www.kinryo.net

参考：https://centossrv.com/almalinux/softethervpnserver.shtml の■VPNクライアントからVPNサーバーへのアクセス設定
# nmcli device　←　物理インタフェース名確認
DEVICE                  TYPE           STATE       CONNECTION
enp37s0                  ethernet     接続済み    enp37s0
wlp38s0                   wifi             切断済み —
p2p-dev-wlp38s0  wifi-p2p     切断済み —
lo                              loopback   管理無し —
# nmcli c add type bridge ifname br0　←　ブリッジインタフェースbr0作成
接続 ‘bridge-br0’ (8d7a1c76-46d6-4792-a303-51e0636e7a9d) が正常に追加されました。
# nmcli con modify bridge-br0 bridge.stp no　←　ブリッジインタフェースbr0のSTPを無効化
# nmcli con modify bridge-br0 ipv4.method manual ipv4.addresses 192.168.4.45/24 ipv4.gateway 192.168.4.1 ipv4.dns “192.168.4.1 8.8.8.8”　←　ブリッジインタフェースbr0ネットワーク設定 ※例:IPアドレスを192.168.4.45、ネットマスクを24、ゲートウェイを192.168.4.1、DNSサーバーのアドレスを192.168.4.1    8.8.8.8とする
# nmcli con add type bridge-slave ifname enp37s0 master bridge-br0　←　物理インタフェースenp37s0をブリッジインタフェースbr0に接続
接続 ‘bridge-slave-enp37s0’ (60c828c4-88d8-4e22-a739-835a8d830d0d) が正常に追加されました。
# nmcli c del enp37s0　←　物理インタフェースenp37s0削除
接続 ‘enp37s0’ (cba75ec1-c383-33f0-b3fd-0f48e0cce1e6) が正常に削除されました
# reboot　←　システム再起動
# dnf install -y bridge-utils　←　brctlコマンドインストール
# brctl show　←　ブリッジ接続状態照会
bridge name   bridge id                         STP enabled           interfaces
br0                    8000.309c23a7851f         no                            enp37s0
# ifconfig
br0: flags=4163<UP,BROADCAST,RUNNING,MULTICAST> mtu 1500
        inet 192.168.4.45 netmask 255.255.255.0 broadcast 192.168.4.255
        ether 30:9c:23:a7:85:1f txqueuelen 1000 (Ethernet)
        RX packets 4071 bytes 4118294 (3.9 MiB)
        RX errors 0 dropped 6 overruns 0 frame 0
        TX packets 3403 bytes 593116 (579.2 KiB)
        TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0

enp37s0: flags=4163<UP,BROADCAST,RUNNING,MULTICAST> mtu 1500
        ether 30:9c:23:a7:85:1f txqueuelen 1000 (Ethernet)
        RX packets 4450 bytes 4201103 (4.0 MiB)
        RX errors 0 dropped 6 overruns 0 frame 0
        TX packets 3588 bytes 602736 (588.6 KiB)
        TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0

lo: flags=73<UP,LOOPBACK,RUNNING> mtu 65536
        inet 127.0.0.1 netmask 255.0.0.0
        inet6 ::1 prefixlen 128 scopeid 0x10<host>
        loop txqueuelen 1000 (Local Loopback)
        RX packets 149 bytes 11677 (11.4 KiB)
        RX errors 0 dropped 0 overruns 0 frame 0
        TX packets 149 bytes 11677 (11.4 KiB)
        TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0

wlp38s0: flags=4099<UP,BROADCAST,MULTICAST> mtu 1500
       ether 6a:11:31:fb:08:1e txqueuelen 1000 (Ethernet)
       RX packets 0 bytes 0 (0.0 B)
       RX errors 0 dropped 0 overruns 0 frame 0
       TX packets 0 bytes 0 (0.0 B)
       TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0
br0にIPがあり、enp37s0にはIPが無い。

nmcliの使用方はここを参照

参考：https://centossrv.com/almalinux/clamav.shtml
# dnf install -y epel-release　←　EPELリポジトリインストール
# dnf -y install clamav clamav-server-systemd clamav-update clamav-scanner-systemd　←　Clam AntiVirusインストール
# gedit /etc/freshclam.conf
#NotifyClamd /path/to/clamd.conf　　← #を取って下記に変更
NotifyClamd /etc/clamd.d/scan.conf　←　追加（ウイルス定義ファイル更新をclamdに通知する）
保存後
# freshclam　　←　ウイルス定義ファイル最新化
前略
bytecode.cvd updated (version: 333, sigs: 92, f-level: 63, builder: awillia2)
ERROR: NotifyClamd: No communication socket specified in /etc/clamd.d/scan.conf
ERROR: Can’t send to clamd: Socket operation on non-socket
# gedit /etc/clamd.d/scan.conf　　←　Clam AntiVirus設定ファイル編集
#User clamscan　←　行頭に#を追加してコメントアウト(root権限で動作するようにする)

# Path to a local socket file the daemon will listen on.
# Default: disabled (must be specified by a user)
LocalSocket /run/clamd.scan/clamd.sock　←　行頭の#を削除

# systemctl start clamd@scan　←　clamd起動
# systemctl enable clamd@scan　←　clamd自動起動設定 [root@almalinux ~]
# systemctl start clamav-freshclam　←　clamav-freshclam起動 [root@almalinux ~]
# systemctl enable clamav-freshclam　←　clamav-freshclam自動起動設定
# clamdscan -c /etc/clamd.d/scan.conf –remove　←　ウイルススキャンテスト(ウイルスなしの場合)
/root: OK

———– SCAN SUMMARY ———–
Infected files: 0
Time: 53.727 sec (0 m 53 s)
Start Date: 2023:02:10 09:54:05
End Date: 2023:02:10 09:54:59

# wget http://www.eicar.org/download/eicar.com　←　テスト用ウイルスをダウンロード
# wget http://www.eicar.org/download/eicar.com.txt　←　〃
# wget http://www.eicar.org/download/eicar_com.zip　←　〃
# wget http://www.eicar.org/download/eicarcom2.zip　←　〃

# clamdscan -c /etc/clamd.d/scan.conf –remove　←　ウイルススキャンテスト(ウイルスありの場合)
/root/eicar.com: Eicar-Test-Signature FOUND　←　ウイルス検知 /root/eicar.com: Removed.　←　ウイルス削除
/root/eicar.com.txt: Eicar-Test-Signature FOUND　←　ウイルス検知 /root/eicar.com.txt: Removed.　←　ウイルス削除
/root/eicar_com.zip: Eicar-Test-Signature FOUND　←　ウイルス検知 /root/eicar_com.zip: Removed.　←　ウイルス削除 /root/eicarcom2.zip: Eicar-Test-Signature FOUND　←　ウイルス検知
/root/eicarcom2.zip: Removed.　←　ウイルス削除
———– SCAN SUMMARY ———–
Infected files: 4　←　4つのウイルスを検知した
Time: 23.913 sec (0 m 23 s)

# gedit /etc/cron.daily/clamdscan　←　ウイルススキャン日次実行スクリプト作成 #!/bin/bash
# 設定ファイル
CONFIG=/etc/clamd.d/scan.conf
# スキャン実行 # ※ウイルス検知時は隔離ディレクトリへ隔離
CLAMSCANLOG=`mktemp`
QUARANTINEDIR=/tmp/clamdscan-quarantinedir-$(date +%Y%m%d)
mkdir -p ${QUARANTINEDIR}
clamdscan -c ${CONFIG} –move=${QUARANTINEDIR} / > ${CLAMSCANLOG} 2>&1
# ウイルス検知時のみroot宛にメール通知
if [ -z “$(grep FOUND$ ${CLAMSCANLOG})” ]; then
rm -rf ${QUARANTINEDIR}
else
grep -A 1 FOUND$ ${CLAMSCANLOG} | mail -s “Virus Found in `hostname` => ${QUARANTINEDIR}” root
fi
# スキャンログをシスログに出力 cat ${CLAMSCANLOG} | logger -t $(basename ${0})
rm -f ${CLAMSCANLOG}

# chmod +x /etc/cron.daily/clamdscan　←　ウイルススキャン日次実行スクリプトへ実行権限付加
# echo ExcludePath ^/tmp/clamdscan-quarantinedir-.*/ >> /etc/clamd.d/scan.conf　←　ウイルス隔離ディレクトリをスキャン対象外にする
# echo ExcludePath ^/proc/ >> /etc/clamd.d/scan.conf　←　例として/procディレクトリをスキャン対象外にする
# echo ExcludePath ^/sys/ >> /etc/clamd.d/scan.conf　←　例として/sysディレクトリをスキャン対象外にする
# systemctl restart clamd@scan　←　clamd再起動（スキャン除外設定反映）

参考：https://centossrv.com/almalinux/chkrootkit.shtml
# git clone https://github.com/Magentron/chkrootkit.git　　← rootkitのダウンロード
# cp chkrootkit/chkrootkit /usr/local/bin/　　← 保存場所の変更
# rm -rf chkrootkit　　← ダウンロードしたchkrootkitを削除
# chkrootkit | grep INFECTED　　← chkrootkit実行
Checking `chsh’… INFECTED
ありゃー、chshが汚染されている！almalinuxをインストールしたばかりなので、誤検知だとは思うが、chshで何だ？使ったことは無いので調べると、
ログイン時のシェルを変更するコマンドだった。
私はログインシェルを変更しないので、削除して置いた。（場所は /usr/bin/chsh）
再度チェック
# chkrootkit | grep INFECTED
今度は何も表示されないのでOK
ある時、サブホストのalmalinux8でやった時も
Searching for Linux.Xor.DDoS … INFECTED: Possible Malicious Linux.Xor.DDoS installed
となったので、/tmpを調べるとks-script-a4bxme_eとks-script-x04f19_9に実行フラグが付いていたので、それを外し、再度チェックしたら、OKだった。

chkrootkit実行スクリプトを毎日自動実行されるディレクトリへ作成
# gedit /etc/cron.daily/chkrootkit

#!/bin/bash

LOG=/tmp/$(basename ${0})

# chkrootkit実行
chkrootkit > $LOG 2>&1

# ログ出力
cat $LOG | logger -t $(basename ${0})

# SMTPSのbindshell誤検知対応
if [ ! -z "$(grep 465 $LOG)" ] && \
   [ -z $(/usr/sbin/lsof -i:465|grep bindshell) ]; then
        sed -i '/465/d' $LOG
fi

# upstartパッケージ更新時のSuckit誤検知対応
if [ ! -z "$(grep Suckit $LOG)" ] && \
   [ -z "$(rpm -V `rpm -qf /sbin/init`)" ]; then
        sed -i '/Suckit/d' $LOG
fi

# rootkit検知時のみroot宛メール送信
[ ! -z "$(grep INFECTED $LOG)" ] && \
grep INFECTED $LOG | mail -s "chkrootkit report in `hostname`" root

chkrootkit実行スクリプトへ実行権限付加
# chmod 700 /etc/cron.daily/chkrootkit
コマンドが改竄された場合に備えて、汚染のないコマンド軍を保存しておく
# mkdir chkrootkitcmd　←　chkrootkit使用コマンド退避先ディレクトリ作成
# cp `which –skip-alias awk cut echo egrep find head id ls netstat ps strings sed ssh uname` chkrootkitcmd/　←　chkrootkit使用コマンドを退避先ディレクトリへコピー # chkrootkit -p /root/chkrootkitcmd|grep INFECTED　←　試しに退避したchkrootkit使用コマンドを使用してchkrootkit実行
# zip -r chkrootkitcmd.zip chkrootkitcmd/ && rm -rf chkrootkitcmd　←　chkrootkit使用コマンド退避先ディレクトリを圧縮して削除
# echo|mail -a chkrootkitcmd.zip -s chkrootkitcmd.zip root　←　chkrootkit使用コマンド(圧縮版)をroot宛にメール送信
# rm -f chkrootkitcmd.zip　←　chkrootkit使用コマンド(圧縮版)削除