F-Secure Linux Security 11 を導入して完全性検査を試してみた

まあざっくり言うと、セキュリティツールやと思います。

ファイアウォールの機能もあるし、ウイルス検知もしてくれるとの事です。

詳細は公式サイトのリンクを貼っておくので、気になる人は見てください。

https://www.f-secure.com/ja_JP/web/business_jp/linux-security

で、今回はあらゆる脅威から守ってくれるF-secure Linux Securityの中でも、

あまり聞いたことのない、”完全性検査”というものに触れてみたいと思います。

さっそく試してみよう！ということで、

F-secure Linux Securityをインストールしてみます。

インストール手順は既に優秀な方が記事にしてくださっていたので

そちらを参考にさせていただきました。

https://dev.classmethod.jp/cloud/aws/f-secure-linux-standalone/

インストールが終わったので、早速"完全性検査"というものを試してみようと思います。

 F-secure管理画面ログインした直後は、簡易表示になっているので、左下の"詳細モード"にチェックを入れます。

そうすると左枠にあるメニュー項目が増えます。

完全性検査の項目も表示されるようになりました。

完全性検査 ＞ ベースラインの作成 を選択します。

ログインしたアカウントのパスワードを入力し、”ベースラインの作成”を実行します。

デフォルトで登録されているファイルのベースラインを作成するため、

少し時間がかかるみたいですね。（時間がかかるといっても10分かからないくらい）

※ちなみにベースラインとは、検査対象のファイルの基準値のことです。

　裏で何してるかは分かりませんが、ハッシュ値やら、ファイルサイズ、日付等の情報を取得しているんじゃないでしょうか。

　F-secure導入後は、既知のファイルというものがあり、既に完全性検査対象のファイルが登録されていました。

　ただし、登録されているだけで、ベースラインは作成されていないため、監視はできてないみたいですね。

　ベースラインを作成して初めて、監視できる状態になるということです。

今回はデフォルトで登録されていた、/etc/passwd ファイルを故意に修正して、監視されるかどうかを試してみます。

まずは、アラート通知方法の設定から進めます。

基本設定 > 通知方法 を選択します。

警告の転送 の項目で、各警告レベルに対してのアラート通知方法が設定できるようになっています。

今回は、セキュリティ警告のみ、管理画面へ表示をするよう設定します。

表示されている通知先は、以下の意味合いらしいです。

　電子メールの送信先：アラートメール送信先指定

　ローカル：管理画面表示

　Syslog：ログ出力(デフォルトは/var/log/message)

　ポリシーマネージャ：集中管理用コンソールへの表示

アラート通知方法の設定が終わったので、実際にファイルを変更してアラート表示されるか試します！

/etc/passwd の修正方法は以下の通りです。

/etc/passwd のバックアップを取得して、ユーザー情報のコメント欄を "TEST" とします。　

/etc/passwd ファイルを変更後、警告画面に”完全性チェックのファイルが異常”という

メッセージが出力されているのが分かります。

詳細をクリックすると、どのファイルが異常なのかも分かるようになっています。

リアルタイムで監視してるのか割りとすぐ警告表示してくれます。

（デーモンが起動していない云々かんぬんは気にしないでください。たぶん評価版の期限が切れてるのが原因）

今回は、デフォルトで登録されているファイルに対して監視するよう設定しましたが、

監視対象のファイルを追加することもできますし、デフォルトのファイル郡を削除することもできるみたい。

頻繁に変更があるファイルが監視対象になっていると大量のアラートが発生してしまいますから

環境によって調査と調整が必要そうですね。

ファイアウォールやウイルス検知をメインで使う機会が多そうですが

完全性検査を利用することで、よりいっそうセキュリティを意識したシステムができるのではないでしょうか。