Sophos Central Server ProtectionでCentOS7を保護してみた
Sophos Server Protectionは、サーバーにインストールして使用するアンチマルウェア製品です。
マルウェアとはコンピュータウイルス、トロイの木馬、ワームなど悪意のあるソフトウェアの総称です。
Sophosのアンチマルウウェア製品には3つのライセンス(参考)がありますが、クラウド型のCentral Server ProtectionをCentOS 7に導入し、動作確認するまでを紹介します。
事前準備
検証ライセンスの申し込み
検証ライセンスはこちらから申し込めます。
Central Server Protectionを含め、様々な製品を1ヶ月間試せます。
Webページから申し込むと、Sophos Centralへのログイン情報が送付されます。
Sophos Centralはクラウド型の管理サーバーです。
Server Protectionの設定は、Sophos Centralで一括管理します。
システム要件の確認
保護対象がSophos Anti-Virus for Linux: システム要件を満たすか確認します。
Sophos Anti-Virus for Linuxには、バージョン10とバージョン9がありますが、Sophos Centralを利用時にシステム要件を満たす場合、バージョン10がインストールされます。
よって、"バージョン 10 によってサポートされているシステム要件"を確認しましょう。
保護対象のEC2は、AWS Marketplaceから起動しました。
検証環境では、いずれも問題ありませんでした。
※ 補足
クラウド管理型 Sophos Anti-Virus for Linux バージョン 10 は、Sophos Linux Security(SLS) に名称が変更される予定です。
| システム要件 | 検証環境 | 結果 |
| 対応ディストリビューション | CentOS Linux release 7.4.1708 (Core) | ○ |
| 64ビット (x86_64) | 64ビット (x86_64) | ○ |
| GNU C Library (Glibc) 2.11 以降 | 2.17-196.el7_4.2 | ○ |
| Kernel 2.6.32 以降 | 3.10.0-693.11.6.el7 | ○ |
| 空きディスク容量 最低 1 GB | - | ○ |
| メモリ 1 GB 以上を推奨 | t2.micro | ○ |
オンアクセス要件の確認
Sophos Anti-Virus for Linuxでは、fanotifyまたはTalpaを利用して、オンアクセス検索します。
fanotifyは、カーネルに含まれるファイルシステムの状態変化を通知する機能です。
TalpaはSophosが提供する機能です。
こちらの"TalpaBinaryPacks.txt"とOS、カーネルバージョンを照らしあわせると、事前にコンパイルされたTalpaバイナリパックを利用できる事がわかります。
今回は、事前にコンパイルされたTalpaバイナリパックを利用します。
インストールと初期設定
インストーラの実行
Sophos Centralから、インストーラをダウンロードします。
インストーラーを実行すると、SAV 10.3.0がインストールされました。
SAVはSophos Anti-Virusの事です。
[centos@ip-172-31-17-89 ~]$ sudo sh ./SophosInstall.sh Installing Sophos Anti-Virus for Linux with arguments: [] Downloading medium installer Checking we can connect to Sophos Central (at https://mcs-cloudstation-us-east-2.prod.hydra.sophos.com/sophos/management/ep)... Finished downloading the medium installer. Running medium installer (this may take some time) Updating directly from Sophos. Extra files updating is disabled. You can change updating settings using /opt/sophos-av/bin/savsetup. Installing Sophos Linux Security.... Selecting appropriate kernel support... Installation completed. Your computer is now protected by Sophos Linux Security. 次のバージョンにアップデートしました - SAV: 10.3.0、エンジン: 3.69.2、データ: 5.47 sdds:SOPHOS からの Sophos Anti-Virus のアップデートに成功しました Current install does not support Message Relays Saving Sophos Cloud credentials Registering with Sophos Cloud Starting Sophos Cloud Management Client Now managed by Sophos Cloud [centos@ip-172-31-17-89 ~]$
Sophos Centralを確認すると、EC2が認識されています。
言語設定
Sophos Centralの言語設定を変更します。
日本語も対応しています。
サーバーグループの追加
グループを作成する事で、グループ単位でポリシーを設定できます。
サーバーの役割(Web,DB,バッチなど)ごとにサーバーグループを分けて、ポリシーを適用すると良いでしょう。
Webサーバーグループを作成し、EC2を割り当てました。
ポリシー設定
ポリシーは、以下の7種類あります。
Linuxでは、脅威対策とアップデートの管理を利用できます。
- 脅威対策
- 周辺機器コントロール
- アプリケーションコントロール
- Webコントロール
- ロックダウン
- データ流出防止
- アップデートの管理
脅威対策
脅威対策-概要
トロイの木馬/ワーム/コンピュータウイルスなどの脅威の検索を行います。
推奨設定を利用しつつ、必要な箇所を変更します。
特に、定期スキャンスケジュールや検索除外はシステム個別で設定する形になるかと思います。
変更時はこちらが参考になります。
OSごとに利用できる機能が異なりますが、コンソール上ではわかりやすい形で表示されています。
脅威対策-ポリシー作成
ポリシーの追加を選択し、脅威対策ポリシーを作成します。
ポリシー名は、「Webサーバーポリシー」としました。
Webサーバーグループに割り当てます。
推奨設定をベースに"スケジュール検索"のみ変更しました。
毎日午前12:00に検索します。
アップデートの管理
アップデートの管理-概要
製品アップデートを行う曜日と時間を設定します。
アップデートの管理-ポリシー作成
ポリシー名を「Webサーバーポリシー」とし、Webサーバーグループに割り当てます。
アップデートのスケジュールは、水曜日の午前01:00としました。
動作確認
オンアクセススキャン
テスト用のEICARファイルをダウンロードすると、脅威を検知しました。
[centos@ip-172-31-17-89 ~]$ curl -O http://www.eicar.org/download/eicar.com
% Total % Received % Xferd Average Speed Time Time Time Current
Dload Upload Total Spent Left Speed
100 68 100 68 0 0 33 0 0:00:02 0:00:02 --:--:-- 33
[centos@ip-172-31-17-89 ~]$
******************** Sophos Linux Security 警告 ********************
脅威 "EICAR-AV-Test" が次のファイルで検出されました
"/home/centos/eicar.com".
ファイルはまだ感染しています
**********************************************************************
[centos@ip-172-31-17-89 ~]$
ファイルを開こうとすると、アクセス拒否されます。
[centos@ip-172-31-17-89 ~]$ cat /home/centos/eicar.com cat: /home/centos/eicar.com ******************** Sophos Linux Security 警告 ******************** 脅威 "EICAR-AV-Test" が次のファイルで検出されました "/home/centos/eicar.com". ファイルへのアクセスが拒否されました ********************************************************************** : 許可されていない操作です [centos@ip-172-31-17-89 ~]$
Sophos Centalでもマルウェアが検出された旨がわかります。
メールでも通知されます。
ユーザー側でメールサーバーを用意せずとも通知できるのは素晴らしいですね。
感染ファイルの駆除
テストファイルを削除します。
savscan -remove /home/centos/eicar.comを実行します。
実行後にlsコマンドを実行し、ファイルが削除された事を確認しました。
[centos@ip-172-31-17-89 ~]$ savscan -remove /home/centos/eicar.com SAVScan ウイルス検出ユーティリティ バージョン 5.38.0 [Linux/AMD64] ウイルスデータバージョン 5.47, 2018年1月 15461045種類のウイルス、トロイの木馬、ワームを検出します。 Copyright (c) 1989-2018 Sophos Limited. All rights reserved. システム日 2018年01月31日, システム時刻 02時11分37秒 以下のオプションスイッチがあります: -remove IDE ディレクトリ: /opt/sophos-av/lib/sav 以下の IDE ファイルを使用しています: delf-gli.ide 以下の IDE ファイルを使用しています: pdfu-dqw.ide (中略) 以下の IDE ファイルを使用しています: zbot-lwh.ide クイックモード検索 >>> ウイルス‘EICAR-AV-Test’がファイル /home/centos/eicar.com に発見されました /home/centos/eicar.com の削除を実行しますか? (はい[Y]/いいえ[N]/すべて[A]) ? すべて 除去に成功しました ファイル 1 個を 17秒で検索しました。 1 個のウイルスが発見されました。 1 個のファイル(1 個中)が感染しています。 検出に関する詳細は、ソフォス Web サイトの次のリンクを参照してください。 脅威解析センター: http://www.sophos.com/ja-jp/threat-center.aspx 検索が終了しました。 [centos@ip-172-31-17-89 ~]$ ls -l /home/centos/eicar.com ls: /home/centos/eicar.com にアクセスできません: そのようなファイルやディレクトリはありません [centos@ip-172-31-17-89 ~]$
対処が完了したので、Sophos Centralからステータスを変更します。
おわりに
Central Server ProtectionをCentOS 7に導入し、動作確認するまでを紹介しました。
Central Server Protectionは、クラウドの管理サーバーで設定を一元管理できるほか、ユーザー側でメールサーバーを用意せずともメール通知可能です。
Amazon Linuxにも対応しているため、AWS環境でのマルウェア保護の有力な選択肢になるかと思います。
検証環境
- AMI: CentOS 7 (x86_64) - with Updates HVM ,ami-25bd2743
