ヘルプ

エージェント関連

Q1
【サーバセキュリティタイプ】サポート対象OSを教えてください [k172]

サービス仕様書「サポート対象のサーバOS」項を参照してください。

【サーバセキュリティタイプ サービス仕様書】
https://docs.shadan-kun.com/manual/server_type_specifications.pdf


Q2
【サーバセキュリティタイプ】動作推奨環境を教えてください [k173]

サービス仕様書「推奨環境」項を参照してください。

【サーバセキュリティタイプ サービス仕様書】
https://docs.shadan-kun.com/manual/server_type_specifications.pdf

※サーバリソースが不足している場合、検知・遮断が正常に動作しないことがあります


Q3
【サーバセキュリティタイプ】エージェントの動作プラグラムを教えてください [k174]

エージェントは「C」で動作します。
また、攻撃遮断時の処理はshスクリプトを使用しています。


Q4
【サーバセキュリティタイプ】エージェント停止時にiptablesの復元は行われますか [k175]

エージェント停止処理にiptablesの復元は含まれません。


Q5
【サーバセキュリティタイプ】エージェントを停止した場合、遮断中のIPアドレスはどのように処理されますか [k176]

エージェントを停止した場合、遮断中のIPアドレス情報はiptablesで保持されます。


Q6
【サーバセキュリティタイプ】エージェントキーの構成を教えてください [k177]

エージェントキーは以下の種類を含む100文字以上の文字列です。

1)半角の大文字・小文字のアルファベット
2)半角数字
3) =

【例】OTk5IGhvc3Q5OTk5OTkgYW55IDFlYTYzYTNlZGEyNTVjZTg4MDk4ZTJkMjEzN2M3ZTYwOTliODEyMGZmOTcwNjIwNjI0MmY4YmRhYjQxOTkzZmI=


Q7
【サーバセキュリティタイプ】攻撃遮断くん導入によるサーバ負荷やネットワーク負荷影響はありますか [k178]

エージェントプログラムのCPU使用率は1%以下となるためサーバ影響はありません。

※サーバスペックやネットワーク帯域が不足している場合は影響が発生する可能性があります


Q8
【サーバセキュリティタイプ】Windows版のエージェントキーがホスト名で登録できません [k179]

ホスト名で登録ができない場合はIPアドレスで登録してください。

【例】
ホスト名が「wr2i3bd3zbzyz3xe.shadan-kun.com」の場合、「54.92.14.101」で登録

※Windowsサーバへのインストール手順「③ セットアップ」→「1. エージェントへキーをインポート」の際に、ServerIP欄を”wr2i3bd3zbzyz3xe.shadan-kun.com ”で登録する旨の記載があります。


Q9
【サーバセキュリティタイプ】攻撃遮断くんのエージェントプログラムについて取得可能な情報はありますか [k180]
こちらにオープンソースソフトウェアに関する情報を提供しております。

Q10
【サーバセキュリティタイプ】攻撃遮断くんエージェントプログラムのソースコードの入手方法 [k181]
エージェントプログラムのソースコードはメールにて送付しています。ご希望の場合はサポート窓口へお問い合わせください。

Q11
【サーバセキュリティタイプ】RHEL7/RHEL8環境でエージェントサービスを自動起動する方法を教えてください [k262]

攻撃遮断くんのエージェントサービスはOS起動時に手動で開始する必要があります。
サービスを自動起動する場合はOS側の設定が必要となります。

※本ヘルプ記載の参考手順(OS設定)はサポート対象外の内容です。OSサービス提供元のドキュメント確認や動作確認の上、お客様の責任においてご利用をご検討ください。
 

【対象OS】

  • Red Hat Enterprise Linux 7および互換ディストリビューション

  • Red Hat Enterprise Linux 8および互換ディストリビューション

 

【参考手順】

1. 環境ファイルを作成

# vi /etc/ossec-init.conf
DIRECTORY="/var/ossec"
VERSION="v2.8"
DATE="Tue Jul  9 15:41:24 JST 2019"
TYPE="agent"

 

2. 各サービスのユニットファイルを作成

※本ユニットファイルはmulti-user.targetを前提としています。graphical.targetなど異なるターゲットで起動する場合は、ユニットファイルを適宜編集してください。

・ossec-agentdサービス

# vi /etc/systemd/system/ossec-agentd.service
[Unit]
Description=OSSEC Agent
PartOf=ossec-agent.target
[Service]
EnvironmentFile=/etc/ossec-init.conf
Environment=DIRECTORY=/var/ossec
ExecStartPre=/usr/bin/env ${DIRECTORY}/bin/ossec-agentd -t
ExecStart=/usr/bin/env ${DIRECTORY}/bin/ossec-agentd -f
[Install]
WantedBy=multi-user.target

 

・ossec-execdサービス

# vi /etc/systemd/system/ossec-execd.service
[Unit]
Description=OSSEC Execd
PartOf=ossec-agent.target
[Service]
EnvironmentFile=/etc/ossec-init.conf
Environment=DIRECTORY=/var/ossec
ExecStartPre=/usr/bin/env ${DIRECTORY}/bin/ossec-execd -t
ExecStart=/usr/bin/env ${DIRECTORY}/bin/ossec-execd -f
[Install]
WantedBy=multi-user.target

 

・ossec-logcollectorサービス

# vi /etc/systemd/system/ossec-logcollector.service
[Unit]
Description=OSSEC Logcollector
PartOf=ossec-agent.target
[Service]
EnvironmentFile=/etc/ossec-init.conf
Environment=DIRECTORY=/var/ossec
ExecStartPre=/usr/bin/env ${DIRECTORY}/bin/ossec-logcollector -t
ExecStart=/usr/bin/env ${DIRECTORY}/bin/ossec-logcollector -f
[Install]
WantedBy=multi-user.target

 

・ossec-syscheckdサービス

# vi /etc/systemd/system/ossec-syscheckd.service
[Unit]
Description=OSSEC syscheckd
PartOf=ossec-agent.target
[Service]
EnvironmentFile=/etc/ossec-init.conf
Environment=DIRECTORY=/var/ossec
ExecStartPre=/usr/bin/env ${DIRECTORY}/bin/ossec-syscheckd -t
ExecStart=/usr/bin/env ${DIRECTORY}/bin/ossec-syscheckd -f
[Install]
WantedBy=multi-user.target

 

3. ユニットファイルの読み込み

# systemctl daemon-reload

 

4. 各サービスの自動起動を有効に設定

# systemctl enable ossec-agentd
# systemctl enable ossec-execd
# systemctl enable ossec-logcollector
# systemctl enable ossec-syscheckd

 

5. 自動起動設定の有効を確認

# systemctl list-unit-files | grep ossec
ossec-agentd.service                          enabled
ossec-execd.service                           enabled
ossec-logcollector.service                    enabled
ossec-syscheckd.service                       enabled

 

6. OS再起動

# shutdown -Fr now

 

7. エージェントのサービス状態を確認

# /var/ossec/bin/ossec-control status
ossec-logcollector is running...
ossec-syscheckd is running...
ossec-agentd is running...
ossec-execd is running...

※エージェントが検知モードで動作している場合、ossec-execdは停止します


Q12
【サーバセキュリティタイプ】RHEL6環境でエージェントサービスを自動起動する方法を教えてください [k263]

攻撃遮断くんのエージェントサービスはOS起動時に手動で開始する必要があります。
サービスを自動起動する場合はOS側の設定が必要となります。

※本ヘルプ記載の参考手順(OS設定)はサポート対象外の内容です。OSサービス提供元のドキュメント確認や動作確認の上、お客様の責任においてご利用をご検討ください。
 

【対象OS】

  • Red Hat Enterprise Linux 6および互換ディストリビューション

※RHEL7/RHEL8の手順はこちらを参照してください
 

【参考手順】

1. 環境ファイルを作成

# vi /etc/ossec-init.conf
───────────────────────────────────────
DIRECTORY="/var/ossec"
VERSION="v2.8"
DATE="Tue Jul  9 15:41:24 JST 2019"
TYPE="agent"

 

2. 起動スクリプトを作成

# vi /etc/rc.d/init.d/ossec
──────────────────────────────────────────────────────────────────────────
#!/bin/sh
# OSSEC Controls OSSEC HIDS on Redhat-based systems
# Author: Kayvan A. Sylvan <kayvan@sylvan.com>
# Author: Daniel B. Cid <dcid@ossec.net>
#
# chkconfig: 2345 99 15
# description: Starts and stops OSSEC HIDS (Host Intrusion Detection System)
#
# This will work on Redhat systems (maybe others too)

# Source function library.
export LANG=C

. /etc/init.d/functions
. /etc/ossec-init.conf

if [ "X${DIRECTORY}" = "X" ]; then
       DIRECTORY="/var/ossec"
fi

start() {
        echo -n "Starting OSSEC: "
        ${DIRECTORY}/bin/ossec-control start > /dev/null
        RETVAL=$?
        if [ $RETVAL -eq 0 ]; then
                success
        else
                failure
        fi
        echo
        return $RETVAL
}

stop() {
        echo -n "Stopping OSSEC: "
        ${DIRECTORY}/bin/ossec-control stop > /dev/null
        RETVAL=$?
        if [ $RETVAL -eq 0 ]; then
                success
        else
                failure
        fi
        echo
        return $RETVAL
}

status() {
        ${DIRECTORY}/bin/ossec-control status
        RETVAL=$?
        return $RETVAL
}


case "$1" in
    start)
        start
        ;;
    stop)
        stop
        ;;
    restart)
        stop
        start
        ;;
    status)
        status
        ;;
*)
        echo "*** Usage: ossec {start|stop|restart|status}"
        exit 1
esac

exit $?

 

3. 起動スクリプトの権限を変更

# chmod 755 /etc/rc.d/init.d/ossec

 

4. サービスを登録

# chkconfig --add ossec

 

5. 自動起動設定の有効化を確認

# chkconfig | grep ossec
ossec           0:off   1:off   2:on    3:on    4:on    5:on    6:off

 

6. OS再起動

# shutdown -Fr now

 

7. エージェントのサービス状態を確認

# /var/ossec/bin/ossec-control status
ossec-logcollector is running...
ossec-syscheckd is running...
ossec-agentd is running...
ossec-execd is running...

※エージェントが検知モードで動作している場合、ossec-execdは停止します


Q13
【サーバセキュリティタイプ】エージェントキー入替え手順 [k267]

管理エージェントは以下のケースで移行が必要な場合があります。

  • ネットワーク構成変更によるエージェントキー種類(anyキー/IPアドレスキー)の変更

  • エージェントを管理しているサービスの移行
     

Webサーバを別の管理エージェントに移行する場合は、エージェントキーの入替え作業を実施してください。
 

【Linux手順】

1. エージェントキーのインポート

# /var/ossec/bin/manage_agents

メニューから「I」を選択し、エージェントキーを入力してください。

※エージェントキーは管理画面から対象エージェントを表示し「エージェントキー」項目を参照してください
 

2. 設定ファイル編集

# vi /var/ossec/etc/ossec.conf

監視センターサーバー情報を移行先エージェントの内容に変更します。
 

・変更箇所

  <client> 
    <server-hostname>XXXXXXXXX.shadan-kun.com※</server-hostname> 
    <port>XXXXX</port> 
  </client>

※入力内容は管理画面(エージェント画面)「接続先ポート番号」項目を参照してください
 

3. エージェント再起動

# /var/ossec/bin/ossec-control restart

 

【Windows手順】

1. エージェントキーのインポート

Windowsメニューより「Manage Agent」を起動後、以下を入力してください。

OSSEC ServerIP

※管理画面(サービスの詳細)「監視センターIPアドレス」を参照

Authentication Key

※管理画面(エージェント画面)「エージェントキー」項目を参照

入力後、[Save]で保存してください。
 

2. 設定ファイル編集

ファイルパス:C:\Program Files (x86)\ossec-agent\ossec.conf

監視センターサーバー情報を移行先エージェントの内容に変更します。

・変更箇所

  <client> 
    <server-hostname>XXXXXXXXX.shadan-kun.com※</server-hostname> 
    <port>XXXXX</port> 
  </client>

※入力内容は管理画面(エージェント画面)「接続先ポート番号」項目を参照してください
 

3. エージェント再起動

OSSEC Agent Managerメニュー「Manage」から「Restart」を選択してください。

 

【動作確認】

<接続状況確認>

管理画面から対象エージェントが「オンライン」になることを確認します

※反映までに15分から30分程度時間がかかる場合があります
 

<検知・遮断確認>

疑似攻撃により検知、遮断動作を確認します

※疑似攻撃方法についてはこちらをご確認ください


質問リスト