OSSEC është një sistem zbulimi i ndërhyrjeve me burim të hapur, i bazuar në host (HIDS) që kryen analizën e regjistrave, kontrollin e integritetit, monitorimin e regjistrit të Windows, zbulimin e rootkit, sinjalizimin e bazuar në kohë dhe përgjigjen aktive. Është një aplikacion sigurie i domosdoshëm në çdo server.
OSSEC mund të instalohet për të monitoruar vetëm serverin në të cilin është instaluar (një instalim lokal), ose të instalohet si një server për të monitoruar një ose më shumë agjentë. Në këtë tutorial, do të mësoni se si të instaloni OSSEC për të monitoruar CentOS 7 si një instalim lokal.
Një server CentOS 7 preferohet të konfigurohet me çelësa SSH dhe të personalizohet duke përdorur konfigurimin fillestar të një serveri CentOS 7 . Hyni në server duke përdorur llogarinë standarde të përdoruesit. Supozoni se emri i përdoruesit është joe .
ssh -l joe server-ip-address
OSSEC do të përpilohet nga burimi, kështu që ju duhet një përpilues për ta bërë të mundur këtë. Kërkon gjithashtu një paketë shtesë për njoftime. Instaloni ato duke shtypur:
sudo yum install -y gcc inotify-tools
OSSEC shpërndahet si një tarball i ngjeshur që duhet të shkarkohet nga faqja e internetit e projektit. Skedari checksum, i cili do të përdoret për të verifikuar që tarball nuk është manipuluar, gjithashtu duhet të shkarkohet. Në kohën e këtij publikimi, versioni më i fundit i OSSEC është 2.8.2. Kontrolloni faqen e shkarkimit të projektit dhe shkarkoni cilido qoftë versioni më i fundit.
Për të shkarkuar tarballin, shkruani:
wget -U ossec http://www.ossec.net/files/ossec-hids-2.8.2.tar.gz
Për skedarin e kontrollit, shkruani:
wget -U ossec http://www.ossec.net/files/ossec-hids-2.8.2-checksum.txt
Me të dy skedarët e shkarkuar, hapi tjetër është të verifikoni shumat e kontrollit MD5 dhe SHA1 të tarball. Për MD5sum, shkruani:
md5sum -c ossec-hids-2.8.2-checksum.txt
Rezultati i pritur është:
ossec-hids-2.8.2.tar.gz: OK
md5sum: WARNING: 1 line is improperly formatted
Për të verifikuar hash-in SHA1, shkruani:
sha1sum -c ossec-hids-2.8.2-checksum.txt
Dhe rezultati i pritur i tij është:
ossec-hids-2.8.2.tar.gz: OK
sha1sum: WARNING: 1 line is improperly formatted
Gjatë procesit të instalimit të OSSEC, do t'ju kërkohet të specifikoni një server SMTP për adresën tuaj të emailit. Nëse nuk e dini se çfarë është, mënyra më e lehtë për ta zbuluar është duke lëshuar këtë komandë nga kompjuteri juaj lokal (zëvendësoni adresën e rreme të emailit me atë të vërtetën):
dig -t mx you@example.com
Seksioni përkatës në dalje është paraqitur në këtë bllok kodesh. Në këtë dalje mostër, serveri SMTP për adresën e emailit të kërkuar është në fund të rreshtit - mail.vivaldi.net. . Vini re se pika në fund është përfshirë.
;; ANSWER SECTION:
vivaldi.net. 300 IN MX 10 mail.vivaldi.net.
Për të instaluar OSSEC, së pari duhet të shpaketoni tarballin, të cilin e bëni duke shtypur:
tar xf ossec-hids-2.8.2.tar.gz
Ai do të shpaketohet në një direktori që mban emrin dhe versionin e programit. Ndryshoni ose futeni cdnë të. OSSEC 2.8.2, versioni i instaluar për këtë artikull, ka një defekt të vogël që duhet rregulluar përpara fillimit të instalimit. Deri në kohën kur lëshohet versioni tjetër i qëndrueshëm, i cili duhet të jetë OSSEC 2.9, kjo nuk duhet të jetë e nevojshme, sepse rregullimi është tashmë në degën kryesore. Rregullimi i tij për OSSEC 2.8.2 do të thotë thjesht redaktimi i një skedari, i cili gjendet në active-responsedrejtori. Skedari është hosts-deny.sh, kështu që hapeni duke përdorur:
nano active-response/hosts-deny.sh
Në fund të skedarit, kërkoni këtë bllok kodi:
# Deleting from hosts.deny
elif [ "x$" = "xdelete" ]; then
lock;
TMP_FILE = `mktemp /var/ossec/ossec-hosts.XXXXXXXXXX`
if [ "X$" = "X" ]; then
# Cheap fake tmpfile, but should be harder then no random data
TMP_FILE = "/var/ossec/ossec-hosts.`cat /dev/urandom | tr -dc 'a-zA-Z0-9' | fold -w 32 | head -1 `"
fi
Në rreshtat që fillojnë me TMP_FILE , fshini hapësirat rreth shenjës = . Pas heqjes së hapësirave, ajo pjesë e skedarit duhet të jetë siç tregohet në bllokun e kodit më poshtë. Ruani dhe mbyllni skedarin.
# Deleting from hosts.deny
elif [ "x$" = "xdelete" ]; then
lock;
TMP_FILE=`mktemp /var/ossec/ossec-hosts.XXXXXXXXXX`
if [ "X$" = "X" ]; then
# Cheap fake tmpfile, but should be harder then no random data
TMP_FILE="/var/ossec/ossec-hosts.`cat /dev/urandom | tr -dc 'a-zA-Z0-9' | fold -w 32 | head -1 `"
fi
Tani që rregullimi është në, ne mund të fillojmë procesin e instalimit, të cilin e bëni duke shtypur:
sudo ./install.sh
Gjatë gjithë procesit të instalimit, do t'ju kërkohet të jepni disa të dhëna. Në shumicën e rasteve, ju duhet vetëm të shtypni ENTER për të pranuar parazgjedhjen. Së pari, do t'ju kërkohet të zgjidhni gjuhën e instalimit, e cila si parazgjedhje është anglishtja (en). Pra, shtypni ENTER nëse kjo është gjuha juaj e preferuar. Përndryshe, futni 2 shkronjat nga lista e gjuhëve të mbështetura. Më pas, shtypni sërish ENTER .
Pyetja e parë do t'ju pyesë se çfarë lloj instalimi dëshironi. Këtu, shkruani lokale .
1- What kind of installation do you want (server, agent, local, hybrid or help)? local
Për pyetjet vijuese, shtypni ENTER për të pranuar parazgjedhjen. Pyetja 3.1 do t'ju kërkojë adresën tuaj të emailit dhe më pas do të kërkojë serverin tuaj SMTP. Për këtë pyetje, vendosni një adresë të vlefshme emaili dhe serverin SMTP që keni përcaktuar në Hapin 3.
3- Configuring the OSSEC HIDS.
3.1- Do you want e-mail notification? (y/n) [y]:
- What's your e-mail address? you@example.com
- What's your SMTP server ip/host?
Nëse instalimi është i suksesshëm, duhet të shihni këtë dalje:
- Configuration finished properly.
...
More information can be found at http://www.ossec.net
--- Press ENTER to finish (maybe more information below). ---
Shtypni ENTER për të përfunduar instalimin.
OSSEC është instaluar, por nuk ka filluar. Për ta nisur atë, fillimisht kaloni në llogarinë rrënjë.
sudo su
Pastaj, filloni atë duke lëshuar komandën e mëposhtme.
/var/ossec/bin/ossec-control start
Më pas, kontrolloni kutinë tuaj hyrëse. Duhet të ketë një alarm nga OSSEC që ju informon se ka filluar. Me këtë, ju tani e dini se OSSEC është instaluar dhe do të dërgojë sinjalizime sipas nevojës.
Konfigurimi i parazgjedhur i OSSEC funksionon mirë, por ka cilësime që mund t'i ndryshoni për ta bërë atë të mbrojë më mirë serverin tuaj. Skedari i parë që duhet personalizuar është skedari kryesor i konfigurimit - ossec.conf, të cilin do ta gjeni në /var/ossec/etcdrejtori. Hapni skedarin:
nano /var/ossec/etc/ossec.conf
Artikulli i parë për të verifikuar është një cilësim email, të cilin do ta gjeni në seksionin global të skedarit:
<global>
<email_notification>yes</email_notification>
<email_to>finid@vivaldi.net</email_to>
<smtp_server>mail.vivaldi.net.</smtp_server>
<email_from>ossecm@vultr.guest</email_from>
</global>
Sigurohuni që adresa email_from është një email i vlefshëm. Përndryshe, disa serverë SMTP të ofruesve të postës elektronike do të shënojnë sinjalizimet nga OSSEC si Postë të padëshiruar. Nëse FQDN-ja e serverit nuk është caktuar, pjesa e domenit të emailit vendoset në emrin e hostit të serverit, kështu që ky është një cilësim që vërtet dëshironi të keni një adresë të vlefshme emaili.
Një cilësim tjetër që dëshironi të personalizoni, veçanërisht gjatë testimit të sistemit, është frekuenca me të cilën OSSEC kryen auditimet e saj. Ky cilësim është në seksionin syscheck dhe, si parazgjedhje, ekzekutohet çdo 22 orë. Për të testuar veçoritë e alarmit të OSSEC, mund të dëshironi ta vendosni në një vlerë më të ulët, por më pas ta rivendosni në parazgjedhje.
<syscheck>
<!-- Frequency that syscheck is executed - default to every 22 hours -->
<frequency>79200</frequency>
Si parazgjedhje, OSSEC nuk sinjalizon kur një skedar i ri shtohet në server. Për ta ndryshuar këtë, shtoni një etiketë të re vetëm nën etiketën <frekuencë> . Kur të përfundojë, seksioni tani duhet të përmbajë:
<syscheck>
<!-- Frequency that syscheck is executed - default to every 22 hours -->
<frequency>79200</frequency>
<alert_new_files>yes</alert_new_files>
Një cilësim i fundit që është mirë të ndryshohet është në listën e drejtorive që OSSEC duhet të kontrollojë. Do t'i gjeni menjëherë pas cilësimit të mëparshëm. Të jetë e paracaktuar, drejtoritë shfaqen si:
<!-- Directories to check (perform all possible verifications) -->
<directories check_all="yes">/etc,/usr/bin,/usr/sbin</directories>
<directories check_all="yes">/bin,/sbin</directories>
Modifikoni të dy rreshtat për të bërë ndryshime në raportin e OSSEC në kohë reale. Kur të mbarojnë, ata duhet të lexojnë:
<directories report_changes="yes" realtime="yes" check_all="yes">/etc,/usr/bin,/usr/sbin</directories>
<directories report_changes="yes" realtime="yes" check_all="yes">/bin,/sbin</directories>
Ruani dhe mbyllni skedarin.
Skedari tjetër që do të na duhet të modifikojmë është local_rules.xmlnë /var/ossec/rulesdrejtori. Pra, cdnë atë drejtori:
cd /var/ossec/rules
Ajo direktori mban skedarët e rregullave të OSSEC, asnjë prej të cilëve nuk duhet të modifikohet, përveç local_rules.xmlskedarit. Në atë skedar, ne shtojmë rregulla të personalizuara. Rregulli që duhet të shtojmë është ai që aktivizohet kur shtohet një skedar i ri. Ky rregull, i numëruar 554 , nuk aktivizon një alarm si parazgjedhje. Kjo për shkak se OSSEC nuk dërgon sinjalizime kur aktivizohet një rregull me nivelin e vendosur në zero.
Ja se si duket rregulli 554 si parazgjedhje.
<rule id="554" level="0">
<category>ossec</category>
<decoded_as>syscheck_new_entry</decoded_as>
<description>File added to the system.</description>
<group>syscheck,</group>
</rule>
Ne duhet të shtojmë një version të modifikuar të atij rregulli në local_rules.xmlskedar. Ky version i modifikuar është dhënë në bllokun e kodit më poshtë. Kopjojeni dhe shtoni atë në fund të skedarit pak para etiketës mbyllëse.
<rule id="554" level="7" overwrite="yes">
<category>ossec</category>
<decoded_as>syscheck_new_entry</decoded_as>
<description>File added to the system.</description>
<group>syscheck,</group>
</rule>
Ruani dhe mbyllni skedarin, më pas rinisni OSSEC.
/var/ossec/bin/ossec-control restart
OSSEC është një softuer shumë i fuqishëm dhe ky artikull sapo preku bazat. Më shumë cilësime personalizimi do të gjeni në dokumentacionin zyrtar .
Inteligjenca Artificiale nuk është në të ardhmen, është këtu në të tashmen Në këtë blog Lexoni se si aplikacionet e inteligjencës artificiale kanë ndikuar në sektorë të ndryshëm.
A jeni edhe ju viktimë e Sulmeve DDOS dhe jeni konfuz në lidhje me metodat e parandalimit? Lexoni këtë artikull për të zgjidhur pyetjet tuaja.
Ju mund të keni dëgjuar se hakerët fitojnë shumë para, por a keni menduar ndonjëherë se si i fitojnë ato para? Le te diskutojme.
Dëshironi të shihni shpikjet revolucionare nga Google dhe se si këto shpikje ndryshuan jetën e çdo njeriu sot? Më pas lexoni në blog për të parë shpikjet nga Google.
Koncepti i makinave vetë-drejtuese për të dalë në rrugë me ndihmën e inteligjencës artificiale është një ëndërr që e kemi prej kohësh. Por, pavarësisht nga disa premtime, ato nuk shihen askund. Lexoni këtë blog për të mësuar më shumë…
Ndërsa Shkenca evoluon me një ritëm të shpejtë, duke marrë përsipër shumë nga përpjekjet tona, rriten edhe rreziqet për t'iu nënshtruar një Singulariteti të pashpjegueshëm. Lexoni, çfarë mund të thotë singulariteti për ne.
Lexoni blogun për të njohur shtresat e ndryshme në arkitekturën e të dhënave të mëdha dhe funksionalitetet e tyre në mënyrën më të thjeshtë.
Metodat e ruajtjes së të dhënave kanë evoluar mund të jenë që nga lindja e të dhënave. Ky blog mbulon evolucionin e ruajtjes së të dhënave në bazë të një infografike.
Në këtë botë të drejtuar nga dixhitali, pajisjet inteligjente të shtëpisë janë bërë një pjesë thelbësore e jetës. Këtu janë disa përfitime të mahnitshme të pajisjeve shtëpiake inteligjente se si ato e bëjnë jetën tonë të vlefshme dhe më të thjeshtë.
Së fundmi Apple lëshoi macOS Catalina 10.15.4 një përditësim shtesë për të rregulluar problemet, por duket se përditësimi po shkakton më shumë probleme që çojnë në bricking të makinerive mac. Lexoni këtë artikull për të mësuar më shumë
