lastlog、wtmp、btmp、utmpなどのログファイルに対する変更をauditdで監査する設定方法を確認しました
続きを読む
カテゴリー別アーカイブ: セキュリティ
auditdでネットワーク関連の設定変更を監査する
auditdでホスト名、ドメイン名、ネットワーク設定などネットワーク関連の設定変更操作を監査する設定方法を確認しました。
下記資料を参考にしました。
NSA(National Security Agency)の『Guide to the Secure Configuration of Red Hat Enterprise Linux 5』
設定例
/etc/audit/audit.rulesに下記設定を追加します。
(設定例)
-a exit,always -F arch=ARCH -S sethostname -S setdomainname -k system-locale
-w /etc/issue -p wa -k system-locale
-w /etc/issue.net -p wa -k system-locale
-w /etc/hosts -p wa -k system-locale
-w /etc/sysconfig/network -p wa -k system-locale
(設定例の監査内容)
・下記システムコールを監査。
sethostname
setdomainname
・下記ネットワーク関連の設定ファイルに対する書込み、属性変更を監査
/etc/issue、issue.net OSのバージョンが記載
/etc/hosts
/etc/sysconfig/network
・ログ記録の識別用に”system-locale”という文字列を付加
オプションの説明
・-a
ルールを追加
・-w ファイルパス
監査対象のファイルパスを指定
・-S [システムコール名 又は システムコール番号|all]
監査対象のシステムコールを指定
・-k key
ログなどに記録されるレコードを後で識別できるように付加する文字列。管理者がログをある特定の監査記録を検索したり削除する際に使用できる。
・-p [r|w|x|a]
監視するパーミッション。
r=読込み, w=書込み, x=実行, a=属性変更 関連記事の目次
auditdでユーザー・グループ設定ファイル変更操作を監査する
auditdでユーザーパスワードファイル、グループファイル、shadowファイルなどユーザー・グループに関する設定変更操作を監査する設定方法を確認しました。
下記資料を参考にしました。
NSA(National Security Agency)の『Guide to the Secure Configuration of Red Hat Enterprise Linux 5』
設定例
/etc/audit/audit.rulesに下記設定を追加します。
(設定例)
-w /etc/group -p wa -k identity
-w /etc/passwd -p wa -k identity
-w /etc/gshadow -p wa -k identity
-w /etc/shadow -p wa -k identity
-w /etc/security/opasswd -p wa -k identity
(設定例の監査内容)
/etc/group、/etc/passwd、/etc/gshadow、/etc/shadow、/etc/security/opasswdファイルに対する書込み、属性変更操作を監査する。
※/etc/security/opasswd
過去に使用したパスワードが保存されているファイル
※/etc/gshadow
グループのパスワード
オプションの説明
・-w ファイルパス
監査対象のファイルパスを指定
・-k key
ログなどに記録されるレコードを後で識別できるように付加する文字列。管理者がログをある特定の監査記録を検索したり削除する際に使用できる。
・-p [r|w|x|a]
監視するパーミッション。
r=読込み, w=書込み, x=実行, a=属性変更 関連記事の目次
auditdで時間設定変更操作を監査する
auditd監査ルールの設定方法
auditdの監査ルール設定方法の概要をまとめました。
下記資料を参考にしました。
NSA(National Security Agency)の『Guide to the Secure Configuration of Red Hat Enterprise Linux 5』
続きを読む
auditdのログ容量の設定
auditdの監査ルール設定方法の概要をまとめました。
下記資料を参考にしました。
NSA(National Security Agency)の『Guide to the Secure Configuration of Red Hat Enterprise Linux 5』
●auditd監査ルールで設定できる事
・開始または終了に関わる任意のシステムコールを追跡出来る。
・プロセスID、ユーザーID、成功した呼出、システムコールの引数を使って検索するなどフィルタリングが出来る。
・ファイル内のコンテンツ、メタデータの変更をモニタ出来る。
●監査ルールの設定方法
・設定ファイル
/etc/audit/audit.rules
/etc/audit/audit.rules内に設定されている項目が”auditctl”に渡されて、一つ一つテストされます。
・推奨の監査ルールが”/usr/share/doc/audit-(バージョン番号)/stig.rules”に用意されています。
このファイルをコピーして/etc/audit/audit.rulesにリネームして適宜カスタマイズしながら使用すると良いかと思います。
なお上記ファイル内に”arch=b32″や”arch=b64″など各アーキテクチャ用に記述されている部分がありますので、自サーバーに当てはまらない行はコメントアウトします。
ログイン時などに表示されるシステムバナーを変更するには?
システムバナーをシステムの利用権限に対する注意、権限のないユーザーへの警告、権限のあるユーザーに対してモニター中の注意書きを表示、といった用途で使用する事も出来ます。
システムバナーを設定するには?
①/etc/issueファイル
/etc/issue内の記述が、ユーザーが直接ターミナルにログインする時に表示されます。
例)CentOS6.4のデフォルトの設定内容
CentOS release 6.4 (Final)
Kernel \r on an \m
※\r、\mなどのシーケンスについては下記サイトに記載されていました。
/etc/issueおよび/etc/issue.netに記述可能なシーケンス
\r OSのリリースを表示
\m マシン(ハードウェア)タイプを表示
②ネットワーク経由でのログイン
・ネットワーク経由のログインでは、/etc/issue.netがデフォルトで使われるようです。
③sshやftpなどのリモートログイン
sshやftpなどのリモートログインにおいても/etc/issueの内容が表示されるように設定する事が出来るようです。
sshのバナーの設定は、/etc/ssh/sshd_configで下記設定をする必要があるようです。
Banner /etc/issue 関連記事の目次
CentOSにホスト型侵入検知ソフトAIDE(Advanced Intrusion Detection Environment)を導入
以前ファイルの改ざん検知用にTripwireを導入しましたが、AIDE (Advanced Intrusion Detection Environment)というパッケージもソフトウェアのインテグリティチェックを行う事が出来るようなので試しに導入してみました。
続きを読む
ファイルの改ざん対策用にTripwireを導入
NessusでVPSサーバーの脆弱性診断 Apache ディレクトリ内一覧表示
NessusでVPSサーバー(CentOS6.2)の脆弱性診断を行った際、重要度は”Info”ですが、Webサイトのコンテンツを保持しているディレクトリ内の情報が見られる状態になっているという脆弱性がありました。
続きを読む