〜IDS　swatchの導入〜

■What is "IDS"?

IDSとは・・・Intrusion Detection System（イントリュージョン・ディテクション・システム）の略です。
不正なアクセス、不正侵入を検知するソフトウェアです。

日ごろLinuxを稼動するときに書き出されるsyslogを監視する専用モニタリングソフトウェア。
厳密にはIDSとはいえないもののリアルタイムにログを監視してくれます。
Snortなどに比べると簡単に導入できるため、当サイトではこれを紹介して見ました。
※1個のセキュリティソフトに頼らず２，３個導入するのが望ましいです。
　なぜなら最近はIDSを先制攻撃する荒手があるため1個が例え粉砕されても太刀打ちする為です。

---

まあ、理屈はおいといてインストールしてみましょう。
swatchはPerl言語を使うので予めPerlをインストールしておいてください。
普通は既に入ってます。

swatchはPerl言語で、主に４つのPerlモジュールを使用します。
先にインストールしておきましょう。

CPANから以下のソフト(最新版)をダウンロードしてください。
File-Tail-***.tar.gz Date-Calc-***.tar.gz TimeDate-***.tar.gz Time-HiRes-***.tar.gz
※　***にはバージョンが入ります。

↓File-Tailの例

フォームの中に検索したいソフト名を入れる

目的のソフトをクリック。このときは0.98が最新でした。

もちろんDownloadをクリック。
この画面説明はWindowsから行ったものです(IE)。LinuxからはGUIをわざわざ動かすか、wgetコマンドなどで落としてください。
FTPサーバが稼動しているならクライアントに一旦ダウンロードした後、FTPで転送するのが簡単だと思われます。

以下のようにコマンドを打ってください。なお、作業はrootで行ってください。
全て（４つ）同じ操作でインストールします。ここではFile-Tail0.98での例です。

# tar xzvf File-Tail-0.98.tar.gz # cd File-Tail-0.98 # perl Makefile.PL　←./configureではないので注意 # make # make install

上記Perlモジュールと同じ方法でインストールしてください。
解凍→移動→perl Makefile.PL→make,make install

終わったらswatchがどこにインストールされたか確認するため次のコマンドを打ってください。
# which swatch
私の環境では/usr/bin/swatch と出てきました。

どのような場合に警告を行うかのルールを作ります。
こちらで予めファイルを用意しておきますので、参考にして個々にカスタマイズしてください。
参考ルールの表示
bell 3
などと書くと検出時にビープ音を鳴らせます。この場合3回。

このファイルは /etc/.swatchrc として保存してください。
※クライアントで作成しFTPで送る場合はアスキーモードにしてください
※サンプルにある日本語部は消してください

次のコマンドを打ってください
# /usr/bin/swatch -c /etc/.swatchrc -t /var/log/messages

以上でswatchの導入方法は終わりです。
不正検知システムを導入したからといって安心せず、日ごろ管理することが
最も大切であることを忘れないでください。
先ほども書きましたが、IDSに対して攻撃する荒手がいるため1個ではなく
複数導入することで1個が攻撃でダウンさせられたとしても残りのIDSで検知できるように
しておくと、セキュリティ上、もっと好ましいと私は考えます。
これは対外、人は「IDS(不正検知)を複数導入する必要はなく、1個でいい」という概念がおおい
ことにクラッカーが狙ったものす。個々のIDSによって検知できる・できないものがありますので
あくまで気休めであるということも忘れないでください。

なお、swatchが不正を感知しルールにメールを送るように記述されていた場合
題名にMessage from Swatchなどと書かれた警告メールが着信します。
ホント迷惑なものです・・・。

Linuxサーバへ戻る