3月
01

侵入検知系の覚え書き(3)

issy MacOSX 2010-03-01

侵入検知系の覚え書き(3)■ [osiris]OSX用のおすすめ設定(WSMから本人投稿を再掲載 2004年2月)
前回までに設定したマシンmyclient01はOS標準の検知設定になっています。OSX用は以下のように表示されます。設定の書式はapacheと似ていてわかりやすいです。(とドキュメントに書いてある):-)

  1. osiris-3.0.4-current: host myclient01 ←osirisにログインしてhost xxxxとしてホスト設定に入る
  2. myclient01 is alive. ←該当ホストが有効になっていればaliveと表示される
  3. osiris-3.0.4-current[myclient01]: print-config ←print-configで現在の設定が表示される
  4. config name: default.darwin ←OSX用のデフォルト
  5. ID: 8850eba9
  6. status: valid
  7. errors: 0
  8. warnings: 0
  9. lines: 43
  10.  
  11. --------begin config file --------
  12.  
  13. Recursive no ←ディレクトリをたどっていかない
  14. FollowLinks no ←リンクをたどっていかない
  15. IncludeAll ←全ての項目をチェック
  16. Hash sha ←ハッシュにはshaを使う
  17. <System> ←システム項目に関する設定開始
  18.  Include users ←ユーザの追加削除をチェック
  19.  Include groups ←グループの追加削除をチェック
  20.  Include kexts ←機能拡張の追加削除をチェック
  21. </System> ←システム項目の設定終了
  22. <Directory /> ←/ディレクトリに関する設定開始
  23.  Recursive no ←/ディレクトリだけを見ます
  24.  Include file( "mach_kernel" ) ←/mach_kernelのファイルだけを見ます
  25. </Directory>
  26. <Directory /private/var/root> ←/private/var/rootディレクトリに関する設定開始
  27.  Recursive yes ←/private/var/rootディレクトリ以下もたどって見ます
  28.  Include executable ←実行形式のファイルだけを見ます(推測)
  29.  Include suid ←suidされたファイルだけを見ます(推測)
  30. </Directory>
  31. <Directory /bin>
  32.  IncludeAll ←全ての項目をチェック
  33. </Directory>
  34. <Directory /usr/bin>
  35.  IncludeAll
  36. </Directory>
  37. <Directory /usr/local/bin>
  38.  IncludeAll
  39. </Directory>
  40. <Directory /sbin>
  41.  IncludeAll
  42. </Directory>
  43. <Directory /usr/sbin>
  44.  IncludeAll
  45. </Directory>
  46. <Directory /System/Library/StartupItems>
  47.  IncludeAll
  48. </Directory>
  49. <Directory /System/Library/Extensions>
  50.  IncludeAll
  51. </Directory>
  52.  
  53. # EOF
  54.  
  55. -------- end config file --------

OSXではApplicationフォルダにファイルが追加されることが多いのでその設定を加えるためには、上記に以下の設定を追加すればOKです。

  1. <Directory /Applications>
  2.  IncludeAll
  3. </Directory>

設定を追加する時には以下のようにします。

  1. osiris-3.0.4-current[myclient01]: edit-config ←編集コマンド(必ずホスト設定にいないといけないです)

こうするとviエディタの画面になり上記の設定が表示され編集できます。編集を終えてviを終了すると以下の表示が出て完了します。

  1. config file changed, updating...
  2.  
  3. the config: (default.darwin) was succesfully updated.

■ [osiris]Filterの設定
この状態でそのまま運用しても大きな問題はないんでしょうが、時々気になることが起きます。それは/usr/binや/usr/sbinのほとんどファイルでctimeが異なるという検知結果を送ってくることです。

これを出ないようにするためにはfilterの設定を行います。osirisではホスト設定にfilterがあるのではなく、osirisのマネージャ設定(mhost)側にfilterを書くのでちょっとわかりにくい感じがします。

filterは最初は何も登録されていないので、以下のコマンドから始めます。

  1. osiris-3.0.4-current: edit-filter  ←フィルタ編集コマンド
  2.  
  3. s) show current filters. ←現在のフィルタを表示するには「s」を入力
  4. a) add a new filter. ←フィルタを追加するには「a」を入力
  5. r) remove filter. ←フィルタを削除するには「r」を入力
  6. q) quit ←フィルタ設定を終了します
  7.  
  8. > a ←追加なので「a」とします
  9.  
  10. > host (*=all hosts): * ←どのホストに適用するフィルタかホスト名で指定します
  11. > path (*=any path): /Applications ←どのパスに適用するフィルタかフルパスで指定します
  12.  
  13. 1) Include Only (monitor changes only to certain attributes) ←標準監視設定の一部だけを有効にしたい場合こちらを選択します
  14. 2) Exclude (ignore changes to certain attributes) ←標準監視設定の一部を無効にしたい場合こちらを選択します
  15. > filter type: [2] 2 ←今回は標準監視設定のctimeだけを無効にするのでこちらを選択します
  16.  
  17. csum - checksum ←チェックサム
  18. device - device number ←デバイスナンバー(割り当てたネットワークカードが変わったりすると出ます)
  19. inode - inode number ←inodeナンバー(HD上の記録位置)
  20. perm - permissions (mode) ←アクセス権
  21. links - number of hard links ←ハードリンクの数
  22. uid - user ID ←ユーザID
  23. gid - group ID ←グループID
  24. mtime - last modification time ←最後に更新された時間
  25. atime - last access time ←最後にアクセスされた時間
  26. ctime - last change time ←最後に変化した時間???
  27. dtype - device type ←デバイスタイプ(よくわかりません)
  28. bytes - number of bytes ←ファイルの大きさ(バイト数)
  29. blocks - number of blocks ←ファイルの大きさ(ブロック数)
  30. bsize - block size ←ブロックのサイズ
  31. osid - owner SID ←オーナーのセキュリティ識別子
  32. gsid - group SID ←グループのセキュリティ識別子
  33. fileattr - windows file attributes ←Windowsのファイル情報
  34. new - not in trusted database ←新規に追加されたファイル
  35. missing - not present in latest scan ←削除されたファイル
  36.  
  37. > attributes (comma separated): ctime  ←今回はctimeだけ除外します(複数ある場合はカンマで区切って書きます)
  38.  
  39. does this look correct:
  40. ==> host=*;path=/Applications;exclude: ctime ; (y/n)? y ←確認されるので良ければy
  41.  
  42. filter added. ←無事追加されました

こうして追加されたフィルタは上記で設定されたルールで各ホストに適用されます。

具体的には以下のような設定を持つホストの場合、

  1. <Directory /Applications>
  2.  IncludeAll
  3. </Directory>

本来であれば以下の項目全てがチェックされますが

  1. csum - checksum
  2. device - device number
  3. inode - inode number
  4. perm - permissions (mode)
  5. links - number of hard links
  6. uid - user ID
  7. gid - group ID
  8. mtime - last modification time
  9. atime - last access time
  10. ctime - last change time
  11. dtype - device type
  12. bytes - number of bytes
  13. blocks - number of blocks
  14. bsize - block size
  15. osid - owner SID
  16. gsid - group SID
  17. fileattr - windows file attributes
  18. new - not in trusted database
  19. missing - not present in latest scan

filterを設定したのでctimeだけはチェックされなくなるということです。逆に特定の項目だけチェックしたい場合は以下のようにします。(/Applicationに入るアプリの増減やアクセス権だけチェックしたいとか)

  1. > filter type: [2] 1 
  2. > attributes (comma separated): new,missing,perm,uid,gid
  3.  
  4. does this look correct:
  5. ==> host=*;path=/Applications;include: new,missing,perm,uid,gid ; (y/n)? y

これでOKです。

■ [osiris]管理コンソールの証明書の更新
1年前に設定してこれまで問題なく動作していたosirismdが急にこんなメールアラートが出て動作しなくなりました。

  1. Subject: failed to start scheduled scan [host: myhost]
  2. Date: Tue, 12 Apr 2005 18:22:51 +0900
  3. From: "Osiris IDS" <osirismd@myhost>
  4. To: mymailaddress
  5. host: myhost
  6.  
  7. scheduled scan time: Tue Apr 12 15:00:03 2005
  8. The scheduler produced the following error message:
  9. session key negotiation failed.

何が起きたのか調べてみたところ、osirisをインストールした際に生成された証明書が1年で期限切れになっているらしいことがわかりました。この状態でosirisにログインしようとすると以下のようなエラーになります。

  1. Osiris command line management utility - version 3.0.4-current
  2. authenticating to (myhost)
  3.  
  4. User: admin
  5. Password:
  6.  
  7. WARNING : certificate authentication failed. The certificate
  8. presented by the mangaement host (localhost) was not signed by
  9. the root cert loaded from (/Users/username/.osiris/osiris_root.pem).
  10.  
  11. [ presented certificate ]
  12.  
  13. issuer = /C=US/CN=Osiris Managment Daemon/OU=Osiris IDS
  14. subject = /C=US/CN=Osiris Managment Daemon/OU=Osiris IDS
  15. untrusted MD5 fingerprint: 16:27:02:E6:4E:B9:36:EB:24:DA:C2:5B:F8:xx:xx:xx.
  16.  
  17. If you trust this certificate, delete the root cert and start
  18. this application again.

この問題に対処するためには以下の操作を行ないます。

  1. $ sudo mv /usr/local/osiris/certs/osirismd.crt /usr/local/osiris/certs/old_osirismd.crt
  2. $ sudo SystemStarter restart "Osiris IDS"

このコマンドを入力すると以下のような表示が出ます。

  1. Welcome to Macintosh.
  2. Osiris Management daemon stopped.
  3. Osiris Scanning daemon stopped.
  4. Starting osiris management daemon.
  5. unable to load server certificate (/usr/local/osiris/certs/osirismd.crt)
  6.  
  7. ==> creating one.
  8.  
  9. Generating RSA key, 2048 bit long modulus.
  10. .........+++
  11. ..........................................Waiting for Osiris Host Intrusion Detection System
  12. ................................................................Waiting for Osiris Host Intrusion Detection System
  13. ..................+++
  14.  
  15. Starting osiris scanning daemon.
  16. Startup complete.
  17. Hangup

これで新しい管理用証明書が作成されました。

■ [osiris]ログインユーザの証明書の更新
上記の操作をやった後にosirisのadminを操作しようとするユーザのホームディレクトリにある.osirisフォルダ内のosiris_root.pemファイルを削除する必要があります。

  1. $ rm -f 〜/.osiris/osiris_root.pem

これをやっておかないとosirisにadminでログインできません。更にもうひとつ/usr/local/osiris/にあるosiris_root.pemも削除しておきます。

  1. $ sudo rm -f /usr/local/osiris/osiris_root.pem

これらの作業をやった後にadminでログインするようにしてください。

■ [osiris]チェック対象マシンの各host毎の証明書の更新
これまでの設定だけではosirismdへのログインはできますがhost設定をしようとすると以下のエラーになり接続することができません。

  1. osiris-3.0.4-current: host RemoteServer
  2. error: session key negotiation with remote host failed.

これを回避するためにはhostで設定したRemoteServerにsshでログインして以下の操作をしてください。

  1. $ sudo mv /usr/local/osiris/osiris_root.pem /usr/local/osiris/old_osirisroot.pem
  2. $ sudo SystemStarter restart "Osiris IDS"

この操作をした上でosirismdにadminでログインして以下の操作をします。

  1. osiris-3.0.4-current: host RemoteServer
  2.  
  3. RemoteServer is alive.
  4. osiris-3.0.4-current[RemoteServer]: status
  5.  
  6. [ current status of host: RemoteServer ]
  7. current time: Thu Apr 14 13:59:49 2005
  8. up since: Thu Apr 14 13:59:07 2005
  9. daemon status: idle.
  10. config status: no config present. ←設定ファイルが消えているので注意
  11. osiris version: 3.0.4-current
  12. OS: Darwin 7.8.0
  13.  
  14. osiris-3.0.4-current[RemoteServer]: push-config ←設定ファイルをPushする
  15.  
  16. the config: (default.darwin) was succesfully pushed to host: RemoteServer
  17.  
  18. osiris-3.0.4-current[RemoteServer]: status
  19.  
  20. [ current status of host: RemoteServer ]
  21. current time: Thu Apr 14 14:00:47 2005
  22. up since: Thu Apr 14 13:59:07 2005
  23. last config push: Thu Apr 14 14:00:35 2005
  24. configuration id: cc4f6e68
  25. daemon status: idle.
  26.  
  27. config status: current config is valid. ←設定ファイルが有効になった
  28.  
  29. osiris version: 3.0.4-current
  30. OS: Darwin 7.8.0
  31.  
  32. osiris-3.0.4-current[RemoteServer]: start-scan ←スキャンを実行
  33.  
  34. scanning process was started on host: RemoteServer  ←スキャン成功

ここまでやって証明書の更新が完了になります。

※再掲載に当たって一部修正しています。

関連性の高い記事 by YARPP:

  1. 侵入検知系の覚え書き(2)
  2. 侵入検知系の覚え書き(1)
  3. osiris-4.1.8をTigerへインストール
  4. Tigerの某噂を検証する
  5. OPENBASEインストール
  6. MacOSXでトラフィックモニタリング
  7. 大量のibookで無線キオスク端末を作成する
  8. vSkypeの実験
  9. Timbuktu待ち受けプロセスの再起動
  10. Abyss Web Server X1を使う
, ,
とりあえず付けておく無駄ではなかったなまぁまぁ読めたちょっと役に立ったかなかなり良かったかも (まだ評価されていません)
Loading...
Address: http://blog.isnext.net/issy/archives/35
«
»
Trackback

only 1 comment untill now

  1. Ryuichi @ 2010-12-02 02:43

    Android携帯が盛り上がっているが、ウイルスやトロイに注意する必要がある。おサイフケータイを搭載して被害が重大になる可能性も?得体の知れないアプリはインストールしないように。携帯ではなくパソコンだという認識が広まるだろうか?(参考:http://ht.ly/3iyht)