ホストの侵入検知

概要

本章では、Linuxシステムにおけるホストの侵入検知に関する重要なソフトウェアと設定方法について解説します。侵入検知システムは、不正アクセスの兆候を検出し、攻撃者からシステムを守るための基盤となるセキュリティ技術です。

---

1. Linuxの監査システム

Linuxの監査システムは、auditdデーモンを中心に構成され、ファイルアクセスやシステムコール、ユーザーアクティビティのログを記録します。

主な構成要素

• auditd: 監査ログを記録するデーモン
• auditctl: 監査ルールの設定を行うCLI
• ausearch: ログの検索
• aureport: ログのレポート生成

重要な設定ファイル

• /etc/audit/auditd.conf: auditd の挙動を定義
• /etc/audit/rules.d/audit.rules: 起動時に読み込む監査ルール

例：特定ファイルへのアクセス監視

auditctl -w /etc/passwd -p war -k passwd_watch

---

2. chkrootkit

chkrootkitは、ルートキットの兆候を検出する軽量ツールです。

apt install chkrootkit  # または yum install chkrootkit
chkrootkit

一般的に、cronで定期実行し、レポートをメール送信します。

---

3. rkhunter

rkhunter (Rootkit Hunter)は、rootkit、バックドア、ローカルエクスプロイトの兆候を検出します。

インストールと実行

apt install rkhunter
rkhunter --update
rkhunter --check

設定ファイル

• /etc/rkhunter.conf

cron設定例

@daily /usr/bin/rkhunter --cronjob --report-warnings-only

---

4. Maldet（Linux Malware Detect）

マルウェアに特化したスキャンツールです。Webサーバーなどに有効。

使用方法

maldet -a /var/www

設定ファイル

• /usr/local/maldetect/conf.maldet

---

5. AIDE（Advanced Intrusion Detection Environment）

AIDEは、ファイルシステムの変更を検出するホスト型IDSです。

初期化と使用

aideinit
mv /var/lib/aide/aide.db.new /var/lib/aide/aide.db

チェック実行

aide --check

設定ファイル

• /etc/aide/aide.conf

---

6. cronを利用した自動スキャン

cronを使えば、rkhunter や AIDE などを自動化できます。

0 2 * * * /usr/bin/aide --check | mail -s "AIDE Report" root

---

7. OpenSCAP

OpenSCAPは、セキュリティコンプライアンススキャンのためのツールです。

使用例

oscap xccdf eval --profile xccdf_org.ssgproject.content_profile_standard \
  --results scan-xccdf-results.xml \
  /usr/share/xml/scap/ssg/content/ssg-centos8-ds.xml

---

章末問題（四択）

Q1. Linuxの監査システムにおいて、監査ルールを定義するためのコマンドはどれか？ A. ausearch
B. auditctl
C. pam_tty_audit.so
D. auditd

Q2. rkhunterの目的として正しいものはどれか？ A. データの暗号化
B. ファイルシステムのバックアップ
C. マルウェアの駆除
D. Rootkitの検出

Q3. AIDEを初めて使用する際に行うべき操作はどれか？ A. rkhunter –update
B. aide –check
C. aideinit
D. chkrootkit

Q4. OpenSCAPの主な用途として正しいものはどれか？ A. ファイアウォール設定
B. ウイルススキャン
C. セキュリティコンプライアンス評価
D. SSH鍵の管理

---