share facebook facebook twitter menu hatena pocket slack

2014.11.07 FRI

セキュリティアドバイザリをチェックする sensu の check プラグインを作ってみたのでメモ

川原 洋平

WRITTEN BY 川原 洋平

どうも、cloudpackかっぱ@inokara)です。

はじめに

最近、Ops な仲間達をドキドキさせるセキュリティアドバイザリが立て続けに報告されていますね…。これらのアドバイザリの情報を RSS で購読しておけば対策のレスポンスはあげられると思っていますが、せっかくなのでこのアドバイザリ情報も sensu で監視してしまいましょう…

と言っても RSS のフィードを叩くだけのシンプルなもので、引数に気になるキーワードを渡すとそれらのアドバイザリが報告されると(RSS フィードに含まれていると)通知が飛ぶというシンプルでなんの捻りもないプラグインです。


こんな感じ

ギッハブ

使い方

check-security-advisory.rb -u "http://jvn.jp/rss/jvn.rdf" -C "ssl|apache|sendmail"

実行例

check の設定は以下のように。interval は一時間毎にしていますが、もっと長めでも良いと思います。

  "checks": {
    "check-security-advisory": {
      "command": "/etc/sensu/plugins/check-security-advisory.rb -C 'ssl|apache'",
      "subscribers": [
        "xxxxxxx"
      ],
      "interval": 3600,
      "occurrences": 1
    }
   }
  }

結果は以下のように。

セキュリティアドバイザリをチェックするSensuプラグイン:  実行結果

皆さん、記憶に新しい SSLv3 の Poodle 攻撃について検知されていますね。


最後に

半分ネタ、半分勉強のつもりで作ってみました。

単に RSS のフィードを取得しているだけなので、フィードが更新されない限り Check の度にアラートが発生してしまうという詰めの甘さは否めませんが、RSS リーダーに埋もれがちになりそうなアドバイザリもこのように通知させることで見落としを少しでも解消できたら嬉しいですな。

元記事はこちらです。
セキュリティアドバイザリをチェックする sensu の check プラグインを作ってみたのでメモ

cloudpack

cloudpackは、Amazon EC2やAmazon S3をはじめとするAWSの各種プロダクトを利用する際の、導入・設計から運用保守を含んだフルマネージドのサービスを提供し、バックアップや24時間365日の監視/障害対応、技術的な問い合わせに対するサポートなどを行っております。
AWS上のインフラ構築およびAWSを活用したシステム開発など、案件のご相談はcloudpack.jpよりご連絡ください。