Si të instaloni OSSEC HIDS në një server CentOS 7

Prezantimi

OSSEC është një sistem zbulimi i ndërhyrjeve me burim të hapur, i bazuar në host (HIDS) që kryen analizën e regjistrave, kontrollin e integritetit, monitorimin e regjistrit të Windows, zbulimin e rootkit, sinjalizimin e bazuar në kohë dhe përgjigjen aktive. Është një aplikacion sigurie i domosdoshëm në çdo server.

OSSEC mund të instalohet për të monitoruar vetëm serverin në të cilin është instaluar (një instalim lokal), ose të instalohet si një server për të monitoruar një ose më shumë agjentë. Në këtë tutorial, do të mësoni se si të instaloni OSSEC për të monitoruar CentOS 7 si një instalim lokal.

Parakushtet

• Një server CentOS 7 preferohet të konfigurohet me çelësa SSH dhe të personalizohet duke përdorur konfigurimin fillestar të një serveri CentOS 7 . Hyni në server duke përdorur llogarinë standarde të përdoruesit. Supozoni se emri i përdoruesit është joe .

  ssh -l joe server-ip-address
  

Hapi 1: Instaloni paketat e kërkuara

OSSEC do të përpilohet nga burimi, kështu që ju duhet një përpilues për ta bërë të mundur këtë. Kërkon gjithashtu një paketë shtesë për njoftime. Instaloni ato duke shtypur:

sudo yum install -y gcc inotify-tools

Hapi 2 - Shkarkoni dhe Verifikoni OSSEC

OSSEC shpërndahet si një tarball i ngjeshur që duhet të shkarkohet nga faqja e internetit e projektit. Skedari checksum, i cili do të përdoret për të verifikuar që tarball nuk është manipuluar, gjithashtu duhet të shkarkohet. Në kohën e këtij publikimi, versioni më i fundit i OSSEC është 2.8.2. Kontrolloni faqen e shkarkimit të projektit dhe shkarkoni cilido qoftë versioni më i fundit.

Për të shkarkuar tarballin, shkruani:

wget -U ossec http://www.ossec.net/files/ossec-hids-2.8.2.tar.gz

Për skedarin e kontrollit, shkruani:

wget -U ossec http://www.ossec.net/files/ossec-hids-2.8.2-checksum.txt

Me të dy skedarët e shkarkuar, hapi tjetër është të verifikoni shumat e kontrollit MD5 dhe SHA1 të tarball. Për MD5sum, shkruani:

md5sum -c ossec-hids-2.8.2-checksum.txt

Rezultati i pritur është:

ossec-hids-2.8.2.tar.gz: OK
md5sum: WARNING: 1 line is improperly formatted

Për të verifikuar hash-in SHA1, shkruani:

sha1sum -c ossec-hids-2.8.2-checksum.txt

Dhe rezultati i pritur i tij është:

ossec-hids-2.8.2.tar.gz: OK
sha1sum: WARNING: 1 line is improperly formatted

Hapi 3: Përcaktoni Serverin tuaj SMTP

Gjatë procesit të instalimit të OSSEC, do t'ju kërkohet të specifikoni një server SMTP për adresën tuaj të emailit. Nëse nuk e dini se çfarë është, mënyra më e lehtë për ta zbuluar është duke lëshuar këtë komandë nga kompjuteri juaj lokal (zëvendësoni adresën e rreme të emailit me atë të vërtetën):

dig -t mx [email protected]

Seksioni përkatës në dalje është paraqitur në këtë bllok kodesh. Në këtë dalje mostër, serveri SMTP për adresën e emailit të kërkuar është në fund të rreshtit - mail.vivaldi.net. . Vini re se pika në fund është përfshirë.

;; ANSWER SECTION:
vivaldi.net.        300 IN  MX  10 mail.vivaldi.net.

Hapi 4: Instaloni OSSEC

Për të instaluar OSSEC, së pari duhet të shpaketoni tarballin, të cilin e bëni duke shtypur:

tar xf ossec-hids-2.8.2.tar.gz

Ai do të shpaketohet në një direktori që mban emrin dhe versionin e programit. Ndryshoni ose futeni cdnë të. OSSEC 2.8.2, versioni i instaluar për këtë artikull, ka një defekt të vogël që duhet rregulluar përpara fillimit të instalimit. Deri në kohën kur lëshohet versioni tjetër i qëndrueshëm, i cili duhet të jetë OSSEC 2.9, kjo nuk duhet të jetë e nevojshme, sepse rregullimi është tashmë në degën kryesore. Rregullimi i tij për OSSEC 2.8.2 do të thotë thjesht redaktimi i një skedari, i cili gjendet në active-responsedrejtori. Skedari është hosts-deny.sh, kështu që hapeni duke përdorur:

nano active-response/hosts-deny.sh

Në fund të skedarit, kërkoni këtë bllok kodi:

# Deleting from hosts.deny
elif [ "x$" = "xdelete" ]; then
   lock;
   TMP_FILE = `mktemp /var/ossec/ossec-hosts.XXXXXXXXXX`
   if [ "X$" = "X" ]; then
      # Cheap fake tmpfile, but should be harder then no random data
      TMP_FILE = "/var/ossec/ossec-hosts.`cat /dev/urandom | tr -dc 'a-zA-Z0-9' | fold -w 32 | head -1 `"
   fi

Në rreshtat që fillojnë me TMP_FILE , fshini hapësirat rreth shenjës = . Pas heqjes së hapësirave, ajo pjesë e skedarit duhet të jetë siç tregohet në bllokun e kodit më poshtë. Ruani dhe mbyllni skedarin.

# Deleting from hosts.deny
elif [ "x$" = "xdelete" ]; then
   lock;
   TMP_FILE=`mktemp /var/ossec/ossec-hosts.XXXXXXXXXX`
   if [ "X$" = "X" ]; then
      # Cheap fake tmpfile, but should be harder then no random data
      TMP_FILE="/var/ossec/ossec-hosts.`cat /dev/urandom | tr -dc 'a-zA-Z0-9' | fold -w 32 | head -1 `"
   fi

Tani që rregullimi është në, ne mund të fillojmë procesin e instalimit, të cilin e bëni duke shtypur:

sudo ./install.sh

Gjatë gjithë procesit të instalimit, do t'ju kërkohet të jepni disa të dhëna. Në shumicën e rasteve, ju duhet vetëm të shtypni ENTER për të pranuar parazgjedhjen. Së pari, do t'ju kërkohet të zgjidhni gjuhën e instalimit, e cila si parazgjedhje është anglishtja (en). Pra, shtypni ENTER nëse kjo është gjuha juaj e preferuar. Përndryshe, futni 2 shkronjat nga lista e gjuhëve të mbështetura. Më pas, shtypni sërish ENTER .

Pyetja e parë do t'ju pyesë se çfarë lloj instalimi dëshironi. Këtu, shkruani lokale .

1- What kind of installation do you want (server, agent, local, hybrid or help)? local

Për pyetjet vijuese, shtypni ENTER për të pranuar parazgjedhjen. Pyetja 3.1 do t'ju kërkojë adresën tuaj të emailit dhe më pas do të kërkojë serverin tuaj SMTP. Për këtë pyetje, vendosni një adresë të vlefshme emaili dhe serverin SMTP që keni përcaktuar në Hapin 3.

3- Configuring the OSSEC HIDS.

   3.1- Do you want e-mail notification? (y/n) [y]: 
      - What's your e-mail address? [email protected]
      - What's your SMTP server ip/host?

Nëse instalimi është i suksesshëm, duhet të shihni këtë dalje:

- Configuration finished properly.

...

    More information can be found at http://www.ossec.net

    ---  Press ENTER to finish (maybe more information below). ---

Shtypni ENTER për të përfunduar instalimin.

Hapi 5: Filloni OSSEC

OSSEC është instaluar, por nuk ka filluar. Për ta nisur atë, fillimisht kaloni në llogarinë rrënjë.

sudo su

Pastaj, filloni atë duke lëshuar komandën e mëposhtme.

/var/ossec/bin/ossec-control start

Më pas, kontrolloni kutinë tuaj hyrëse. Duhet të ketë një alarm nga OSSEC që ju informon se ka filluar. Me këtë, ju tani e dini se OSSEC është instaluar dhe do të dërgojë sinjalizime sipas nevojës.

Hapi 6: Personalizo OSSEC

Konfigurimi i parazgjedhur i OSSEC funksionon mirë, por ka cilësime që mund t'i ndryshoni për ta bërë atë të mbrojë më mirë serverin tuaj. Skedari i parë që duhet personalizuar është skedari kryesor i konfigurimit - ossec.conf, të cilin do ta gjeni në /var/ossec/etcdrejtori. Hapni skedarin:

nano /var/ossec/etc/ossec.conf

Artikulli i parë për të verifikuar është një cilësim email, të cilin do ta gjeni në seksionin global të skedarit:

<global>
   <email_notification>yes</email_notification>
   <email_to>[email protected]</email_to>
   <smtp_server>mail.vivaldi.net.</smtp_server>
   <email_from>[email protected]</email_from>
</global>

Sigurohuni që adresa email_from është një email i vlefshëm. Përndryshe, disa serverë SMTP të ofruesve të postës elektronike do të shënojnë sinjalizimet nga OSSEC si Postë të padëshiruar. Nëse FQDN-ja e serverit nuk është caktuar, pjesa e domenit të emailit vendoset në emrin e hostit të serverit, kështu që ky është një cilësim që vërtet dëshironi të keni një adresë të vlefshme emaili.

Një cilësim tjetër që dëshironi të personalizoni, veçanërisht gjatë testimit të sistemit, është frekuenca me të cilën OSSEC kryen auditimet e saj. Ky cilësim është në seksionin syscheck dhe, si parazgjedhje, ekzekutohet çdo 22 orë. Për të testuar veçoritë e alarmit të OSSEC, mund të dëshironi ta vendosni në një vlerë më të ulët, por më pas ta rivendosni në parazgjedhje.

<syscheck>
   <!-- Frequency that syscheck is executed - default to every 22 hours -->
   <frequency>79200</frequency>

Si parazgjedhje, OSSEC nuk sinjalizon kur një skedar i ri shtohet në server. Për ta ndryshuar këtë, shtoni një etiketë të re vetëm nën etiketën <frekuencë> . Kur të përfundojë, seksioni tani duhet të përmbajë:

<syscheck>
   <!-- Frequency that syscheck is executed - default to every 22 hours -->
   <frequency>79200</frequency>

   <alert_new_files>yes</alert_new_files>

Një cilësim i fundit që është mirë të ndryshohet është në listën e drejtorive që OSSEC duhet të kontrollojë. Do t'i gjeni menjëherë pas cilësimit të mëparshëm. Të jetë e paracaktuar, drejtoritë shfaqen si:

<!-- Directories to check  (perform all possible verifications) -->
   <directories check_all="yes">/etc,/usr/bin,/usr/sbin</directories>
   <directories check_all="yes">/bin,/sbin</directories>

Modifikoni të dy rreshtat për të bërë ndryshime në raportin e OSSEC në kohë reale. Kur të mbarojnë, ata duhet të lexojnë:

<directories report_changes="yes" realtime="yes" check_all="yes">/etc,/usr/bin,/usr/sbin</directories>
<directories report_changes="yes" realtime="yes" check_all="yes">/bin,/sbin</directories>

Ruani dhe mbyllni skedarin.

Skedari tjetër që do të na duhet të modifikojmë është local_rules.xmlnë /var/ossec/rulesdrejtori. Pra, cdnë atë drejtori:

cd /var/ossec/rules

Ajo direktori mban skedarët e rregullave të OSSEC, asnjë prej të cilëve nuk duhet të modifikohet, përveç local_rules.xmlskedarit. Në atë skedar, ne shtojmë rregulla të personalizuara. Rregulli që duhet të shtojmë është ai që aktivizohet kur shtohet një skedar i ri. Ky rregull, i numëruar 554 , nuk aktivizon një alarm si parazgjedhje. Kjo për shkak se OSSEC nuk dërgon sinjalizime kur aktivizohet një rregull me nivelin e vendosur në zero.

Ja se si duket rregulli 554 si parazgjedhje.

 <rule id="554" level="0">
    <category>ossec</category>
    <decoded_as>syscheck_new_entry</decoded_as>
    <description>File added to the system.</description>
    <group>syscheck,</group>
 </rule>

Ne duhet të shtojmë një version të modifikuar të atij rregulli në local_rules.xmlskedar. Ky version i modifikuar është dhënë në bllokun e kodit më poshtë. Kopjojeni dhe shtoni atë në fund të skedarit pak para etiketës mbyllëse.

 <rule id="554" level="7" overwrite="yes">
    <category>ossec</category>
    <decoded_as>syscheck_new_entry</decoded_as>
    <description>File added to the system.</description>
    <group>syscheck,</group>
 </rule>

Ruani dhe mbyllni skedarin, më pas rinisni OSSEC.

/var/ossec/bin/ossec-control restart

Më shumë Informacion

OSSEC është një softuer shumë i fuqishëm dhe ky artikull sapo preku bazat. Më shumë cilësime personalizimi do të gjeni në dokumentacionin zyrtar .