第4回 NRPEプラグインを作って確認「SELinux、異常なし!」
面 和毅
サイオステクノロジー株式会社
OSSテクノロジーセンター
開発支援グループ
グループマネージャー
2007/10/3
今回は、前回に引き続きNagios+NRPEでSELinuxの状態を監視できるような設定をしてみましょう。さらに、前回インストールしたNRPE用にドメインを作成して、さらにセキュリティを高めたシステムを目指してみましょう。
前回使用したNagios+NRPEでのシステムを図1に示します。
 |
| 図1 Nagios+NRPEのシステム |
Nagios+NRPEによるSELinuxの監視
前回インストールしたNRPEで、マシンB上のNagiosからマシンAのCPU/HDDなどのステータスを監視することができるようになりました。今回は、ここでSELinuxに関する情報も監視できるようにしたいと思います。
 |
| 図2 Nagiosの出力画面 |
Nagiosではデフォルトで用意されているプラグインのほかに、自分で新たにプラグインを作成することができます。プラグイン作成の方法は、sourceforge上にガイドラインがありますのでこれを参考にしましょう。コマンドを実行して表1のステータスを返すようにプログラムを作る必要があります。
番号 |
ステータス |
0 |
OK |
1 |
Warning |
2 |
Critical |
3 |
Unknown |
| 表1 Nagiosプラグインで返されるべきステータス |
SELinuxの何を監視するか
SELinuxがオンになっているシステムでは何を監視するべきなのでしょうか。そのような疑問に答えてくれるドキュメントが、Linuxコンソーシアムのセキュリティ部会から、「セキュアOS運用項目(2006年度成果物)」として公開されています。まずはこのドキュメントを参考にしましょう。
「セキュアOS運用項目」の第4章の「監視・管理すべき事項」の中に、セキュアOS機能(含むSELinux)を用いているシステムで監視・管理するべき項目がまとめられています。それによると、
- セキュアOS機能のオン/オフ状態
- セキュアOS機能のセキュリティ設定(セキュリティポリシー)
- セキュアOS機能が出力するログ
の3つを監視・管理する必要があるようです。これをSELinuxに当てはめると、
- SELinuxのオン/オフ状態
- SELinuxのポリシーバージョン
- SELinuxが出力するログ
の3つになります。これらをNRPEで監視していきましょう。
これら3つの状態を知ることができるコマンドとして「sestatus」があります。sestatusコマンドを実行すると、上記の3つのほかにも、
- SELinuxfsをマウントしているディレクトリ
- 各種SELinuxのポリシーの動作を表すブール値
などの情報が出力されます。このsestatusコマンドを実行し、出力結果やステータスをNagiosサーバに返すようなNRPEのプラグインを作成してあげればよいことになります。
| SELinux status: enabled SELinuxfs mount: /selinux Current mode: enforcing Mode from config file: enforcing Policy version: 18 Policy from config file:targeted Policy booleans: allow_syslog_to_console inactive allow_ypbind inactive dhcpd_disable_trans inactive httpd_builtin_scripting active httpd_disable_trans inactive httpd_enable_cgi active httpd_enable_homedirs active httpd_ssi_exec active httpd_tty_comm inactive httpd_unified active mysqld_disable_trans inactive named_disable_trans inactive named_write_master_zonesinactive nscd_disable_trans inactive ntpd_disable_trans inactive pegasus_disable_trans inactive portmap_disable_trans inactive postgresql_disable_trans inactive snmpd_disable_trans inactive squid_disable_trans inactive syslogd_disable_trans inactive use_nfs_home_dirs inactive use_samba_home_dirs inactive use_syslogng inactive winbind_disable_trans inactive ypbind_disable_trans inactive zope_disable_trans inactive |
| リスト1 sestatusコマンドの出力結果 |
|
1/3 |
 |
| Index | |
| NRPEプラグインを作って確認「SELinux、異常なし!」 | |
 |
Page1 Nagios+NRPEによるSELinuxの監視 SELinuxの何を監視するか |
| Page2 SELinuxのステータスを返すプラグインの作成 nrpe.cfgファイルの修正 |
|
| Page3 NRPE用ドメインの作成 NRPEの動作を確認しよう |
|
 |
スイッチ・オン! SELinux 連載インデックス |
- Windows起動前後にデバイスを守る工夫、ルートキットを防ぐ (2017/7/24)
Windows 10が備える多彩なセキュリティ対策機能を丸ごと理解するには、5つのスタックに分けて順に押さえていくことが早道だ。連載第1回は、Windows起動前の「デバイスの保護」とHyper-Vを用いたセキュリティ構成について紹介する。 - WannaCryがホンダやマクドにも。中学3年生が作ったランサムウェアの正体も話題に (2017/7/11)
2017年6月のセキュリティクラスタでは、「WannaCry」の残り火にやられたホンダや亜種に感染したマクドナルドに注目が集まった他、ランサムウェアを作成して配布した中学3年生、ランサムウェアに降伏してしまった韓国のホスティング企業など、5月に引き続きランサムウェアの話題が席巻していました。 - Recruit-CSIRTがマルウェアの「培養」用に内製した動的解析環境、その目的と工夫とは (2017/7/10)
代表的なマルウェア解析方法を紹介し、自社のみに影響があるマルウェアを「培養」するために構築した動的解析環境について解説する - 侵入されることを前提に考える――内部対策はログ管理から (2017/7/5)
人員リソースや予算の限られた中堅・中小企業にとって、大企業で導入されがちな、過剰に高機能で管理負荷の高いセキュリティ対策を施すのは現実的ではない。本連載では、中堅・中小企業が目指すべきセキュリティ対策の“現実解“を、特に標的型攻撃(APT:Advanced Persistent Threat)対策の観点から考える。
 |
|
|
|
|
