ホストのファイルについて変更等を定期的にチェックする
ツール Osiris を導入。要は改竄チェック機構。
本来は osirismd(管理サーバ) - osirisd(Agent) のホストを
分ける事で、スキャンした情報は管理サーバにのみ残るという
チェック結果を含めた改竄対策が可能なのだけど、１台しかないので、
己で己を見張ることとする。


インストール方法は以下に最高に詳しく掲載されている。
http://www.7th-angel.net/seculog/item/476/catid/14.html


気になった点として、osiris Agent のアクセス元制限は？


osirisd 初回起動時は接続が Any Allow になっている。
osirismd からの最初の接続時に
以下 root の cert を送り込む。という動作のようだ。

# cd /usr/local/osiris/
# ls -la
total 8
drwxr-xr-x 2 osiris osiris 512 Sep 27 19:40 .
drwxr-xr-x 17 root root 512 Sep 27 19:21 ..

• rw------- 1 osiris osiris 1155 Sep 27 19:40 osiris_root.pem

ので、Agent を入れて放っておくのはちょっと不味くて、


osirisd を上げたら直ぐに適切な osirismd から接続
をして、root cert を送り込む。
(送り込めるのは初回だけ。送り込めなければ既に誰かが接続をした？)
or
前もって root cert を送り込んでから
接続する。(楽＋セキュア)