免責事項
※当社からお知らせするセキュリティ情報は公開当時当社が知り得た情報を元に配信しております。そのため、情報の網羅性について保証せず、当社から配信された情報を用いて利用者が行った行為について、直接的、間接的、偶発的、結果的損害、逸失利益、懲罰的損害、または特別損害を含む全ての損害に対して、状況のいかんを問わず一切責任を負いません。
攻撃遮断くんをIDSモードで動作させる設定手順
Linuxの場合には、以下の設定を行うことで、攻撃遮断くんをIDSモードで動作させることができます。
1) viで下記コンフィグファイルを開きます。
vi /var/ossec/etc/ossec.conf
2) IDSモードを有効にする設定を、</ossec_config>のすぐ上に書きます。
<active-response>
<disabled>yes</disabled>
</active-response>
(編集後)
——————————
~
<localfile>
<log_format>full_command</log_format>
<command>last -n 5</command>
</localfile>
<active-response>
<disabled>yes</disabled>
</active-response>
</ossec_config>
——————————
3)コンフィグファイルを上書き保存します。
4)エージェントを再起動します。
/var/ossec/bin/ossec-control restart
5)再起動完了後、遮断処理がされていないことをログで確認します。
tail -f /var/ossec/logs/active-responses.log
※5分程度確認し、新しいログが出力されなければ、遮断されていません。
上記手順でIDSモードに変更後、再び攻撃遮断くんをIPSモードへ切り替える場合には、追記した設定を削除するか、以下の内容に書き換えてください。
<active-response>
<disabled>no</disabled>
</active-response>
なお、IDSモードにした場合でも、攻撃検知の場合には「攻撃遮断くん防御証明メール」にて通知され、、本文中には「攻撃遮断くんが攻撃を検知し、遮断しました。」と記載されたメールが届きます。
