Webセキュリティの小部屋

Twitter のフォローはこちらから Facebook ページはこちら Google+ページはこちら RSSフィードのご登録はこちらから
公開日:2016年4月7日
最終更新日:2016年8月20日

オープンソースのIDSであるOSSECを試してみた

警告

記事を書いた後に公開された情報ですが、OSSEC は脆弱性が発見されている上、すでにメンテナンス終了しているようなので利用は非推奨となります。

【セキュリティ ニュース】オープンソースIDS「OSSEC」向けウェブUIに脆弱性 - 利用は非推奨(1ページ目 / 全1ページ):Security NEXT

はじめに

Sucuri というセキュリティ企業が、 3月17日(米国時間)にオープンソースの侵入検知システムであるOSSEC (Open Source Intrusion Detection System) の紹介をしました。

OSSEC は HIDS と区分されるホスト(サーバー)に IDS をインストールして使用するものになります。OSSEC は以前からオープンソースとして公開されていたようですね。

WordPress との連携もできるようなので試してみました。

検証環境は、CentOS 6.7 + WordPress になります。

最新の CentOS 7 を使用しなかったのは、OSSEC がビルドしてインストールするツールなので、不具合時に対応しやすい環境を使いたかったからです。

ちなみに、VPS で検証を行ったのですが、使用した VPS サービスは「DigitalOcean」です。1時間単位で課金がされるので、安心して利用することができます。ちなみにこのリンクからサービスに登録すると $10 のクレジットがプレゼントされます。

OSSEC のインストール

OSSEC はビルドしてインストールするとで、まずは gcc と make をインストールします。

gcc はなぜかインストールがうまくいかず、何回かインストールしてみたら問題が解決しました。gcc のインストールに失敗した場合、OSSEC のインストール時に以下のエラーが表示されるのですぐ分かります。

次に以下のコマンドを実行して、ソースコードをダウンロードして解凍します。

この時、ls -la を実行すると権限がおかしくなっていました。なので、権限を root に変更します。

これでインストールの準備が整ったので、以下のコマンドでビルドとインストールを実行します。

インストールする言語を聞かれるので、日本語の jp を指定してエンターキーを押します。

インストールが始まるメッセージが表示されるので、エンターキーを押します。

以下のメッセージが表示されるので、ここでは server を入力してエンターキーを押します。

ちなみに、help でインストールの種類を表示できるのですが、具体的には以下のようになります。

後はメール設定以外はデフォルトなので、そのまま載せておきます。

これでインストールが完了したので、以下のコマンドで OSSEC を起動します。

WordPress の設定

OSSEC を WordPress を連携させるには、少々設定が必要です。

まず、「Sucuri Security – Auditing, Malware Scanner and Security Hardening.」というプラグインを新規インストールします。プラグインは新規追加で「Sucuri Security」を検索することで表示できます。

そして、WordPress のログを OSSEC に出力するための設定を行います。なお、このログファイルは PHP で書き込み可能である必要があります。ですので、以下のようにコマンドを実行します。

今度は WordPress に戻って、Securi Security -> Settings -> Log Explorer の 「Absolute File Path:」に「/var/log/wordpress.log」を入力して「Save」をクリックします。

そして、以下のコマンドを実行して、このログファイルを OSSEC の管理下に起きます。

実際に実行してみる

いくつかサンプルがあったので、実行してみます。

SSH のログインに失敗すると以下のようなメールが届きます。

WordPress のログインに失敗すると以下のようなメールが届きます。

WordPress のログインに成功すると以下のようなメールが届きます。

システムに異常がある時、以下のようなメールが届きます。これは便利な機能ですね。

おわりに

OSSEC には、他にもパスワードのブルートフォースアタックに対する機能や WordPress のログインの成否履歴などがあり、多機能なのでここでは全部紹介できませんが、結構よい IDS であると言えるのではないでしょうか。

また、有料の機能では、WAF (Web Application Framework) などいろいろあるので、そちらも検証してみると Web サイトをかなり安全に運用できるのではないかと思います。

参考サイト


スポンサーリンク




カテゴリー:ブログ

Twitter でも、いろんな情報を発信しています。



コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

CAPTCHA