ossec - みる会図書館

1. UNIX MAGAZINE 2006年2月号

連載 / ネットワークとセキュリティ図 8 通知メールの例 To : く true@example . com> " sshd [ 30713 ] : lllegal user no—such-user from 10.20.18.19 Portion of the log(s) : Ru1e : 404 fired (level 10 ) ー > "Attempt t0 login using a non—existent usert Received From: /var/log/secure 2005 Dec 20 02 : 01 : 18 OSSEC HIDS Notification . Subject : OSSEC HIDS N0tification ー A1ert level 10 From: OSSEC HIDS く ossect@ossec-hids . example ・ jp> —END OF NOTIFICATION く alerts> く 10g > 1 く / 10g > く mai1—notification>5 く /mail—notification> く /alerts> こで使われている要素の未は次のとおりです。・ log 要素 : ログに言泉する重要度を指定します。この例では重要度 1 以上のイベント ( つまり全イベント ) を口グに言泉します。・ mail-notification 要素 : メールで通知する重要度を指定します。この例では、重要度 5 以上のイベントのみメールで通知します。メール通知関連言又疋メール通知関連の設定例を以下に示します。く g10baI > く mail—notify>yes く /mail—notify> く emailto>true@example . comく/emailto> く smtpserver>localhost く /smtpserver> く emailfrom>ossect@ossec—hids example ・ jp く /emailfrom> く / global > 各要素の意床は下記のとおりです。・ mail-notify 要素 : メールによる通知の有無を yes/no で設疋します。 yes の場合にはイベント通知メールを送信し、 no の場合には送信しません。デフォルト値は no です。・ ernailto 要素 : 通知メールの宛先メールアドレスを指定します。・ smtpserver 要素 : メールの送信に利用する SMTP サーバーのホスト名 /IP アドレスを指定します。 UN 工 X MAGAZINE 2006.2 ・ emailfrom 要素 : 通知メールの送信元メールアドレスを指定します。図 8 に通知メールの例を示します。ログファイル ☆ http://www.atmarkit.co.jp/fsecurity/rensai/ はじめの一歩 —rootkit を検出するために ~ 連載 : インシデントレスポンス [ URL] ( しらはた・しん慶應義塾大学 ) 開発力随められており、今後カしみなソフトウェアです。キュメンテーションの面で課題は残っていますが、活発に能を統合したツールです。現時点では各機能の元成度やド OSSEC HIDS は、既存のさまざまなホスト型 IDS の機 Dec/ossec-alerts-18. log に保存されます。 18 日のアラートログは、 /var/ossec/logs/alerts/2005/ ィレクトリ以下に保存されます。たとえば、 2005 年 12 月 OSSEC HIDS カ己録したログは /var/ossec/logs デ rootkit02/rootkit01. html 55

2. UNIX MAGAZINE 2006年2月号

# config: /var/ossec/etc/ossec . conf service ossec supports chkconfig, but is not , referenced in any runIeve1 - (run 'chkconfig ——add ossec' ) そこで、 OS 起動時に OSSEC HIDS が自動起動する設定が反映されているカ認します。 # /sbin/chkconfig --add ossec ように設定を変更します。 # /sbin/chkconfig ——list ossec 連載 / ネットワークとセキュリティ図 5 コンパイル完了後のメッセージ System is Linux (SysV based) . . 0 Ⅱ - The configuration can be viewed or modified at /var/ossec/etc/ossec . conf /var/ossec/bin/ossec—control stop To stop OSSEC HIDS : /var/ossec/bin/ossec—control start To start OSSEC HIDS : Configuration finished properly. Added /etc/rc . d/init . d/ossec to co Ⅱ t て 01 OSSEC HIDS # description: OSSEC HIDS is a complex system that abstracts multiple \ # chkconfig : 2345 45 15 図 6 産カスクリプト勛ロする内容 Press any key tO finish (more information bellow) . More information can be found at http: //www. ossec . net/hids/ (http://mailman . underlinux. com.br/mailman/listinfo/ossec-list) . ossec—list@ossec . net contact us at contact@ossec . net or using our public maillist at If you have any question , suggestion or if you find any bug , Thanks for using the OSSEC HIDS . host—based intrusion detection capabilities intO a single scalable and powerful infrascture . 0 S S e C 4 : on 0:off l:off 6:off 5 : on 2 : 0 Ⅱ 3 ・最後に、手動で起動をおこないます。 OSSEC HIDS 全般に関する設定は、基本的に / var / 設定のカスタマイス # /etc/rc . d/init . d/ossec start 50 説明します。はとくに断らないかぎり、このファイルを編集する前提で ossec/etc/ossec. conf ファイルでおこないます。以降でなお、設疋を反映するには、各プロセスに HUP シグナルを送るか、 # /etc/rc . d/init . d/ossec restart UNIX MAGAZINE 2006 . 2 く localfile> く /localfile> く location>/var/log/messages く /location> く group>syslog く /group> く localfile> 的には、以下のようになっています。 messages と /var/log/secure カ第ス疋されています。具体します。デフォルトでは、ログファイルとして / var / 1 。 g / まず、チェック対象とするログファイルの設定から説明に分類できます。ァイルの設定と、対象ログファイルのパターン設疋の 2 つす。この機能に関する設定は、チェック対象とするログフログチェックは、 OSSEC HIDS の中心となる機能でログチェック機能ます。コマンドなどで OSSEC HIDS を再起動する必要があり

3. UNIX MAGAZINE 2006年2月号

連載 / ネットワークとセキュリティ UNIX 系 OS で Rootkit を検出するツールとしては、イルの存在自体を隠蔽する手法もあります。を用いることでシステムコールを改竄し、プロセスやファかれてしまうこともあるため、 LoadabIe KerneI ModuIe また、たんにファイルを改竄しただけでは、管理者に気づスがあります。マンドを用意しておき、本物のコマンドを上書きするケーセスのみを表示しないように改竄した ps コマンドや ls コ在を隠蔽するため、不正プログラム関連のファイルやプロっては不都合です。そこで、これらの不正プログラムの存せると、管理者にその存在を気づかれやすく、侵入者にとこれらのプログラムを通常のプログラムと同様に動作さ蔽するツールをまとめたものを Rootkit と呼びます。このような不正プログラム、あるいはこれらの存在を隠 rootkit-hunter. html http://www.rootkit.nl/projects/ ・ Rootkit Hunter http://www.chkrootkit.org/ ・ chkrootkit 下記のものカ陏名です。になりました。 XCP には、ファイル名が $ sys $ から始ま Windows 用 Rootkit が含まれていたとして大きな問題最近では、 SONY BMG の CD に「 XCP 」というる場合にそのファイルの存在を隠蔽する機能があり、らがウイルスなどに悪用されています。 OSSEC HIDS の導入これ OSSEC HIDS は、 DanieI B. Cid 氏によって開発されたホスト型 IDS で、ファイル整合性チェック、ログチェック、 Rootkit 検知の機能を備えています。 OSSEC HIDS では、単一ホストのみで運用するローカル運用と、ネットワークを介した運用がおこなえます。後者の方法では、 OSSEC HIDS か彳家動 3- るホストから情報を収集し、一括管理できます。今回は、ローカル運用に絞って説明します。インストールの手順こでは、 1 台のホストで OSSEC HIDS を運用する環境でのインストール方法について説明します。 UNIX MAGAZINE 2006.2 原稿執筆時点での OSSEC HIDS の最新バージョンは 0.5 です。今回は、 OSSEC HIDS 0.5 を Red Hat En- terprise Linux 4 のクローン・ディストリビューション CentOS 4.2 上で利用する肘是で説明を進めます。なお、 FAQ によれば、 OSSEC HIDS は POSIX 互換システムで動作し、 Red Hat Linux 8 / 9 、 Fedora Core 2 / 3 などの Linux ディストリビューション、 OpenBSD 3.5 / 3.6 / 3.7 、 FreeBSD 5.2.1 / 4.10 ー BETA 、 Mac OS X といった BSD 系 OS 、 SoIaris 9 などでの動作カ蔀寉認されているそうです。まず、 Web サイトから OSSEC HIDS のアーカイプを入手します。アーカイプは、・ http://www.ossec.net/hids/index.php の、 Downloads" から入手できます。ファイルをダウンロードしたら、 SHA-I チェックサムを確認します。チェックサムの値が F 記と同じであればオリジナルのアーカイプと同一です ( 誌面の都合上、で折り返しています。以下同様 ) 。 $ shalsum ossec—hids-0.5. tar ・ gz f4080d9ea9C202227232285eb5062C4a7717aae7 => *ossec—hids—0.5. tar ・ gz 続いて、入手したアーカイプを展開します。 $ tar xvzf ossec—hids-O. 5. tar. gz 次に、作成されたディレクトリに移動します。 $ cd ossec—hids-O . 5 そして、 r 。。 t になってインストール・スクリプトを実行します 2 。 $ su # . /install . sh 以下に、スクリプトによるインストールの手川頁を示します。各機能の細かい設疋については、朝行で説明します。インストール・スクリプトか起動すると、コンパイラがインストールされている場合には図 1 の画面になります。イ 2 . /install. sh は、プログラムのコンパイルだけでなく、インストール先ディレクトリ乍成、 OSSEC 実行用アカウント乍成などもおこなうため、 root で実行する必要があります。本来は root 欟艮でのコンパイルは避けたほうがよいのですが、 . /install.sh を利用しない場合には、手でインストール作業をしなければならないため、今回はスクリプトを利用する方法を紹介します。 47

4. UNIX MAGAZINE 2006年2月号

連載 / ネットワークとセキュリティ図 1 インストール・スクリプトの起重桓面 Cheking Dependencies : Checking f0 て gcc Found : gcc go tO our website in the documentation session. For more options and information active response , host—deny enabled ( 10Ca1 ) for levels > = 8 DO you want tO enable the host—deny response?(yes/no)y a1S0 add them tO bIOCk on snort events (for example) . portscans and some other forms Of attacks . You can They can be used tO stop SSHD brute force scans, only) . second one i11 bIOCk the hOSt 0 Ⅱ iptables (linux w 土 11 add a hOSt tO the /etc/hosts . deny and the and the iptables—drop responses . The first one By default , we can enable the host—deny and the Active response enabled. DO you want tO have active response enabled? (yes/no)y http : //www. ossec. net/hids/config ・ php#active—response specific user (for example) . block an IP address or disable access for a command based 0 Ⅱ the events received . You can 3.4 ー Active response a110ws you tO execute a specific 図 2 アクティブ・レスポンス E の言 Hit any key tO continue or Ctr1—C tO abort Host : ossec—hids . example ・ JP User : root System: Linux ossec-hids . example . jp 2.4.21ー37. ELsmp dcid@ossec . net ()r daniel . cid@gmail . com) . Any question, suggestion or comment , please send an e—mail tO You must have a C compiler pre—installed in your system. You are about tO start the installation process Of the OSSEC HIDS . OSSEC HIDS v0.5 lnstallation Script ー http: //www. ossec . net/hids/ ンストールを続行するには、適当なキー (Enter キーなど ) を入力します。 1 ー What kind Of installation do (server,agent ,local,help)? 10Ca1 Loca1 installation chose . you want 、こではローカルにインストールするため、入力して于します。 2 ー Setting up the working environment . 48 loca にと Where do you want to install OSSEC HIDS? 3 ー Configuring OSSEC HIDS . します。ォルト値の /var/ossec をそのまま使うので、インストール先ディレクトリを指定します。今回はデフ d0 want t0 keep it ? (y/n)y The default location is /var/ossec, 、、 y " と入力 UNIX MAGAZINE 2006.2

5. UNIX MAGAZINE 2006年2月号

連載 / ネットワークとセキュリティ図 3 基本言諚の終了 —DXML_VAR=\"var\" —DOSSECHIDS —c os_xml . c os_xml—access . c os_xml—node—access . c os—xml—variables . c gcc —DXML—VAR=\"var\" —wall ーエ .. / —I.. /headers -DLOCAL —DUSE—OPENSSL ¯DARGVO=\" os—xml\" ・ make [ 1 ] : Entering directory ( /usr/local/src/ossec—hids-(). 5/src/os-xm1' Making os-xml Running the Makefi1e 5 ー lnstalling the system 図 4 プログラムのコンパイル Press Any Key tO continue visiting us online at http: //www. ossec. net/hids/ Any questions about the configuration can be solved by /var/ossec/etc/ossec. conf and add a new localf 土 le entry. If any want to monitor any other file , Just change /var/log/secure /var/log/messages 3.7 ー Setting the configuration to analyze the following logs : ー RESULTS START HERE ー 3.1 ー Do you want e—mail notification (y/n)?y What ' s your e—mail address? true@example . com What ' s your smtp server ip/host? localhost アラートが発生した場合に電子メールで通知するかどうかを指定します。この例では、電子メールによる通知機能を有効にし、 true@example.com 宛にメールを送信するように設疋しています。また、メールを送信する SMTP サーバーとして localhost を指定します。 3.2 ー DO you want tO run the integrity check - daemon? (yes/no) y Running syscheck (integrity check daemon) ファイルの整合性チェック機能を有効にするかを指定します。今回はファイル整合性チェック機能を有効にするため、、、 y " と入力します。 UNIX MAGAZ 工 NE 2006.2 定します ( 図 2 ) 。今回はアクテイプ・レスポンス機能を利次に、アクテイプ・レスポンス機能を効にするかを指 Rootkit 検知機能を有効にするため、、、 y " と入力します。 Rootkit 検知機能を有効にするかを指定します。今回は Running rootcheck (rootkit detection) detection engine?(yes/no)y 3.3 ー DO you want tO run the rootkit - 用する設疋とし、 hosts. deny ファイルの動的更新機能を有効にするため、両方とも、、 y " を入力しています。これで OSSEC HIDS の基本的な設定が完了し、設疋ファイルカイ乍成されました ( 図 3 ) 。続いてプログラムのコンパイルがおこなわれます ( 図 4 ) 。コンパイルカ墹題なく終了すると、図 5 のようなメッセージカ示されます。最後に、適当なキーを入力すればプログラムのインストールは完了です。 chkconfig への対応現在のバージョンの OSSEC HIDS は、 /etc/rc. d/init . d/ossec に起動用スクリプトをインストールするものの、 chkconfig に対応していません。そこで、 chkconfig に対応させるために走師カ用スクリプトを修正します。 # vi /etc/rc . d/init . d/ossec テキストエデイタで起動スクリプトを開き、 5 行目に図 6 の内容を追加します ( 、、 description" のコロン以降の説明は適当な内容でもかまいません ) 。次に、現在の OSSEC HIDS の起動スクリプトの状況を表示します。デフォルトの状態では自動起動するように # /sbin/chkconfig ——list ossec 設疋されていないはずです。 49

6. UNIX MAGAZINE 2006年2月号

てチェックをおこないます。連載 / ネットワークとセキュリティ UNIX MAGAZINE 2006.2 4 http://www.ossec.net/rootcheck/ に置き換えられているとして検知します。が含まれている場合に、これらのコマンドがトロイの木馬ルでは、シグネチャで定義されたコマンド中にある文字列ャ・ファイルのパスを指定します。 Rootkit 検知モジューの木馬と、それに含まれている文字列を定義したシグネチ rootkit-trojans 要素では、既知の R00tkit のトロイといったシステムコールを使ってチェックします。ァイル名か有在するかどうかを、 stats 、 fopen 、 opendir します。 Rootkit 検知機能は、シグネチャで指定されたフ名一覧が含まれているシグネチャ・ファイルのパスを指定 rootkit-files 要素で、既知の Rootkit 関連のファイルく /rootcheck> rootkit—trojans . txt く /rootkit—trojans> <rootkit—trojans>/var/ossec/etc/shared/=> ・ rootkit_files . txt く /rootkit_files> く rootkit—files>/var/ossec/etc/shared/* く notify>queue く /notify> く rootcheck> 定は次のとおりです。 Rootkit に関連する /var/ossec/etc/ossec. conf の設 check4 をもとにしたものです。氏によって作成された Rootkit 検知ソフトウェア Root- HIDS の Rootkit 検知機能は、これも Daniel B. Cid ックすることで Rootkit を検知する機能です。 OSSEC Rootkit 検知機能は、シグネチャと不審な挙動をチェ Rootkit 検知機能てみるのもよいでしよう。 AIDE など、ほかの整合性チェックツールの利用を検討しため、より柔軟な設定力球められる場合には Tripwire やなハッシュ・アルゴリズムが MD5 のみという制約があるクの対象となるファイルを細かく指定できない、利用可能 OSSEC HIDS 0.5 の syscheck では、整合性チェッで指定します。のように、対象外とするファイルを syscheck-ignore 要素く syscheck—ignore>/etc/mtab く /syscheck—ignore> 対象から外すには、 <global> と </global> のあいだに、指定ディレクトリ内のあるファイルを整合性チェックのこのほかにも、 Rootkit 検知機能では、次のような手法を用いてシステムに不審な点がないかどうかをチェックします。・ / dev ディレクトリの調査通常、 /dev ディレクトリに置かれているのはデバイスファイルと MAKEDEV スクリプトのみですが、多くの Rootkit は /dev にファイルを隠します。そこで、 /dev ディレクトリに不審なファイルがないかを調査します。ーミッションのチェック root カ所有者となっているファイルのうち、誰でも書込み可能なファイルや SUID されたファイル、みつかりにくいディレクトリなどをチェックします。・隠しプロセスの調査 getsid() と kill() システムコールを用いてプロセス ID カ坏リ用されているかどうかをチェックし、プロセスの存在を確認します。そして、この結果と ps コマンドの出力を比較し、 ps コマンドから隠されているプロセスがないかを確認します。・ポート番号の調査 TCP と UDP のすべてのポート番号に対して bind() を実行し、実際に利用されているポート番号を調査します。さらに、 netstat コマンドの出力と比較し、 netstat コマンドカ症しい結果を出力しているかを確認します。・ promiscuous モードの不寉言忍侵入者はホストへの侵入後、スニッフィングをおこなうために NIC を promiscuous モードにすることがあります。このため、 NIC の動作モードとして promiscu- ous モードカ第ス疋されているかどうかを確認し、 ifconfig の出力と比較します。 Rootkit オロツール利用上の注意 OSSEC HIDS にかぎらず、多くの Rootkit 検知ツールには次のような制約があるため、利用にあたっては注意が必要です。・ Rootkit 関連ファイルのファイル名がもとの名前から変更されている場合には、検知できない場合がある。正常なコマンドにシグネチャで定義されている文字列が含まれている場合、トロイの木馬として検知されることがある。 53

7. UNIX MAGAZINE 2006年2月号

連載 / ネットワークとセキュリティ 54 るコマンドを指定します。実行対象となるプログラム・ executable 要素 : アクテイプ・レスポンスで実行されています。 IP アドレス ) と username ( ユーザー名 ) のみに対応し・ expect 要素 : 対象を指定します。現在は srcip ( 送信元・ name 要素 : コマンドの名前を設疋します。 command 要素内では、以下の子要素を指定できます。く /command> く timeout—allowed>yes く /timeout_allowed> く expect>srcip く /expect> く executable>host—deny. sh く /executable> く name>host—deny く /name> く c ommand> れるコマンド関連の定をおこないます。 command 要素では、アクテイプ・レスポンスで実行さ定について説明します。以下に、アクテイプ・レスポンス機能の例を示し、各設 11.22 からのアクセスを拒否するように言定しました。換えるスクリプト、、 host ー deny. sh " が実行され、 192.168. す。ここでは、 /etc/hosts. deny のエントリを動的に書きグからアラートを出力し、指定されたコマンドを実行しまといったログカ曵されます。 OSSEC HIDS は、このロ sshd [ 14448 ] : 工 llegal f00 from 192.168.11.22 、 foo" を用いた辞書攻撃がおこなわれた場合、 syslog には、たとえば、 SSH サーバーに対して存在しないログイン名な卸をおこなう機能です。撃元ホストからの接続を一定時間拒否するといった能動的のイベントが発生したときに任意のコマンドを実行し、攻アクテイプ・レスポンス機能は、攻撃の検知など、特定アクテイプ・レスポンス機能るなど廩重な判断が必要です。ほかのマシンでハードディスクをマウントしてチェックすしたがって、トロイの木馬として検知された場合でも、 init を言盟衾知したこともあります。ました。また、 chkrootkit が FreeBSD の正常な /sbin/ の正常な /usr/sbin/tcpd をトロイの木馬として言盟知しモジュールのもとになった Rootcheck 0.5 は CentOS 4 験しています。たとえば、 OSSEC HIDS の Rootkit 検知私は、 Rootkit 検知ソフトウェアの誤検知をいくつカは /var/ossec/active-response/bin 以下に置かれている必要があります。なお、コマンド実行時には第 1 引数に、、 add" 、第 2 引数にユーザー名、第 3 引数に IP アドレスが指定されます。・ timeout-allowed 要素 : タイムアウトを有効にするかを指定します。有効にした場合、タイムアウト後に、、コマンド名 delete " という形式でコマンドを実行します。次は active-response 要素です。この要素では、 com- mand 要素の起動条件を設定します。く active—response> く command>host—deny く /command> く location>local く /location> く Ieve1 > 8 く / Ieve1 > く timeout>600 く /timeout> く rules ー id > 400 , 401 ,402 く /rules—id> く /active—response> active-response 要素内では、以下の子要素を指定できます。・ command 要素 : command 要素内の name 子要素で指定したコマンドを指定します。・ location 要素 : コマンドを実行する場所を指定します。 local " はローカル、、、 a Ⅱ " はすべてのホストでコマンドを実行します。・ level 要素 : 指定されたレベル以上だった場合にのみ、アクテイプ・レスポンス機能を有効にします。この例では 8 以上の場合カ秋寸象となります。・ timeout 要素 : タイムアウトまでの時間を秒で指定します。・ rules-id 要素 : カンマ区切りで指定された ID にマッチしたイベントを対象にします。・ rules-group 要素 : ルールグループを対象に指定します。 rules-id と rules-group 、および level の各要素を同時に指定した場合には、 OR 条件で比較されます。通知設定 OSSEC HIDS は、メールによる通知とログファイルへの記録がおこなえます。アラート言又疋アラート関連の設定例を以下に示します。 UNIX MAGAZINE 2006 . 2

8. UNIX MAGAZINE 2006年2月号

ネットワークとセキュリティ白畑真統合ホスト型侵入検知システム OSSEC HIDS 今回は、統合ホスト型 IDS である OSSEC HIDS のインストールと設定について説明します。ホスト型 IDS とは侵入検知システム (IDS : lntrusion Detection Sys- tem) は、監視対象によってネットワーク型 IDS (NIDS) とホスト型 IDS (HIDS) の 2 種類に分類できます。ネットワーク型 IDS はネットワークのトラフィックを監視し、侵入と思われる通信を検知するシステムで、 2004 年 11 月号で紹介した Snort などカ陏名です。一方、今回とりあげるホスト型 IDS は、ホスト上の動作やログなどを監視し、侵入と考えられる事象を検知するシステムです。ーロにホスト型 IDS といっても、その動作方式や検知対象はさまざまです。以下に、おもなホスト型 IDS を動作方式によって分類してみます。ファイル整合性チェックツールファイル整合性チェックツールは、システム上のファイルの変更状況を調べて管理者に通知するツールです。一般的なファイル整合性チェックツールでは、まず、 MD5 や SHA-I などのハッシュ関数を用いてシステム上のファイルのチェックサムを算出し、それをデータベースに保管します。その後、定期的にファイルのチェックサムを算出してデータベース上の値と比較することで、ファイルの変更の有無をチェックします。ファイル整合性チェックをおこなうツールとしては、次のようなソフトウェアカ陏名です。・ Tr1pW1re http://www.tripwire.org/ 46 AIDE (Advanced lntrusion Detection Environ- ment ) http://sourceforge.net/projects/aide ・ Samhain http://la-samhna.de/samhain/ ログ・チェックツールログ・チェックツールは、 syslog や Apache などのログファイルに、パスワードの誤入力など、あらかじめ管理者によって定義された文字列がみつかったときに通知などをおこなうツールです。プログラムの異常終了やエラーメッセージカ第己録された場合、 NIDS などとは異なり、プログラムの動作をもとにした対処がおこなえます。おもなログ・チェックツールとしては、下記のソフトウェアが有名です。・ swat ch ftp://ftp.cert.dfn.de/pub/tools/audit/swatch/ Logsurfer http://www.cert.dfn.de/eng/logsurf/ ・ logcheck http://sourceforge.net/projects/sentrytools Rootkit 検知ツール Rootkit とは、侵入者がホストに侵入した痕跡を消したり、バックドアを設置するためのツール群です 1 。侵入者はホストへの侵入後、ログから侵入に関連した箇所を隠滅したり、バックドアや IRC ボット、 DoS 攻撃ツールなどのプログラムをインストールすることがあります。 1 Rootkit という言葉の明確な定義はなく、上記とは異なる未で用いられている場合があります。 UNIX MAGAZINE 2006 . 2

9. UNIX MAGAZINE 2006年2月号

Mac OS X のアプリケ - ション開発久保陽太郎先進的かっ魅力的な Mac OS X の開発環境を用いたネイティブ・アプリケーションの開発は、プログラマーにとって貴重な経験になるはずである。開発環境としての Mac OS X について、 Objective-C による Cocoa プログラミングの概要、 Xcode を用いた開発手法を解説し inux のプロセス白崎博生し inux カーネル 2.6.13 にもとづき、プロセスの生成から消滅までの仕組みを解説。今回は、スケジューラとディスパッチャのコ - ドをみながら、プロセスの切替えや起床、クロック割込み、スケジューラの呼出しについて説明する。 2 0 0 6 / 0 2 ( 0 n t e n t S [ 特集 ] 24 69 連載 4 4 5 8 9 0 UNIX Communication Notes ・・・・・・山口英情報管理の第一歩ネットワークとセキュリティ・・・・・・白畑真統合ホスト型侵入検知システム OSSEC HIDS 国立天文台のネットワーク・・・・・・大江将史 SSL VPN の導入—AventaiI EX -750 の基本設定天文学と UN Ⅸ・・・・・・台坂博 M 円による通信の性能を測るネットワーク・ミニ実験室・・・・・・荒井美千子 DNS サーバーの制御ーー rndc プログラムプログラミング・テクニック・・・・・・多治見寿和設定ファイルの読込みーー get ー work ⅱ st 関数 COVER, CONTENTS DESIGN, ILLUSTRATION ・ MORIYA, KAZUO (AUDREY THE DESIGN)

10. UNIX MAGAZINE 2006年2月号

連載 / ネットワークとセキュリティこのルールを指定されたルールの子ルールとして追加しく match>Fai1ed password for ILOGIN FAILURE ON く /match> く match>Authentication failed for ー invalid password for ーく /match> く match>FAILED LOGIN ー authentication failure l</match> く rule id = " 401 " 1eve1="7"> 図 7 ログインを示すルール窈列 (syslog-rules. xml) く comment>User missed the password く /comment> く /rule> く group>syslog く /group> く location>/var/log/secure く /location> く /localfile> チェック対象のログファイルを変更するには、 location 要素のノヾス名を書き換えます。 group 要素ではログのグループを指定します。現在利用可能なグループは、 syslog 、 snort-full 、 snort-fast 、 all です。次は、ログファイルのパターンの設疋です。デフォルトでは、 syslog (NFS 、 xinetd 、 sshd 、 cron 、 Linux カーネルなど ) 、 Cisco PIX FirewaII 、 BIND 、 ProFTPD のログファイルのパターン設疋をおこなう XML ファイルが定義されています。テキスト形式のログであれば、新たにルールを定義することで、任意のアプリケーションのログをチェックできます。なお、これらのファイルは /var/ossec/rules 以下にあく /rules> く include>proftpd—rules . xm1 く /include> く include>named—rules . xml く /include> く include>pix—rules . xm1 く /include> く include>syslog—rules . xm1 く /include> く rules> るという前提になっています。 UNIX MAGAZINE 2006 . 2 うち、ルールにマッチしたものを、アラート " というようです。 3 OSSEC HIDS では、ログの各データを、イベント " と呼び、イベントのく comment>SSHD brute force trying tO get - く if_matched—sid>404 く /if—matched—sid> く if—sid>404 く /if—sid> timeframe=t'120" ignore="60"> く rule id = " 408 " level = " 13 " frequency="8" - また、複数のルールに相関関係を指定できます。要素の内容もあわせて出力されます。ッチしたときにアラートを出力します。その際、 comment 述により、イベント 3 が match 要素で示された文字列にマベルとして 7 を定義しています。そして、 2 行目以降の記この例では、まずルール ID として 401 を、重要度のレールの例を示します。図 7 に、 syslog-rules. xml にあるログイン失敗を示すル access tO the system く /comment> く /rule> この例では、 ID 404 にマッチしたイベントが 120 秒間に 8 回以上あった場合、 sshd への総当たり攻撃がおこなわれたと判断して、 ID 408 のアラートを出力します。ただし、過去 60 秒間に当該アラートを出力している場合には、出力を抑制します。ルールの詳細以下では、ルールの重要度、主要な属性と要素について説明します。ルールは、重要度に応じて 0 ~ 16 の 17 段階に分類されます。各重要度の分類担隼は表 1 のとおりです。また、おもなルールの属性を表 2 に示します。ルールの要素には、以下のようなものがあります。・ group 図 7 のような複数のルールをグループ化し、グループに対して name 属性で名前を付けます。く group name="syslog, sshd " > ネ夏数のルールく /group> ・ match ルールにマッチする単語を指定します。通常の文字列のー ()R 条件 ) 、、、 & " (AND 条件 ) 、 ( 行ほかに頭 ) 、、、 $ " ( 行末 ) カ駛えます。く match>FAILED LOGIN ー authentication , failure ーく /match> ・ regex ルールに正規表現でマッチする単語を指定します。く regex>AsuC\d + ] : + \S + \S + ¯root$ く /regex> く土fーSid>1400 く /if-sid> ます。・ if-sid ルールの説明。・ comment 51