覚えておきたいと思ったこと
- ファイル改ざん通知をしてくれるソフトウェアがある。
- IDS とイコールであると大雑把には覚えておけば良い。Intrusion → 侵入、Detection → 検知、System → システム
- Tripwire、OSSEC、AIDE が有名だとか。
- Google で軽く調べてみると日本語では圧倒的に Tripwire のコンテンツが多い。ただし書かれた時期がとても古く、2002年周辺と古いのものが多い。
- 大体のファイル改ざんのソフトは、「通知」をしてくれるが、「アクセスの遮断」や「修復」といったそれ以外のことはできない。
- インストール → 設定ファイル → ポリシーファイル → ベースラインデータベース作成 → 日々の運用開始、と始めるまでが結構長く手間がかかる。
- 改ざん検知した場合、いろいろ対処して再び運用開始するには、場合によってはポリシーファイルの更新、そしてベースラインデータベースの更新が必要で、ここも少し手間。
- ファイル改ざん検知システムには、ホスト型とネットワーク型がある。
- Tripwire は有料とおっしゃっていたページもあったが、よくよく調べてみると、確かに有料版が販売されている。 → IT全般統制ソリューションを実現へ トリップワイヤ・ジャパン しかし、オープンソースの無料版 Tripwire もある。Linux のサーバに入れる場合は、この無料版が使える。
- Tripwire の日々の運用としてメールで改ざん有無、改ざん内容の結果を受け取ることも可能
おせわになった参考ページ
改ざん検知を知るきっかけとなったのは、WordPress の本家ドキュメントです。WordPress の安全性を高めるために行うべきことがよくまとまっています。専門性の低いブログ記事などよりよっぽど信頼出来ると考えますが、なぜか Google 検索にヒットしません。なぜでしょうか。。。↓
「ファイル改ざん通知アプリ ≒ IDS = 侵入検知システム」については次のページが大変勉強になりました。概要がわかりました。↓
1つの記事の3ページ目に当たりますが、「Tripwire運用上の注意点」が大変参考になります。特に「プロセスの優先順位を変更する」でサーバ処理能力を使用させ過ぎないようにする点は見習いたいです。また、自動、手動の切り分けについても取り上げているところが参考になります。↓
インストールしてから運用開始までの手順です。いろいろなページが有り、どれも参考になります。全部読み、共通する核となる部分はしっかり押さえましょう♪この記事は、Tripwire 以外にも改ざん検知の様々な方法、Tripwire でできることから始まり、インストール手順では、2つのパスワードの利用場所を整理、設定ファイルのパラメータ解説が充実しております。↓
インストール方法をシンプルに紹介。このページは、そのシンプルさもさることながら、最初から付属しているポリシーファイルを Perl スクリプトで最適化する手法の箇所が、最も参考にするべきところです。これは、わたくしも導入時は使いたく思います。また、運用の自動化方法も紹介されています。↓
これもインストールの方法がわかります。またそれよりも最初のページの運用フローが素晴らしいです。Tripwire は手動で行うこともそれなりにあることや、それらをどのタイミングで行えばよいのかひと目で分かります。↓
ポリシーファイルの編集方法ではこの記事が最も詳しいとおもいます。ポリシーファイルは Perl スクリプトの最適化にお任せするとしても、お勉強の時はこちらをしっかり読みましょう♪
インストール後に実際に軽く動かしてみるやり方が書いてあります。この記事も詳しくてグッドです♪↓
「Tripwire + cron + メール通知」で自動化するために、たとえばメール設定のパラメータや、メールテストや、cron 設定の詳しい説明がなされています。↓
バックアップをとるべきファイルや、事前にトラブルを起こさないための注意点などです。運用直前に確認したい記事です♪↓
おわりに
なんとなく生活しておりますと、風の便りで最近ウェブコンテンツの改ざん被害が多発している、と耳にいたします。コワイです><。
わたくしたちが、本ブログを乗せておりますサーバで行っております安全性を高めるためのセキュリティ対策はこれだけございます。ちょっとおぼろげですけれども。
- ssh のポート番号変更
- iptables で必要なポートのみ開放
- DenyHosts で ssh 辞書攻撃、ブルートフォースアタック対策
- Sendmail の踏み台回避設定
- Logwatch によるログ監視
- WordPress で「admin」という名のユーザを使用しない
- WordPress でパスワードを複雑怪奇にする
他にもいろいろ試してみたいです。そこで Tripwire などの改ざん通知ソフトはどうなのでしょうか?と思い、勉強することにしたのでした。
以上です。