GMOクラウド ソリューション 攻撃遮断くんガイド

サポートトップ » SaaS トップ  » ガイド »  攻撃遮断くん

インストール手順(Linux編)

お客さまでインストールが行えない場合、弊社にて無償で代行いたします。
ご希望の場合技術的なお問い合わせフォームよりご連絡ください。

事前準備

FW 等の穴あけ

<IN>
UDP/ (ポート番号は管理画面の対象IPアドレス詳細ページからご確認ください)
54.92.14.101

<OUT>
UDP/ (ポート番号は管理画面の対象IPアドレス詳細ページからご確認ください)
54.92.14.101


コンパイラ "gcc" または "cc"、及び コマンド "make" のインストール

上記がないとインストールを行うことができません

インストール

hostsファイルに記述追加

※下記を追加
49.128.58.72 msm


攻撃遮断くんパッケージの入手

※保存場所は任意の場所で問題ありません(/opt など)。
※下記URLより攻撃遮断くんパッケージを入手し、コンソールソフトを用いてインストール作業をして頂きます。

# wget http://kougekishadankun.cscloud.co.jp/Download/servertect/servertect-2.7.tar.gz


解凍

# tar zxvf servertect-2.7.tar.gz


インストール

# cd servertect-2.7
# ./install.sh


以下、対話形式でインストール開始

※[Enter]は、エンターキーを押下することを表します。
※特に入力項目が記載されていない場合は、ブランクのままで問題なし


(~内)を上から順に作業してください
- (en/br/cn/de/el/es/fr/hu/it/jp/nl/pl/ru/sr/tr) [en]: jp

-- 続けるには ENTER を押してください.また,Ctrl-C で中止します. -- [Enter]

- どの種類のインストールを選択しますか (server,agent,local または help)?:agent

- OSSEC HIDS のインストール先を選択してください [/var/ossec]: [Enter]

- OSSEC HIDS サーバの IP/hostname アドレスは何ですか?: msm

- 整合性検査を行うデーモンを実行させますか? (y/n) [y]: [Enter]

- rootkit 検知エンジンを実行させますか? (y/n) [y]: [Enter]

- アクティブレスポンスを有効にしますか? (y/n) [y]: [Enter]

--- 続けるには ENTER を押してください --- [Enter]

※上記作業を終えるとインストールが開始されるのでしばらく待ちます。


以下(◇内)のメッセージが表示されればインストール完了
- 初期スクリプトはブート中に OSSEC HIDS を起動するよう修正しました

- 設定が完全に終了しました.

- OSSEC HIDS を開始させます:
	/var/ossec/bin/ossec-control start
- OSSEC HIDS を停止させます:
	/var/ossec/bin/ossec-control stop

 - 以下のファイルで設定についての確認と変更ができます /var/ossec/etc/ossec.conf

OSSEC HIDS の使用に感謝します.
	あなたが何らかの質問,提案したいときや,バグを発見したときは,
	contact@ossec.net まで連絡するか ossec-list@ossec.net にある
	我々の公開メーリングリストを使ってください.
(http://www.ossec.net/main/support/).

	詳細な情報は http://www.ossec.net にあります.

	---  ENTER を押すと終了します (以下,詳細な情報が続きます).--- [Enter]

[Enter]を押下しインストール完了

セットアップ

以下で使用するエージェントキーは別途発行しご連絡します。
発行にあたりIPアドレス情報が必要なため、事前にIPアドレス情報をお送り下さい。

エージェントへキーをインポート

# /var/ossec/bin/manage_agents


****************************************
* OSSEC HIDS v2.7 Agent manager.     *
* The following options are available: *
****************************************
   (I)mport key from the server (I).
   (Q)uit.
Choose your action: I or Q: i

iを入力し[Enter]

Provide the Key generated by the server.
* The best approach is to cut and paste it.
*** OBS: Do not include spaces or new lines.

Paste it here (or '\q' to quit): ********************************

お申し込み後に送付されたエージェントキー文字列を入力(ペースト)し、[Enter]


Agent information:
   ID:xxx
   Name:VMxxxxxx_amitie
   IP Address:xxx.xxx.xxx.xxx

Confirm adding it?(y/n): y

IP Address が今回インストールを行ったサーバのIPアドレスであることを確認し、y を入力し[Enter]


Added.
** Press ENTER to return to the main menu. [Enter]

[Enter]を押下しインポートメニューから離脱

****************************************
* OSSEC HIDS v2.7 Agent manager.     *
* The following options are available: *
****************************************
   (I)mport key from the server (I).
   (Q)uit.
Choose your action: I or Q: q

qを入力後、[Enter]を押下。

** You must restart OSSEC for your changes to take effect.

manage_agents: Exiting ..

上記メッセージが表示され、エージェントキーのインポートは完了


エージェントのセットアップ

ディレクトリの場所がデフォルトの場合、下記はご確認頂くのみで結構です。

# vi /var/ossec/etc/ossec.conf

54行目以降に記載のある<localfile>というタグで囲まれた部分を確認する

  <localfile>
    <log_format>syslog</log_format>
    <location>/var/log/messages</location>
  </localfile>

  <localfile>
    <log_format>syslog</log_format>
    <location>/var/log/secure</location>
  </localfile>

  <localfile>
    <log_format>syslog</log_format>
    <location>/var/log/maillog</location>
  </localfile>

  <localfile>
    <log_format>apache</log_format>
    <location>/var/log/httpd/error_log</location>
  </localfile>

  <localfile>
    <log_format>apache</log_format>
    <location>/var/log/httpd/access_log</location>
  </localfile>

上記の中に、監視対象のサーバー内の

  • ログインログ (secure、auth.log)
  • メールログ (mail_log、mail.log)
  • メッセージログ (messages、syslog)
  • WEBアクセスログ (httpd/access_log、apache2/access.log)
  • WEBエラーログ (httpd/error.log、apache2/error.log)

各種ログのパスが正しく記載されているか確認する
正しく記載されていない場合は タグ内を修正する

もし追加で監視させたいログがある場合は、以下のルール(◇内)に則り、タグを追加する。

管理ツール Pleskなしの場合
  <localfile>
    <log_format>ログの種類(webの場合はapache、syslogの場合はsyslog)</log_format>
    <location>ログのパス(絶対パスで記載)</location>
  </localfile>
管理ツール Plesk 12をご利用の場合
<localfile>
  <log_format>apache</log_format>
  <location>/var/www/vhosts/[ドメイン名]/logs/access_log</location>
</localfile>

<localfile>
  <log_format>apache</log_format>
  <location>/var/www/vhosts/[ドメイン名]/logs/access_ssl_log</location>
</localfile>

<localfile>
  <log_format>apache</log_format>
  <location>/var/www/vhosts/[ドメイン名]/logs/error_log</location>
</localfile>

管理ツール Plesk 10,11をご利用の場合
<localfile>
  <log_format>apache</log_format>
  <location>/var/www/vhosts/[ドメイン名]/statistics/logs/access_log</location>
</localfile>

<localfile>
  <log_format>apache</log_format>
  <location>/var/www/vhosts/[ドメイン名]/statistics/logs/access_ssl_log</location>
</localfile>

<localfile>
  <log_format>apache</log_format>
  <location>/var/www/vhosts/[ドメイン名]/statistics/logs/error_log</location>
</localfile>

下記設定をお願いします。

管理ツール Pleskなしの場合
1. iptables に localhost を ACCEPT するルールを一番上に追加

iptables -I INPUT -s 127.0.0.1 -j ACCEPT
iptables -I FORWARD -s 127.0.0.1 -j ACCEPT

2. localhost のACCEPTルールが一番上にセットされたことを確認

iptables -L

3. 下記ファイルをダウンロードし、解凍する。

4. 解凍したファイルを、以下のディレクトリに上書き

ファイル名:firewall-drop.sh
ディレクトリ:/var/ossec/active-response/bin

5. ファイル権限の変更

chown root:ossec firewall-drop.sh
chmod 755 firewall-drop.sh


以下のようなパーミッション設定になっていれば問題ありません

-rwxr-xr-x 1 root ossec 6841 May 31 22:34 firewall-drop.sh
6.エージェントの起動

/var/ossec/bin/ossec-control start


管理ツール Pleskをご利用の場合
1. サーバー管理>ツールと設定>ファイアーウォールでカスタムルールとして下記2つを追加

-----------------------------------------------
・プロパティ
 ルールの名前:任意
 一致方向:着信
 アクション:許可
・ポート
 指定なし
・ソース:127.0.0.1
-----------------------------------------------
・プロパティ
 ルールの名前:任意
 一致方向:転送中
 アクション:許可
・ポート
 指定なし
・ソース:127.0.0.1
-----------------------------------------------

上記入力後[OK]ボタンをクリックし、[変更内容を適用]をクリック

2. 下記ファイルをダウンロードし、解凍する。

Plesk_Linux.zip

3. 解凍したファイルを、以下のディレクトリに上書き

ファイル名:firewall-drop.sh
ディレクトリ:/var/ossec/active-response/bin

4. ファイル権限の変更

chown root:ossec firewall-drop.sh
chmod 755 firewall-drop.sh

以下のようなパーミッション設定になっていれば問題ありません。

-rwxr-xr-x 1 root ossec 6841 May 31 22:34 firewall-drop.sh
5. エージェントの起動

/var/ossec/bin/ossec-control start

このガイドで問題は解決しましたか?

ご回答ありがとうございました。

引き続きGMOクラウド サポートサイトをご利用ください。

ご回答ありがとうございました。

GMOクラウド ソリューション サポートまでお問い合わせください。

お問い合わせ