F-Secure Linux Securityの完全性検査を試してみた

はじめに

F-Secure Linux Securityの完全性検査を試してみました。
完全性検査は、ファイルを不正な変更処理から保護します。
ベースラインの作成、ファイル変更の検知、ソストウェアのインストールモードへの変更までを試してみました。

ベースラインの作成

ベースラインを作成します。
完全性検査は、保護するファイルのベースラインを作成することで設定されます。
管理コンソール（https://EC2のIP:28082/fsecure/webui）に接続し、詳細設定モードにします。

パスワードを入力し、ベースラインの作成を選択します。
作成したベースラインは暗号化されます。ベースラインはパスワードを使用して再設定出来ます。

しばらく待つと、ベースラインが作成されます。

既知のファイルを選択します。
既知のファイルは、監視/保護しているファイルです。
検証環境では、2,670ファイルが登録されました。

既知のファイルは、/opt/f-secure/fsav/bin/fslistfilesコマンドでも確認できます。

$ /opt/f-secure/fsav/bin/fslistfiles | head -20
/bin/cgget
/bin/tracepath6
/bin/bash
/bin/su
/bin/view
/bin/basename
/bin/egrep
/bin/domainname
/bin/find
/bin/gzip
/bin/vi
/bin/tar
/bin/mount
/bin/sh
/bin/cgdelete
/bin/rnano
/bin/findmnt
/bin/chown
/bin/df
/bin/cat
$

既存ファイルの変更テスト

ユーザー追加の検知

ユーザーを追加すると"/etc​/passwd"ファイルなどに変更が発生します。
useraddコマンドを実行すると、以下の警告が発生しました。

マークを選択すると、内容を確認できます。
​/etc​/passwdと/etc​/groupの属性と内容の変更を検知しています。

メール通知設定をしておけば、以下のようなメールを受信できます。
/etc/passwdの内容が変更された旨がわかります。

ベースラインの更新

既知のファイルを選択し、ステータス"変更および新規"を選択します。
/etc/passwd、/etc/groupについて、ベースラインと異なる状態です。

ファイルを選択し、ベースラインを更新します。

パスワードを入力し、ベースラインの作成を選択します。

ステータス"変更および新規"から、ベースラインを更新したファイルが除外されました。

ソストウェアのインストールモードへの変更

システムの変更を行う場合、「ソフトウェアインストールモード」に変更します。
詳細設定モードのチェックを外し、一般タスク＞ソフトウェアのインストールを選択します。

ウィザードが起動します。
画面の指示に従い、システムの完全性を検査します。

検査結果に問題がない事を確認し、次に進みます。

インストールモードに設定されました。
OSのアップデート、ソフトウェアのインストールなどを実施します。
実施後、ベースラインを再作成します。

ベースラインを作成が完了すると、ウィザードは終了します。

さいごに

F-Secure Linux Securityの完全性検査を試してみました。
完全性検査は、ファイルを不正な変更処理から保護します。

最初にベースラインを作成しました。
完全性検査は、保護するファイルのベースラインを作成することで設定されます。
テストでは、ユーザー追加に伴うファイルの内容および属性の変化を検知しました。
OSのアップデートやアプリケーションの変更時に設定が必要な"ソストウェアのインストールモードへの変更"を設定しました。

検証環境

• amzn-ami-hvm-2017.03.0.20170401-x86_64-gp2 (ami-859bbfe2)
• F-Secure Linux Security version 11.10 build 68

参考

• 完全性検査