型(Network IDS/NIDS)とホスト型IDS(Host IDS/HIDS)に分類されます。両者とも、検知した際にアラートを表示・記録・通知を行うことで管理者が迅速な対応を行えることを目的としています。

ネットワーク型はネットワークパケットを監視してルールベースのパターンマッチングを行い、不正アクセスや悪意ある通信と思われるパケットを検知します。また検知と同時に通信の遮断も行えるものがあり、一般的にIDPやIPS(Intrusion Detection and Protection System)と呼ばれます。現在Firewallなどのネットワーク機器に組み込まれたIDPはProtectionの機能を備えたものが主流です(例えばFortigateやSonicWallなど)。
ネットワーク型IDSとして代表的なものにSnortがあります。商用製品としてはインターネット・セキュリティ・システムズ(ISS)社のRealSecure Network Sensorが超メジャー製品でしたが、2006年にIBMに買収されて現在はほぼ死に体です...

ホスト型はサーバ上のI/Oを監視し、不正アクセスと思われる行為を検知します。検知手法としてはシステムログの監視や、ある瞬間のファイルスナップショットとの差異を確認することによる改ざん検知などがあります。
ホスト型IDSとして代表的なものにtripwireinotify(ionotify-tools)aide、そして今回導入するossecなどがあります。

OSSECについて
OSSECはGPL v2ライセンスにて配布されているオープンソース・ソフトウェアであり、ホスト型IDSです。サーバとエージェントで構成されており、サーバにてアラートの一元管理を行うことが可能です。マルチプラットフォームに対応しており、監視項目もログ監視、ファイル整合性チェック、Windowsレジストリ監視、rootkitの検出などの機能を有しています。


AWSでのOSSECの導入
OSSECは大きくサーバとエージェントの二つに分けて導入作業を行います。

(1)事前準備
サーバ用とエージェント用の二つのSecurity Groupを作成します。OSSECはサーバ側でinput 1514/udpをオープンする必要があります。またWebUIを使用するためのHTTP(80/tcp)の開放も必要になります。
agent -- input -- any:22/tcp(SSH)
        -- output -- any:any
server -- input -- agent:1514/udp
                     -- any:22/tcp(SSH)
                     -- any:80/tcp(HTTP)
        -- output -- any:any
(2)サーバの導入
OSSECのパッケージはCentOSのサードパーティリポジトリであるAtomic Repoに登録されています。まずはyumにリポジトリを追加します。
$ sudo rpm -Uvh http://www.atomicorp.com/channels/atomic/centos/6/x86_64/RPMS/atomic-release-1.0-16.el6.art.noarch.rpm

yumコマンドでOSSECメインパッケージとサーバパッケージをインストールします。
$ sudo yum install ossec-hids ossec-hids-server

OSSECを起動します。
$ sudo service ossec-hids start

次にOSSECのWeb-UIをインストールし、環境設定します。Web-UIはApacheとPHPが必要になります。php.iniのセキュリティ設定は見直しておきましょう。
$ sudo yum install httpd php

OSSECのWebサイトからWeb-UIのバイナリをダウンロードし、Webコンテンツディレクトリに展開します。
$ wget http://www.ossec.net/files/ossec-wui-0.3.tar.gz
$ tar xvzf ossec-wui-0.3.tar.gz
$ sudo mv ossec-wui-0.3 /var/www/html/ossec

Web-UIのセットアップスクリプトを実行します。
$ cd /var/www/html/ossec
$ sudo ./setup.sh
Setting up ossec ui...

Username: "ユーザー名"
New password: "パスワード"
Re-type new password: "パスワード"
Adding password for user "ユーザー名"

Setup completed successfuly.

gpasswdコマンドで、ユーザapacheをグループossecに追加します。
$ sudo gpasswd -a apache ossec
Adding user apache to group ossec

Webサーバを起動します。
$ sudo service ossec-hids restart
$ sudo service httpd start

「http://IPアドレス/ossec/index.php」にアクセスするとOSSEC Web-UIが表示されます。


次にエージェント定義を追加します。
$ sudo /var/ossec/bin/manage_agents

****************************************
* OSSEC HIDS v2.7 Agent manager.     *
* The following options are available: *
****************************************
   (A)dd an agent (A).
   (E)xtract key for an agent (E).
   (L)ist already added agents (L).
   (R)emove an agent (R).
   (Q)uit.
Choose your action: A,E,L,R or Q: A

- Adding a new agent (use '\q' to return to the main menu).
  Please provide the following:
   * A name for the new agent: agents
   * The IP Address of the new agent: 172.31.0.100
   * An ID for the new agent[001]:
Agent information:
   ID:001
   Name: agents
   IP Address: 172.31.0.100

Confirm adding it?(y/n): y
Agent added.
エージェントとサーバを結びつけするために使用するKeyの設定を行います。
****************************************
* OSSEC HIDS v2.7 Agent manager.     *
* The following options are available: *
****************************************
   (A)dd an agent (A).
   (E)xtract key for an agent (E).
   (L)ist already added agents (L).
   (R)emove an agent (R).
   (Q)uit.
Choose your action: A,E,L,R or Q: e

Available agents:
   ID: 001, Name: agents, IP: 172.31.0.100
Provide the ID of the agent to extract the key (or '\q' to quit): 001

Agent key information for '001' is:
MDAyIGFnZW50cyAxNzIuMzEuMC4wLzE2IGY5ZmZhMGFhNDU3ODVhMzFlNjVhNjAyMDAzYWUxOTFlODUxZjkwMDM2MWM3MzRkNGQxYjk4YTZhYmQ5ZWJkNDE=

** Press ENTER to return to the main menu.
 以上でサーバ側の設定は終了です。

(3)エージェントの導入
サーバと同様にAtomic RepoからOSSECメインパッケージとクライアントパッケージをインストールします。
$ sudo rpm -Uvh http://www.atomicorp.com/channels/atomic/centos/6/x86_64/RPMS/atomic-release-1.0-16.el6.art.noarch.rpm
$ sudo yum install ossec-hids ossec-hids-client

OSSECの設定ファイルは/var/ossec/etc/ossec.confですが、クライアントパッケージの場合/var/ossec/etc/ossec-agent.confのリンクになっています。ossec-agent.confを編集し、サーバのIPアドレスを指定します。
$ sudo vi /var/ossec/etc/ossec-agent.conf
... 略 ...
<server-ip>172.31.0.10</server-ip>
... 略 ... 

次にサーバ側で作成したKeyをインポートします。
$ sudo /var/ossec/bin/manage_client
****************************************
* OSSEC HIDS v2.7 Agent manager.     *
* The following options are available: *
****************************************
   (I)mport key from the server (I).
   (Q)uit.
Choose your action: I or Q: i

* Provide the Key generated by the server.
* The best approach is to cut and paste it.
*** OBS: Do not include spaces or new lines.

Paste it here (or '\q' to quit): MDAyIGFnZW50cyAxNzIuMzEuMC4wLzE2IGY5ZmZhMGFhNDU3ODVhMzFlNjVhjAyMDAzYWUxOTFlODUxZjkwMDM2MWM3MzRkNGQxYjk4YTZhYmQ5ZWJkNDE=

Agent information:
   ID:001
   Name:agents
   IP Address:172.31.0.100

Confirm adding it?(y/n): y
Added.
** Press ENTER to return to the main menu.

最後にOSSECエージェントを起動します。
$ sudo /var/ossec/bin/ossec-client.sh start
Starting OSSEC HIDS v2.7 (by Trend Micro Inc.)...
2013/10/21 04:51:14 DEBUG: I am creating the SQLite table.
Started ossec-execd...
Started ossec-agentd...
2013/10/21 04:51:14 ossec-logcollector(1103): ERROR: Unable to open file '/queue/ossec/.agent_info'.
Started ossec-logcollector...
2013/10/21 04:51:14 ossec-config(1756): ERROR: Duplicated directory given: '/etc'.
2013/10/21 04:51:14 ossec-config(1756): ERROR: Duplicated directory given: '/bin'.
Started ossec-syscheckd...
Completed.
初回のみagent_infoファイルが無いエラーが発生します。またDuplicatedエラーはは/var/ossec/etc/ossec.confと/var/ossec/etc/shared/agent.confに二重で設定されているために発生しているようですが、起動としては問題ありません。本来は修正すべき点です。

最後に
今回はAWSにOSSECをインストールし、サーバ1台とエージェント1台の構成を作成しましたが、OSSECの集中管理という利点を活かすためにはVyattaなど他OSのログの集積なども検討が必要だと思います。
またサーバ側でmanage_agentsを使ってエージェントを登録する際にIPサブネットを指定することが出来ますが、複数のサーバで同じエージェント定義を使ったところ、2台目以降がうまくサーバと通信できませんでした。Scale Outを考慮するとIPサブネット指定したエージェント定義に対し複数台のエージェントを紐つける構成がしたいところです。



Amazon Web Services クラウドデザインパターン実装ガイドAmazon Web Services クラウドデザインパターン実装ガイド
大澤 文孝,玉川 憲,片山 暁雄,鈴木 宏康

日経BP社
売り上げランキング : 17216

Amazonで詳しく見る by AZlink

このブログの人気の投稿

初めての給与交渉で意識するべき6つのポイント

本記事は、社会人となって1〜3年目くらいの方が、給与アップのためにどのように考え、どのようにアクションするべきなのかを、僕の経験を踏まえてまとめたものです。 背景として、僕が初めて働いたIT企業は、年棒制で給与交渉は各自が行うものであり、年次で成果レポートと希望する年収額を会社に提示し、それが査定されて翌年の年俸が確定する、という制度でした。なので僕自身は若い頃からずっと給与交渉をし続けています。 大前提:給与とは与えられるものではなく勝ち取るものである 給与は勝手に上がるものではありません。自分の努力や成果を誰か(=会社や上長)が適切に判断し公平に給与を払ってくれる、なんてことはありません。何故なら多くの仕事は定量的なだけでは評価できず、そこに定性的な判断を必要とするからです。そして人間に公平で完璧な意思決定を求めるのはそもそも無理です。人間は感情的で、多くのバイアスを持ち、その時々のコンディションで常に意思決定が歪みます。だからこそ、定性的な評価に関する成果は、被評価者自身が自らアピールしないと評価者に正しく伝わりません(ただしアピールしたところで正しく伝わらないこともあります) もちろん定量的なだけで評価できる仕事は世の中にはあるし、その場合は給与はその成果に比例して決まり、人間の判断は必要としません。でもそうではない、定性的な評価が含まれる仕事をしているのであれば、自ら自分が何をし、どのような成果を出したのかを、きちんと会社に伝え、その分の給与を要求する、というアクションが必要になります。 大前提:給与は会社が儲かっていないと上がらない これもまぁ当たり前ですよね。会社は利益が出てるから社員に投資できる=社員の給与を上げられるわけで、利益が出てなかったらその個人がどんなに頑張ったところで給与は上がりません。何故なら給与を上げるための原資が無いからです。 だから、利益が無い会社に所属しているのであれば、給与交渉はそもそも無駄です。だって交渉しても上がるわけないし。その場合は、給与アップが必須なのであれば転職を検討するしかないし、給与アップしなくてもメリットがあるのであればその会社に在籍し続ける、という選択が必要になります。 目標と現状のギャップを把握する 具体的な希望も無く「給与上げてください」と言うのは給与交渉ではありません。これだと会社もどのくらい上げてほ

40代の減量戦略 〜体重-14kg、体脂肪率-12%を実現した具体的な方法〜

コロナ禍はもちろん辛い時期ではあったけど、生活習慣が良い方へ大きく変わた時期でもあった。具体的には食生活がほぼ自炊になり、酒量が減り、ジム通いを再開し、マラソン大会にも定期的に参加した。そんな中で一念発起し、きちんと減量に取り組んで、体重75kg→61kg(-14kg)、体脂肪率25%→13%(-12%)を実現した。 具体的な体重遷移は以下。2020年12月がMAXの75kg、その後減量とリバウンドを繰り返しつつ70kg前後を推移、2022年後半で一気に落とし、2023年1月30日時点で61kgとなった。 そこで、その具体的な方法をお伝えしたい。減量とは3つの要素の組み合わせだ。 食事 運動 休養 この順番はそのまま優先順位でもある。それぞれについて以下に説明する。 0.プロにアドバイスをもらう 3つの要素と言ったがあれは嘘だ。すまない。もっと重要なことがある。それはプロにアドバイスをもらうことだ。 WHO NOT HOWという本がある。 WHO NOT HOW 「どうやるか」ではなく「誰とやるか」  posted with AmaQuick at 2023.01.21 ディスカヴァー・トゥエンティワン (2022-05-27T00:00:01Z) ダン・サリヴァン(著), ベンジャミン・ハーディ(著), 森由 美子(翻訳) Amazon.co.jpで詳細を見る 要約すると、起業家や経営者がやるべきことはビジネスを成功させることだけれど、人は皆スーパーマンではなく、得意なことと不得意なことがあるんだから、得意なことは得意な人に一任することが大事なんだよ、という内容の本。 これは減量についても同じ。本を読んだりYoutubeで動画を見て、実際に減量出来たのであればそれはそれで構わないし、そういう人はこのブログ投稿を読まないだろう。 自分で学んで、自分でチャレンジして、それでも減量出来ないのであれば、素直に投資してプロのアドバイスをもらったほうが効率が良い。具体的にはパーソナルトレーナーだ。パーソナルトレーナーは運動生理学やスポーツ栄養学などについて学び実践してきた人

最近、僕と妻の仲が良い

SNSでは書きましたが、先日長女が大学を卒業し、同時に結婚しました。僕には3人の子供がいるのですが、これで1人は結婚して家を出て、もう1人は就職して家を出て、残りは高校1年生(4月から2年生)の次男のみとなりました。 で。子どもたちが自立していく状況になってから、僕と妻の関係性が良くなりました。元々良かったんですけど、なんというか、更に仲良くなってきたんですよね。 これってなんでだろう...って考えてたんですが夫婦の状況の変化によるものなんだろうと思います。 結婚した当初は恋愛感情が関係性の大きな理由になります(これは恋愛結婚の場合なので、お見合いや相談所経由での結婚の場合は違うのかも知れません) 子供が出来て子育てが始まると、子供を含めた家族をいかに良い形で運営するか、そして外圧から以下に守るか、が関係のベースになります。 そして子供が自立していくと、そこにはまた夫婦二人が残ります。そうすると、これから一緒に老いて、そして死んでいこう、という覚悟が定まるんですよね。 僕も若い頃は老いってあんまり分からなかったんですが、いざ自分が中年になると、いろんな老いを感じます。肉体的には白髪や顔の皺や老眼といったものから、体力の減少、筋肉の付きづらさ、脂肪の落ちづらさ、などなど。精神的には感情の揺れ幅が少なくなって、怒ったり悲しんだりといった発露をしなくなったり。 当然その先には死があるわけです。今この老いかけの時期から死まで長ければ50年くらいあるんですが、子どもたちが自立しつつある今となっては、そこを一緒に過ごすのは僕にとっては妻しかいないし、妻にとっても僕しかいない。それが「これから一緒に老いて、そして死んでいこう、という覚悟」となり、そしてお互いに関係性を良くしよう、よく保とう、というモチベーションになるんだな、と思っています。 そんなわけで、最近僕と妻は仲が良いです。というノロケでした!!以上!!! 妻は俺の嫁 posted with AmaQuick at 2023.03.25 smokeymonkey (2013-10-15T15:00:06.000Z) smokeymonkey(著) Amazon.c