ホスト型 IDS Tripwire とネットワーク型 IDS Snort の導入 (CentOS 6)

Tripwire

# rpm -ivh https://dl.fedoraproject.org/pub/epel/epel-release-latest-6.noarch.rpm
# yum install --enablerepo=epel tripwire
# tripwire-setup-keyfiles

/etc/tripwire/以下にサイトキーファイル(site.key)や平文のポリシーファイル(twpol.txt)が生成される。

ポリシーファイルの作成

# twadmin --create-polfile --site-keyfile /etc/tripwire/site.key /etc/tripwire/twpol.txt

データベースの初期化

# tripwire --init

整合性チェック

# tripwire --check

/var/lib/tripwire/report/以下にtwrファイルが生成される。

レポートの確認

# twprint --print-report --report-level 4 --twrfile /var/lib/tripwire/report/dc56dd103a9c-20180917-103119.twr

/etc/tripwire/twcfg.txt には平文のシステム設定ファイルがある。

ROOT                   =/usr/sbin
POLFILE                =/etc/tripwire/tw.pol
DBFILE                 =/var/lib/tripwire/$(HOSTNAME).twd
REPORTFILE             =/var/lib/tripwire/report/$(HOSTNAME)-$(DATE).twr
SITEKEYFILE            =/etc/tripwire/site.key
LOCALKEYFILE           =/etc/tripwire/$(HOSTNAME)-local.key
EDITOR                 =/bin/vi
LATEPROMPTING          =false
LOOSEDIRECTORYCHECKING =false
MAILNOVIOLATIONS       =true
EMAILREPORTLEVEL       =3
REPORTLEVEL            =3
MAILMETHOD             =SENDMAIL
SYSLOGREPORTING        =false
MAILPROGRAM            =/usr/sbin/sendmail -oi -t

Snort

# yum install -y wget
# wget http://ftp.riken.jp/Linux/fedora/epel/RPM-GPG-KEY-EPEL-6
# rpm --import RPM-GPG-KEY-EPEL-6
# vi /etc/yum.repos.d/epel.repo
# yum install -y libnet-devel libdnet-devel --enablerepo=epel
# yum install -y  https://forensics.cert.org/centos/cert/6/x86_64/daq-2.0.6-2.el6.x86_64.rpm
# yum install -y https://forensics.cert.org/centos/cert/6/x86_64/snort-2.9.11.1-2.el6.x86_64.rpm

epel.repo

[epel]
name=EPEL RPM Repository for Red Hat Enterprise Linux
baseurl=http://ftp.riken.jp/Linux/fedora/epel/6/$basearch/
gpgcheck=1
enabled=0

設定ファイル作成

# vi /etc/snort/snort-sample.conf 

snort-sample.conf

alert tcp any any -> any 80 (msg:"web detection test"; content:"DETECTION-TEST";nocase; sid:1000000;)

起動

# snort -i eth0 -c /etc/snort/snort-sample.conf 

参考

  • Tripwire
    https://www.tripwire.com/
  • Snort – Network Intrusion Detection – Prevention System
    https://www.snort.org/

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です