2014年1月4日追記 設定を見直し、本投稿の作業は不要になりました♪
- 【試行錯誤】★11★メールは crontab 結果のみに限定させていただきますわ♪【Tripwire】わたくしだって WORDPRESS サーバの改ざん検知したい!【CENTOS】 | oki2a24
追記終わり
前回、自動で定期的に Tripwire の改ざんチェックが行われるようになっていることを確認いたしました。
今回は、この自動の改ざんチェックを行った時に、自動でレポートをメール送信するように設定したいと思います。
カテゴリー: Linux
VPS や Vitual Box で使用している Linux、CentOS について勉強したアプリ、設定、コマンドなどを紹介いたします!
前回、Tripwire をインストールして、日々の運用を開始する直前までの設定を行いました。
これから運用を開始します!と思っていたのですが、rpm インストールすると、cron に自動的に日々の改ざんチェックを登録していると読んだ記憶があります。
yum ではどうでしょうか?Tripwire を yum インストールしただけで cron に登録されるのでしょうか?
また、自動で改ざんチェックがあれば、レポートも気になります!レポートの読み方もチェックしたいと思います。
インストールのやり方や、操作の詳細、裏側などは以前の投稿でまとめました。
そこで次のページを参考にしながらインストール、そしていろいろ設定まで行なって運用開始まで行いたいと思います。
- ファイル改竄検知システム導入(Tripwire) – CentOSで自宅サーバー構築
→ こちらの手順をメインとします。 - ゼロから始めるLinuxセキュリティ(8):Tripwireによるホスト型IDSの構築 (1/3) – @IT
→ こちらはコマンドの詳細などを理解するために作業しながら合わせて読みます。
インストールは yum で自動的に行えるので難しくありません。インストール後のいろいろ設定して運用開始するまでが慣れない操作で大変です。少しずつ、何度も確認して進めて行きたいと思います。
次第〜おおまかな流れ
- Tripwire インストール ← yum で簡単♪
- 2 つのパスワード設定 ← サイト、ローカルの 2 種類
- 設定ファイルの作成 ← テキスト twcfg.txt 作って 暗号化 tw.cfg
- ポリシーファイルの作成 ← 最適化して暗号化 tw.pol
- ベースラインデータベースの作成 ← これで準備完了
- 整合性チェック ← はじめての改ざんチェック
- レポートのチェック ← 整合性チェックでできるファイル
運用を開始するまでには、インストールしてから、設定ファイル tw.cfg、ポリシーファイル tw.pol、ベースラインデータベースの作成、とさらに3つの段階を経ねばなりません。
設定ファイル tw.cfg、ポリシーファイル tw.pol、の違いがイマイチわかりません。調べましょう。さらに、どちらも暗号化剃る必要があり、手順は複雑です。一歩一歩ゆっくり進めて行きたいと思います。
- 設定ファイル → Tripwire の設定を記述。Tripwire 自身について書きます。
- ポリシーファイル → CentOS の改ざん検知対象、その詳細を記述。改ざん検知実行時の振る舞いを書きます。
覚えておきたいと思ったこと
- ファイル改ざん通知をしてくれるソフトウェアがある。
- IDS とイコールであると大雑把には覚えておけば良い。Intrusion → 侵入、Detection → 検知、System → システム
- Tripwire、OSSEC、AIDE が有名だとか。
- Google で軽く調べてみると日本語では圧倒的に Tripwire のコンテンツが多い。ただし書かれた時期がとても古く、2002年周辺と古いのものが多い。
- 大体のファイル改ざんのソフトは、「通知」をしてくれるが、「アクセスの遮断」や「修復」といったそれ以外のことはできない。
- インストール → 設定ファイル → ポリシーファイル → ベースラインデータベース作成 → 日々の運用開始、と始めるまでが結構長く手間がかかる。
- 改ざん検知した場合、いろいろ対処して再び運用開始するには、場合によってはポリシーファイルの更新、そしてベースラインデータベースの更新が必要で、ここも少し手間。
- ファイル改ざん検知システムには、ホスト型とネットワーク型がある。
- Tripwire は有料とおっしゃっていたページもあったが、よくよく調べてみると、確かに有料版が販売されている。 → IT全般統制ソリューションを実現へ トリップワイヤ・ジャパン しかし、オープンソースの無料版 Tripwire もある。Linux のサーバに入れる場合は、この無料版が使える。
- Tripwire の日々の運用としてメールで改ざん有無、改ざん内容の結果を受け取ることも可能
おせわになった参考ページ
更新の躓きを解決♪「要求されたアクションを実行するには、WordPress が Web サーバーにアクセスする必要があります。…」 | oki2a24 にコメントをいただきました。
あ
2013年7月17日 17:12この記事のおかげで問題解決しました
けどこの方法でサーバーのセキュリティは大丈夫なんですかね?・・・少し不安
ありがとうございます。わたくしたちは Linux サーバについて系統だった教育を受けたこともありませんし、ましてや人に深くものを教えられるような知識も持ちあわせておりません。
ですのでこれから述べることが「誤りである」可能性は否定いたしません。そのうえで、わたくしたちの見解を記したいと思います。
順番としては、まず何が問題なのか定義し、次に問題に対してお答え申し上げます。そして最後に、その根拠を示しまして、わたくしたちの考えを記す次第です。
SSLサーバ証明書をコマンドを使ってCA認証局とやり取りしながらサーバにインストールした記録♪ | oki2a24 でインストールしました、SSL サーバ証明書をアンインストール、、、といいましても、SSL ソフトのパッケージをアンインストールするわけではございません。
どちらかといいますと、サーバの mod_ssl パッケージの設定から、導入した SSL サーバ証明書の記述を取り除いて無効化する、という表現がよいかと思います。それでは、始めます。
ポイント
- OpenSSL コマンドは自動でディレクトリを生成してくれないので、ないディレクトリは作業前に作成しておくこと!
- 秘密鍵 = 一種のパスワードだが、秘密鍵自体にさらにパスワードをかける。混乱したが、それだけ大事な情報だということ。しかしこの場合、Apaceh の再起動のたびに秘密鍵のパスワード入力を求められるため、運用方法によっては秘密鍵のパスワードを解除する方法もありうる、といいますかそのようなパターンは結構あると思います。
やりたいことや環境について
- oki2a24.com に対して、ベリサインの「テスト用無料SSLサーバ証明書」を適用したい
- oki2a24.com があるのは CentOS 5.9 で、Apache 2.x + mod_ssl + OpenSSL。ユーザは root で操作
- SSL 証明書の確認は Mac の Chrome で行う
用語の整理
- コモンネーム = SSL暗号化通信を行うサイトのURL
- 秘密鍵 = RSA PRIVATE KEY
- CSR = certificate signing request = certification request = BEGIN CERTIFICATE REQUEST 〜 END CERTIFICATE REQUEST = 証明書署名要求 = CA 認証局に送るサイト内容データ & 公開鍵データ。ひとつのファイルに両方の情報が含まれる。CA 認証局に提出する用に秘密鍵を使用してよくわからない文字列の状態で作成してくれる。
- SSLサーバ証明書 = crt = BEGIN CERTIFICATE 〜 END CERTIFICATE
登場する CentOS ファイルの整理
| No | 項目 | パス |
| 1 | 秘密鍵 | /etc/httpd/conf/ssl.key/ssl.oki2a24.com2013.key |
| 2 | CSR | /etc/httpd/conf/ssl.csr/ssl.oki2a24.com2013.csr |
| 3 | SSL サーバ証明書 | /etc/httpd/conf/ssl.crt/ssl.oki2a24.com2013.crt |
| 4 | 中間 CA 証明書 | /etc/httpd/conf/ssl.crt/dvcacert.cer |
| 5 | SSL 設定用 conf ファイル | /etc/httpd/conf.d/ssl.conf |
No の順番にファイルを作成したり、編集したりを行っていきます。
Mac でも、Linux でも、Windows は該当しませんが、FileZilla などの FTP ファイル転送ソフトを使用しないでコマンドだけでサーバー間のファイルをやり取りする方法を勉強しましたのでメモします。
FTP ソフトよりも、ずっと便利でした♪
ポイント
- scp コマンド、secure copy (remote file copy program)、を使用してサーバー間でファイルをコピーする
- -p オプションを付けてもコピーされたファイルのパーミッション、タイムスタンプは元のままだが、所有者が変更される
- コピー元はファイルを指定する必要があるが、コピー先はディレクトリだけの指定で同名のファイルをコピーできる
- ファイル送信元のでも、ファイル送信先のときでも、初回はコマンドを打ったサーバーにRSA追加して良いかと問われる。つまり最大2回RSA追加して良いか否かの確認に応える必要がある。
scp コマンド実際の使い方
#リモートマシン間でファイルをコピー # -p ファイルの更新時間、アクセス時間、モードを保持 scp -p fromuser@fromhost:filepath touser@tohost:directorypath
実際にやってみました♪
MySQL パフォーマンスを向上させまして WordPress のパフォーマンスを上げるためにいろいろ調べていく中で、今まで行なっておりませんでしたが、実行したほうがよい MySQL コマンドを発見しましたのでメモしておきます。
yum で MySQL のバージョンアップを実行後、次のコマンドを実行します。
# MySQL アップグレードのテーブルチェック(シェルで行う) mysql_upgrade -u root -p
mysql_upgrade — MySQL アップグレードのテーブル チェック、とは一体!?
カテゴリー
/etc/ntp.conf のお勉強♪
電波時計みたいに、正確な時刻を受信して、CentOS の時刻を合わせたいです。
どうも CentOS の時刻同期がなされておりませんようで、激しく時刻がずれておりました。NTP の設定はしたと思ったのですけれど。。。きっと誤っていると思いますので、設定ファイルのお勉強をいたしたいと思います。
ポイント
restrict と server が最大のポイントと考えて良さそうです。
- restrict アクセス制限、セキュリティ関係
- server 参照する NTP サーバー、タイムサーバー、時刻同期サーバー
- fudge 指定したホスト(たいていは自分自身)のハードウェア時計を読み込む。外部の NTP サーバーを参照するなら、コメントでも OK