はじめまして。松本と申します。
今回から、ブログの投稿をさせていただきます。
よろしくお願いします。
今回は、改ざん検知を行うことができるソフトウェアについて、ご紹介します。
改ざんと言えば、去年は一部のレンタルサーバサービスで、WordPressを利用したサイトの改ざんが話題になりました。
レンタルサーバでは、WordPressやWebサーバの設定などを利用者が細かく設定することが出来ない場合があります。
そのため、セキュリティ対策はレンタルサーバサービスのプロバイダに任せることになります。
しかし、多くの企業では、Webサーバをデータセンターやクラウド上(IaaS)に構築して、サイトを運用している場合が多いと思います。
その場合は、少なくとも次のような点を考慮するべきです。
- OSやミドルウェアのセキュリティ対策(最新版への更新など)
- 不要なサービス(機能)の停止
- ファイルやフォルダの権限の適切な設定
- アカウント管理、パスワード管理
- ファイアウォールやWAFの設置と適切な運用
- サーバやサービスへの監視
- 不正アクセスや改ざんなどの検知
もちろん、全てを完璧にすることは難しいです。
出来るところから、徐々に改善していきましょう。
さて、本題の「改ざん検知」についてです。
改ざん検知は、ホスト型IDSと呼ばれるソフトウェアを使うことで実現できます。
その中でも「手軽にはじめられるもの」=「OSSで情報が入手しやすいもの」をご紹介します。
- Tripwire
Tripwireには、OSS(GPLv2)のものと有償のものがあります。
OSS版であれば、すぐに使いはじめることが可能ですし、歴史も長いので情報も多いです。
しかし、2000年ごろに有償化され、現在OSSとして入手できるのはLinux版だけです。
CentOS 6では、EPELリポジトリから入手することが出来ます。 - AIDE
AIDEは、OSS(GPL)です。
Tripwireが有償化されたため、代替品として使われることが多くなりました。
CentOS 6では、標準リポジトリ(base)に含まれています。 - OSSEC
OSSECは、中央サーバとエージェントで構成されるOSS(GPLv2)です。
複数のサーバに対してエージェントを導入して、中央サーバで情報を集約します。
改ざん検知以外にも、Rootkitを検知する機能もあります。
CentOS 6では、atomicリポジトリから入手することが出来ます。 - inotifywait
inotifywaitは、inotify-toolsに含まれている、OSS(GPLv2)です。
Linux kernelのイベント通知機構のフロントエンドとなるソフトウェアで、改ざん検知に特化したものではありません(IDSではありません)。
特定のファイルやフォルダに対して、作成/削除/更新などが行われた際に、指定したコマンドを実行することが出来ます。
改ざん検知として利用する場合は、通常、シェルスクリプトを自作することになります。
CentOS 6では、EPELリポジトリから入手することが出来ます。 - incron
incronは、inotifyと同様に、Linux Kernelのイベント通知機構のフロントエンドとなるOSS(GPL)です。
こちらもIDSではありませんが、inotifywaitのように、特定のイベントに対して指定したコマンドを実行することが出来ます。
よく使われているcronは、指定した時間が訪れる度にコマンドを繰り返しますが、incronは、指定したイベント(作成/削除/更新など)が検知される度にコマンドを実行します。
CentOS 6では、rpmforgeリポジトリから入手することが出来ます。
改ざん検知には、有償の素晴らしい製品がいくつかありますが、まずは今回ご紹介したソフトウェアで運用してみては如何でしょうか。
(昔使っていたOSIRISって、まだ公開されているのかな・・・)
