326.2 ホストの侵入検知

今回は、LinuC 303試験の試験範囲から「326.2 ホストの侵入検知」についての例題を解いてみます。

■トピックの概要
このトピックの内容は以下の通りです。

＜326.2 ホストの侵入検知＞
重要度 4

＜説明＞
一般的なホストの侵入検知ソフトウェアの使用方法と設定について精通していることが求められる。
これには、自動ホストスキャンと同様に更新や管理を含む。

＜主要な知識範囲＞
* Linuxの監査システムの使用と設定。
* chkrootkit の使用。
* rkhunterの使用、設定、および更新。
* Linuxのマルウェア検知の使用。
* cronを使用したホストスキャンの自動化。
* ルール管理を含むAIDEの設定と使用。
* OpenSCAPについての知識。

＜重要なファイル、用語、ユーティリティ＞
* auditd
* auditctl
* ausearch, aureport
* /etc/auditd/auditd.conf
* /etc/auditd/audit.rules
* pam_tty_audit.so
* chkrootkit
* rkhunter
* /etc/rkhunter.conf
* maldet
* conf.maldet
* aide
* /etc/aide/aide.conf

■例題
aideを使用して/opt/app/etcディレクトリに含まれるファイルの改ざん検知を行います。
検査する項目は以下です。
* ファイルパーミッション
* ファイルサイズ
* ファイル所有者
* ファイル所有グループ
aide.confに設定する内容として正しいものを選択してください。

1. /opt/app/etc  permissions,size,user,group
2. /opt/app/etc  p,s,u,g
3. /opt/app/etc  p+s+u+g
4. /opt/app/etc  psug

※この例題は実際の試験問題とは異なります。

aideはホスト型侵入検知システムを実装するためのソフトウェアです。
指定したディレクトリやファイルの改ざんを検査することができます。

改ざんの検査方法は、aide の設定ファイル aide.conf に指定します。
ディレクトリ・ファイル単位で個別に検査方法を指定することができます。

検査方法の書式で指定します。

<ディレクトリ名>または<ファイル名>  <検査方法>

検査方法は検査方法を示す識別子を組み合わせて指定することができます。
例えば p+u+g と指定した場合、パーミション、所有ユーザ、所有グループの改ざん検査を行います。

主な識別子(検査内容)を紹介します。

p: パーミッション
i: i-node
n: リンク数
u: 所有ユーザ
g: 所有グループ
s: サイズ
b: ブロック数
m: 更新時間
a: アクセス時間
c: 作成時間
S: ファイル増分
acl: アクセス制御リスト
selinux: SELinuxセキュリティコンテキスト
xattrs: 拡張ファイル属性
md5: md5チェックサム
sha1: sha1チェックサム
sha256: sha256チェックサム
sha512: sha512チェックサム
rmd160: rmd160チェックサム
tiger: tigerチェックサム

それぞれの選択肢について解説します。

1. /opt/app/etc  permissions+size+user+group
誤っています。
検査方法は識別子で指定する必要があります。

2. /opt/app/etc  p,s,u,g
誤っています。
識別子を複数指定する場合は + (プラス)を指定します。

3. /opt/app/etc  p+s+u+g
正しいです。

4. /opt/app/etc  psug
誤っています。
識別子を複数指定する場合は + (プラス)を指定します。

aide.conf への改ざん検査方法の指定方法を把握しておきましょう。

■例題作成者