Cloud One Workload Security（Deep Security）がRocky Linux OSに対応したのでインストールしてみた

こんにちは、コカコーラが大好きなカジです。

Cloud One Workload Security（以後C1WS、旧Deep Security）が、Rocky Linuxに対応したのでインストールしてみたいと思います。

Rocky Linuxについて

Rocky Linux 0S 8についてや、構築方法については以下のブログを参照ください。

Rocky LinuxにおけるCloud One Workload Securityの対応可能な機能について

詳細は以下のドキュメントに記載されています。

Deep Security Agent 20の以下のバージョンからサポートされていますので注意してください。

Note 7: Rocky Linux 8 is currently supported on Deep Security Agent 20.0.0-3288+ for Red Hat Enterprise Linux 8, since Rocky Linux 8 is a direct fork of RHEL 8.

また、対応機能は以下のようになっています。

2021/11/05時点での上記のRocky Linuxサポート機能の画像は以下でした。 Amazon LinuxやCentOS/RHELと同じ機能に対応しておりました。

Deep Security Agentをインストール

C1WSにてポリシー作成を完了しておいて下さい。

C1WSにて以下を実行

サポート情報 ＞ インストールスクリプト をクリック

インストール対象のOSをLinuxで選択し、「インストール後にAgentを自動的に有効化」をチェックします。

「セキュリティポリシー」にて設定したいポリシーを選択し、スクリプトをクリップボードへコピーします。

EC2にSSHでログインして以下を実行（SSMのRun CommandでAWS-RunShellScriptでも可能)

インストールスクリプトをviで作成し、貼り付けて保存し実行します。

後で気づいたのですが、Rocky Linuxは、SSM Agentがインストールされており、EC2 IAM Roleで権限を与えることで、SSMのRun CommandのAWS-RunShellScriptでもインストール可能でした。

$ vi dsa_install.sh
画像のインストールスクリプトを出力して貼り付けて保存
$ chmod 755 dsa_install.sh
$ sudo ./dsa_install.sh
sudo ./dsa-install.sh
Downloading agent package...
Installing agent package...
警告: /tmp/agent.rpm: ヘッダー V4 RSA/SHA256 Signature、鍵 ID e1051cbd: NOKEY
Verifying...                                     (100%)
準備しています...                                   (100%)
Host platform - NAME="Rocky Linux"
更新中 / インストール中...
   1:ds_agent-20.0.0-3288.el8          ################################# [100%]
enable ds_agent service with systemd
Created symlink /etc/systemd/system/multi-user.target.wants/ds_agent.service → /usr/lib/systemd/system/ds_agent.service.
Install the agent package successfully
HTTP Status: 200 - OK
Activation will be re-attempted 30 time(s) in case of failure
dsa_control
HTTP Status: 200 - OK
Response:
Attempting to connect to https://agents.deepsecurity.trendmicro.com:443/
SSL handshake completed successfully - initiating command session.
Connected with (NONE) to peer at agents.deepsecurity.trendmicro.com
Received a 'GetHostInfo' command from the manager.
Received a 'SetDSMCert' command from the manager.
Received a 'SetAgentCredentials' command from the manager.
Received a 'GetAgentEvents' command from the manager.
Received a 'SetAgentStatus' command from the manager.
Received a 'GetInterfaces' command from the manager.
Received a 'GetAgentEvents' command from the manager.
Received a 'GetHostMetaData' command from the manager.
Received a 'GetHostMetaData' command from the manager.
Received a 'GetAgentStatus' command from the manager.
Received a 'GetAgentEvents' command from the manager.
Received a 'GetDockerVersion' command from the manager.
Received a 'SetXDRInformation' command from the manager.
Received a 'SetSecurityConfiguration' command from the manager.
Received a 'GetAgentEvents' command from the manager.
Received a 'GetAgentStatus' command from the manager.
Received a 'GetIoT' command from the manager.
Received a 'SetDSMCACert' command from the manager.
Received a 'Metrics' command from the manager.
Command session completed.

C1WSのコンソールでコンピュータ登録されていることを確認します。

EICARテストファイルを使って検知させてみる

curlコマンドでEICARテストファイルをダウンロードし、不正プログラム機能によりリアルタイムで退避されるため、ファイルが存在しないことを確認

$ curl -OL https://secure.eicar.org/eicar.com.txt
  % Total    % Received % Xferd  Average Speed   Time    Time     Time  Current
                                 Dload  Upload   Total   Spent    Left  Speed
100    68  100    68    0     0     47      0  0:00:01  0:00:01 --:--:--    47
$ ls -ltr
total 4
-rwxr-xr-x. 1 ec2-user ec2-user 3084 Oct 29 08:50 dsa_install.sh
$

不正プログラム機能によりリアルタイムで退避されるため、ファイルが存在しない

Cloud One Workload Securityのコンソールでも検知を確認します。

まとめ

Deep Security Agent 20.0.0-3165以降のバージョンで利用可能なことに気をつけましょう 省略しましたが、EC2のRocky Linuxは、SSM Agentがプリインストールされており、SSHログインしなくてもDeep Security Agentインストール可能でした。どなたかのお役に立てれば光栄です。

参考元