CentOS5.4インストール後の設定 その2
参照サイト なんとなくWiki、KzCannel
ここからTeraTermで接続して作業。悩む点としてyum-cronを
どうするかというところ、yum-updatesがメモリ食うのは致命的やしなー。
けど、今後を考えるとという点も悩ましいところ。もう少し調べてから判断
(9)時刻設定
[root@defaultimage ~]# date -s "11/09 17:21 2009"
2009年 11月 9日 月曜日 17:21:00 JST
[root@defaultimage ~]# date
2009年 11月 9日 月曜日 17:21:04 JST
(10)パッチ適用
[root@hoge ~]# yum update
Loaded plugins: fastestmirror
Loading mirror speeds from cached hostfile
* addons: rsync.atworks.co.jp
~中略~
Complete!
[root@hoge ~]#
(11)証拠隠蔽ソフト確認ツールインストール
・chkrootkitダウンロード
[root@hoge ~]# cd /usr/local/src
[root@hoge src]# wget ftp://ftp.pangeia.com.br/pub/seg/pac/chkrootkit.tar.gz
--14:28:13-- http://jp.chkrootkit.org/download/chkrootkit.tar.gz
~中略~
09:30:21 (260 KB/s) - `chkrootkit.tar.gz' を保存しました [37791/37791]
・chkrootkit展開
[root@hoge src]# tar zxvf chkrootkit.tar.gz
[root@hoge src]# cd chkrootkit-0.49
[root@hoge chkrootkit-0.49]# make sense
~中略~
gcc -o chkutmp chkutmp.c
・chkrootkitインストール(指定ディレクトリへコピー)
[root@hoge chkrootkit-0.49]# cd ../
[root@hoge src]# /bin/cp -r chkrootkit-0.49 /usr/local/chkrootkit
・ダウンロード分残骸ファイル削除
[root@hoge src]# rm -rf chkrootkit-0.49
[root@hoge src]# rm -f chkrootkit.tar.gz
[root@hoge src]# cd /usr/local/chkrootkit/
・コマンドで確認
[root@hoge chkrootkit]# ./chkrootkit | grep INFECTED
Checking `bindshell'... INFECTED (PORTS: 600)
*本当は何も出力されないはずだが、上記メッセージが出力される
特に気にしなくても問題ない。
http://kajuhome.com/chkrootkit.shtml参照
・自動起動スクリプト作成
[root@hoge chkrootkit]# cd
[root@hoge ~]# vi chkrootkit
*chkrootkitファイルを新規作成
===========================================================
#!/bin/bash
PATH=/usr/bin:/bin
TMPLOG=`mktemp`
# chkrootkit実行
/usr/local/chkrootkit/chkrootkit > $TMPLOG
# ログ出力
cat $TMPLOG | logger -t chkrootkit
# SMTPSのbindshell誤検知対応
if [ ! -z "$(grep 465 $TMPLOG)" ] && \
[ -z $(/usr/sbin/lsof -i:465|grep bindshell) ]; then
sed -i '/465/d' $TMPLOG
fi
# rootkit検知時のみroot宛メール送信
[ ! -z "$(grep INFECTED $TMPLOG)" ] && \
grep INFECTED $TMPLOG | mail -s "chkrootkit report in `hostname`" root
rm -f $TMPLOG
===========================================================
・権限変更
[root@hoge ~]# chmod 700 chkrootkit
[root@hoge ~]# ls -al chkrootkit
-rwx------ 1 root root 482 4月 22 14:32 chkrootkit
・自動実行用ディレクトリにコピー
[root@hoge ~]# mv chkrootkit /etc/cron.daily/
[root@hoge ~]# ls /etc/cron.daily/
00-logwatch 0anacron logrotate rpm tmpwatch
00-makewhatis.cron chkrootkit prelink slocate.cron yum.cron
・コマンド退避(tarで固めた後にSCP等でダウンロードしてCD-Rにバックアップする。)
[root@hoge ~]# cd
[root@hoge ~]# mkdir comd
[root@hoge ~]# cp `which --skip-alias awk cut echo egrep find head id ls netstat ps strings sed uname` /root/comd
[root@hoge ~]# ls comd
awk cut echo egrep find head id ls netstat ps sed strings uname
[root@hoge ~]# tar cvf rightcommnd_20091108.tar comd
[root@hoge ~]# rm -Rf comd
[root@hoge ~]# ls -al rightcommnd_20091108.tar
-rw-r--r-- 1 root root 788480 4月 22 14:36 rightcommnd_20090505.tar
(12)ウイルス対策ソフトインストール(Clam AntiVirus)
・yum非公式リポジトリ追加(通常リポジトリではclamavは公開されていないため)
以下の定義をリポジトリに追加
[root@hoge ~]# vi /etc/yum.repos.d/CentOS-Dag.repo
*CentOS-Dag.repoを新規作成
===========================================================
[dag]
name=CentOS-$releasever - Dag
baseurl=http://ftp.riken.jp/Linux/dag/redhat/el$releasever/en/$basearch/dag
gpgcheck=1
enabled=1
gpgkey=http://dag.wieers.com/packages/RPM-GPG-KEY.dag.txt
===========================================================
・yumでインストール
[root@centossrv src]# yum -y install clamd clamav-db clamav clamav-devel
Loaded plugins: downloadonly, fastestmirror, priorities
~中略~
Complete!
・非公式リポジトリOFF
vi /etc/yum.repos.d/CentOS-Dag.repo
*CentOS-Dag.repoを編集
===========================================================
enabled=0 ←ここを0に変更
===========================================================
・設定ファイル編集
[root@centossrv src]# vi /etc/clamd.conf
*clamd.confファイルを編集
===========================================================
# TCP port address.
# Default: no
#TCPSocket 3310 ←コメントアウト
# Run as another user (clamd must be started by root for this option to work)
# Default: don't drop privileges
#User clamav ←(root権限で動作させる。)
===========================================================
・定義ファイル用設定ファイル編集
[root@centossrv src]# view /etc/freshclam.conf
*freshclam.confファイルを確認
===========================================================
# Send the RELOAD command to clamd.
# Default: no
NotifyClamd /etc/clamd.conf ←コメントになっていないことを確認
===========================================================
・定義ファイルアップデート(手動)
何も表示が出ていなければ正常にアップデートできている。
[root@centossrv src]# freshclam
ClamAV update process started at Tue May 5 10:00:35 2009
~中略~
daily.cvd is up to date (version: 9326, sigs: 48804, f-level: 42, builder: ccordes)
・スキャン確認
[root@hoge ~]# clamscan --infected --remove --recursive
・検知テスト(検知して削除されていることを確認する。)
[root@hoge ~]# wget http://www.eicar.org/download/eicar.com
[root@hoge ~]# wget http://www.eicar.org/download/eicar.com.txt
[root@hoge ~]# wget http://www.eicar.org/download/eicar_com.zip
[root@hoge ~]# wget http://www.eicar.org/download/eicarcom2.zip
[root@hoge ~]# clamscan --infected --remove --recursive
/root/eicarcom2.zip: Eicar-Test-Signature FOUND
/root/eicarcom2.zip: Removed
/root/eicar.com: Eicar-Test-Signature FOUND
/root/eicar.com: Removed
/root/eicar_com.zip: Eicar-Test-Signature FOUND
/root/eicar_com.zip: Removed
/root/eicar.com.txt: Eicar-Test-Signature FOUND
/root/eicar.com.txt: Removed
・定期実行スクリプト作成
[root@hoge ~]# vi clamscan
*clamscanファイルを新規作成
===========================================================
#!/bin/bash
PATH=/usr/bin:/bin
# clamd update
#yum -y --enablerepo=rpmforge update clamd > /dev/null 2>&1
# excludeopt setup
excludelist=/root/clamscan.exclude
if [ -s $excludelist ]; then
for i in `cat $excludelist`
do
if [ $(echo "$i"|grep \/$) ]; then
i=`echo $i|sed -e 's/^\([^ ]*\)\/$/\1/p' -e d`
excludeopt="${excludeopt} --exclude-dir=$i"
else
excludeopt="${excludeopt} --exclude=$i"
fi
done
fi
# signature update
freshclam > /dev/null
# virus scan
CLAMSCANTMP=`mktemp`
clamscan --recursive --remove ${excludeopt} / > $CLAMSCANTMP 2>&1
[ ! -z "$(grep FOUND$ $CLAMSCANTMP)" ] && \
# report mail send
grep FOUND$ $CLAMSCANTMP | mail -s "Virus Found in `hostname`" root
rm -f $CLAMSCANTMP
===========================================================
[root@hoge ~]# chmod +x clamscan
[root@hoge ~]# mv clamscan /etc/cron.daily/
[root@hoge ~]# ls -al /etc/cron.daily/clamscan
-rwxr-xr-x 1 root root 219 5月 21 16:25 /etc/cron.daily/clamscan
(13).監視用ツールインストール(NETSNMP)
・NET-SNMPインストール
[root@hoge ~]# yum -y install net-snmp
Setting up Install Process
Complete!
・netsnmpユーティリティのインストール
[root@@hoge ~]# yum -y install net-snmp-utils
Installed: net-snmp-utils.i386 0:5.2.1.2-fc4.1
Complete!
・設定ファイル編集 (元ファイルバックアップ→編集)
[root@hoge ~]# cd /etc/snmp
[root@hoge snmp]# cp snmpd.conf snmpd.conf.org
[root@hoge snmp]# rm snmpd.conf
[root@hoge snmp]# touch snmpd.conf
[root@hoge snmp]# vi snmpd.conf
*ファイルの中を全て削除し、下記のように編集
===========================================================
# rouser: a SNMPv3 read-only user
# arguments: user [noauth|auth|priv] [restriction_oid]
rouser guest
# rocommunity: a SNMPv1/SNMPv2c read-only access community name
# arguments: community [default|hostname|network/bits] [oid]
rocommunity XXXX 127.0.0.1
rocommunity XXXX X.X.X.X
disk /
===========================================================
※X.X.X.Xの 箇所はサーバのIPアドレス、XXXXは任意の文字列
・ファイル権限変更(セキュリティ対策)
[root@hoge snmp]# chmod 600 snmpd.conf
[root@defaultimage snmp]# ls -al snmpd.conf
-rw------- 1 root root 308 11月 9 17:34 snmpd.conf
・起動設定
[root@hoge snmp]# /etc/init.d/snmpd start
snmpd を起動中: [ OK ]
・常駐起動
[root@hoge snmp]# chkconfig snmpd on
[root@hoge snmp]# chkconfig --list snmpd
snmpd 0:off 1:off 2:on 3:on 4:on 5:on 6:off
[root@hoge snmp]# ps ax | grep snmp
3006 ? S 0:00 /usr/sbin/snmpd -Lsd -Lf /dev/null -p /var/run/snmpd -a
3012 pts/0 S+ 0:00 grep snmp
[root@hoge snmp]# snmpwalk -v 2c -c XXXX localhost
~中略~
HOST-RESOURCES-MIB::hrSystemUptime.0 = Timeticks: (2803120) 7:47:11.20
HOST-RESOURCES-MIB::hrSystemUptime.0 = No more variables left in this MIB View (It is past the end of the MIB tree)
とりあえずSNMPまではインストール完了
残作業としてNTPの設定、iptablesの設定、その他コマンドのインストールか?
yum-cronどうしよう。まあ疲れたんで、今日はこれで終了!!
ここからTeraTermで接続して作業。悩む点としてyum-cronを
どうするかというところ、yum-updatesがメモリ食うのは致命的やしなー。
けど、今後を考えるとという点も悩ましいところ。もう少し調べてから判断
(9)時刻設定
[root@defaultimage ~]# date -s "11/09 17:21 2009"
2009年 11月 9日 月曜日 17:21:00 JST
[root@defaultimage ~]# date
2009年 11月 9日 月曜日 17:21:04 JST
(10)パッチ適用
[root@hoge ~]# yum update
Loaded plugins: fastestmirror
Loading mirror speeds from cached hostfile
* addons: rsync.atworks.co.jp
~中略~
Complete!
[root@hoge ~]#
(11)証拠隠蔽ソフト確認ツールインストール
・chkrootkitダウンロード
[root@hoge ~]# cd /usr/local/src
[root@hoge src]# wget ftp://ftp.pangeia.com.br/pub/seg/pac/chkrootkit.tar.gz
--14:28:13-- http://jp.chkrootkit.org/download/chkrootkit.tar.gz
~中略~
09:30:21 (260 KB/s) - `chkrootkit.tar.gz' を保存しました [37791/37791]
・chkrootkit展開
[root@hoge src]# tar zxvf chkrootkit.tar.gz
[root@hoge src]# cd chkrootkit-0.49
[root@hoge chkrootkit-0.49]# make sense
~中略~
gcc -o chkutmp chkutmp.c
・chkrootkitインストール(指定ディレクトリへコピー)
[root@hoge chkrootkit-0.49]# cd ../
[root@hoge src]# /bin/cp -r chkrootkit-0.49 /usr/local/chkrootkit
・ダウンロード分残骸ファイル削除
[root@hoge src]# rm -rf chkrootkit-0.49
[root@hoge src]# rm -f chkrootkit.tar.gz
[root@hoge src]# cd /usr/local/chkrootkit/
・コマンドで確認
[root@hoge chkrootkit]# ./chkrootkit | grep INFECTED
Checking `bindshell'... INFECTED (PORTS: 600)
*本当は何も出力されないはずだが、上記メッセージが出力される
特に気にしなくても問題ない。
http://kajuhome.com/chkrootkit.shtml参照
・自動起動スクリプト作成
[root@hoge chkrootkit]# cd
[root@hoge ~]# vi chkrootkit
*chkrootkitファイルを新規作成
===========================================================
#!/bin/bash
PATH=/usr/bin:/bin
TMPLOG=`mktemp`
# chkrootkit実行
/usr/local/chkrootkit/chkrootkit > $TMPLOG
# ログ出力
cat $TMPLOG | logger -t chkrootkit
# SMTPSのbindshell誤検知対応
if [ ! -z "$(grep 465 $TMPLOG)" ] && \
[ -z $(/usr/sbin/lsof -i:465|grep bindshell) ]; then
sed -i '/465/d' $TMPLOG
fi
# rootkit検知時のみroot宛メール送信
[ ! -z "$(grep INFECTED $TMPLOG)" ] && \
grep INFECTED $TMPLOG | mail -s "chkrootkit report in `hostname`" root
rm -f $TMPLOG
===========================================================
・権限変更
[root@hoge ~]# chmod 700 chkrootkit
[root@hoge ~]# ls -al chkrootkit
-rwx------ 1 root root 482 4月 22 14:32 chkrootkit
・自動実行用ディレクトリにコピー
[root@hoge ~]# mv chkrootkit /etc/cron.daily/
[root@hoge ~]# ls /etc/cron.daily/
00-logwatch 0anacron logrotate rpm tmpwatch
00-makewhatis.cron chkrootkit prelink slocate.cron yum.cron
・コマンド退避(tarで固めた後にSCP等でダウンロードしてCD-Rにバックアップする。)
[root@hoge ~]# cd
[root@hoge ~]# mkdir comd
[root@hoge ~]# cp `which --skip-alias awk cut echo egrep find head id ls netstat ps strings sed uname` /root/comd
[root@hoge ~]# ls comd
awk cut echo egrep find head id ls netstat ps sed strings uname
[root@hoge ~]# tar cvf rightcommnd_20091108.tar comd
[root@hoge ~]# rm -Rf comd
[root@hoge ~]# ls -al rightcommnd_20091108.tar
-rw-r--r-- 1 root root 788480 4月 22 14:36 rightcommnd_20090505.tar
(12)ウイルス対策ソフトインストール(Clam AntiVirus)
・yum非公式リポジトリ追加(通常リポジトリではclamavは公開されていないため)
以下の定義をリポジトリに追加
[root@hoge ~]# vi /etc/yum.repos.d/CentOS-Dag.repo
*CentOS-Dag.repoを新規作成
===========================================================
[dag]
name=CentOS-$releasever - Dag
baseurl=http://ftp.riken.jp/Linux/dag/redhat/el$releasever/en/$basearch/dag
gpgcheck=1
enabled=1
gpgkey=http://dag.wieers.com/packages/RPM-GPG-KEY.dag.txt
===========================================================
・yumでインストール
[root@centossrv src]# yum -y install clamd clamav-db clamav clamav-devel
Loaded plugins: downloadonly, fastestmirror, priorities
~中略~
Complete!
・非公式リポジトリOFF
vi /etc/yum.repos.d/CentOS-Dag.repo
*CentOS-Dag.repoを編集
===========================================================
enabled=0 ←ここを0に変更
===========================================================
・設定ファイル編集
[root@centossrv src]# vi /etc/clamd.conf
*clamd.confファイルを編集
===========================================================
# TCP port address.
# Default: no
#TCPSocket 3310 ←コメントアウト
# Run as another user (clamd must be started by root for this option to work)
# Default: don't drop privileges
#User clamav ←(root権限で動作させる。)
===========================================================
・定義ファイル用設定ファイル編集
[root@centossrv src]# view /etc/freshclam.conf
*freshclam.confファイルを確認
===========================================================
# Send the RELOAD command to clamd.
# Default: no
NotifyClamd /etc/clamd.conf ←コメントになっていないことを確認
===========================================================
・定義ファイルアップデート(手動)
何も表示が出ていなければ正常にアップデートできている。
[root@centossrv src]# freshclam
ClamAV update process started at Tue May 5 10:00:35 2009
~中略~
daily.cvd is up to date (version: 9326, sigs: 48804, f-level: 42, builder: ccordes)
・スキャン確認
[root@hoge ~]# clamscan --infected --remove --recursive
・検知テスト(検知して削除されていることを確認する。)
[root@hoge ~]# wget http://www.eicar.org/download/eicar.com
[root@hoge ~]# wget http://www.eicar.org/download/eicar.com.txt
[root@hoge ~]# wget http://www.eicar.org/download/eicar_com.zip
[root@hoge ~]# wget http://www.eicar.org/download/eicarcom2.zip
[root@hoge ~]# clamscan --infected --remove --recursive
/root/eicarcom2.zip: Eicar-Test-Signature FOUND
/root/eicarcom2.zip: Removed
/root/eicar.com: Eicar-Test-Signature FOUND
/root/eicar.com: Removed
/root/eicar_com.zip: Eicar-Test-Signature FOUND
/root/eicar_com.zip: Removed
/root/eicar.com.txt: Eicar-Test-Signature FOUND
/root/eicar.com.txt: Removed
・定期実行スクリプト作成
[root@hoge ~]# vi clamscan
*clamscanファイルを新規作成
===========================================================
#!/bin/bash
PATH=/usr/bin:/bin
# clamd update
#yum -y --enablerepo=rpmforge update clamd > /dev/null 2>&1
# excludeopt setup
excludelist=/root/clamscan.exclude
if [ -s $excludelist ]; then
for i in `cat $excludelist`
do
if [ $(echo "$i"|grep \/$) ]; then
i=`echo $i|sed -e 's/^\([^ ]*\)\/$/\1/p' -e d`
excludeopt="${excludeopt} --exclude-dir=$i"
else
excludeopt="${excludeopt} --exclude=$i"
fi
done
fi
# signature update
freshclam > /dev/null
# virus scan
CLAMSCANTMP=`mktemp`
clamscan --recursive --remove ${excludeopt} / > $CLAMSCANTMP 2>&1
[ ! -z "$(grep FOUND$ $CLAMSCANTMP)" ] && \
# report mail send
grep FOUND$ $CLAMSCANTMP | mail -s "Virus Found in `hostname`" root
rm -f $CLAMSCANTMP
===========================================================
[root@hoge ~]# chmod +x clamscan
[root@hoge ~]# mv clamscan /etc/cron.daily/
[root@hoge ~]# ls -al /etc/cron.daily/clamscan
-rwxr-xr-x 1 root root 219 5月 21 16:25 /etc/cron.daily/clamscan
(13).監視用ツールインストール(NETSNMP)
・NET-SNMPインストール
[root@hoge ~]# yum -y install net-snmp
Setting up Install Process
Complete!
・netsnmpユーティリティのインストール
[root@@hoge ~]# yum -y install net-snmp-utils
Installed: net-snmp-utils.i386 0:5.2.1.2-fc4.1
Complete!
・設定ファイル編集 (元ファイルバックアップ→編集)
[root@hoge ~]# cd /etc/snmp
[root@hoge snmp]# cp snmpd.conf snmpd.conf.org
[root@hoge snmp]# rm snmpd.conf
[root@hoge snmp]# touch snmpd.conf
[root@hoge snmp]# vi snmpd.conf
*ファイルの中を全て削除し、下記のように編集
===========================================================
# rouser: a SNMPv3 read-only user
# arguments: user [noauth|auth|priv] [restriction_oid]
rouser guest
# rocommunity: a SNMPv1/SNMPv2c read-only access community name
# arguments: community [default|hostname|network/bits] [oid]
rocommunity XXXX 127.0.0.1
rocommunity XXXX X.X.X.X
disk /
===========================================================
※X.X.X.Xの 箇所はサーバのIPアドレス、XXXXは任意の文字列
・ファイル権限変更(セキュリティ対策)
[root@hoge snmp]# chmod 600 snmpd.conf
[root@defaultimage snmp]# ls -al snmpd.conf
-rw------- 1 root root 308 11月 9 17:34 snmpd.conf
・起動設定
[root@hoge snmp]# /etc/init.d/snmpd start
snmpd を起動中: [ OK ]
・常駐起動
[root@hoge snmp]# chkconfig snmpd on
[root@hoge snmp]# chkconfig --list snmpd
snmpd 0:off 1:off 2:on 3:on 4:on 5:on 6:off
[root@hoge snmp]# ps ax | grep snmp
3006 ? S 0:00 /usr/sbin/snmpd -Lsd -Lf /dev/null -p /var/run/snmpd -a
3012 pts/0 S+ 0:00 grep snmp
[root@hoge snmp]# snmpwalk -v 2c -c XXXX localhost
~中略~
HOST-RESOURCES-MIB::hrSystemUptime.0 = Timeticks: (2803120) 7:47:11.20
HOST-RESOURCES-MIB::hrSystemUptime.0 = No more variables left in this MIB View (It is past the end of the MIB tree)
とりあえずSNMPまではインストール完了
残作業としてNTPの設定、iptablesの設定、その他コマンドのインストールか?
yum-cronどうしよう。まあ疲れたんで、今日はこれで終了!!
コメント