OSSEC és un sistema de detecció d'intrusions (HIDS) de codi obert basat en host que realitza anàlisis de registre, comprovació d'integritat, monitorització del registre de Windows, detecció de rootkit, alertes basades en el temps i resposta activa. És una aplicació de seguretat imprescindible en qualsevol servidor.
OSSEC es pot instal·lar per supervisar només el servidor on està instal·lat (una instal·lació local), o instal·lar-se com a servidor per supervisar un o més agents. En aquest tutorial, aprendràs a instal·lar OSSEC per supervisar CentOS 7 com a instal·lació local.
Un servidor CentOS 7 preferiblement configurat amb claus SSH i personalitzat mitjançant la configuració inicial d'un servidor CentOS 7 . Inicieu sessió al servidor mitjançant el compte d'usuari estàndard. Suposem que el nom d'usuari és joe .
ssh -l joe server-ip-address
OSSEC es compilarà des de la font, de manera que necessiteu un compilador per fer-ho possible. També requereix un paquet addicional per a les notificacions. Instal·leu-los escrivint:
sudo yum install -y gcc inotify-tools
OSSEC es lliura com un fitxer tarball comprimit que s'ha de descarregar des del lloc web del projecte. També s'ha de descarregar el fitxer de suma de comprovació, que s'utilitzarà per verificar que el fitxer tarball no s'ha manipulat. En el moment d'aquesta publicació, l'última versió d'OSSEC és la 2.8.2. Consulteu la pàgina de descàrrega del projecte i descarregueu-ne la versió més recent.
Per descarregar el tarball, escriviu:
wget -U ossec http://www.ossec.net/files/ossec-hids-2.8.2.tar.gz
Per al fitxer de suma de verificació, escriviu:
wget -U ossec http://www.ossec.net/files/ossec-hids-2.8.2-checksum.txt
Amb els dos fitxers descarregats, el següent pas és verificar les sumes de verificació MD5 i SHA1 del fitxer tar. Per a la suma MD5, escriviu:
md5sum -c ossec-hids-2.8.2-checksum.txt
La sortida esperada és:
ossec-hids-2.8.2.tar.gz: OK
md5sum: WARNING: 1 line is improperly formatted
Per verificar el hash SHA1, escriviu:
sha1sum -c ossec-hids-2.8.2-checksum.txt
I la seva sortida esperada és:
ossec-hids-2.8.2.tar.gz: OK
sha1sum: WARNING: 1 line is improperly formatted
Durant el procés d'instal·lació d'OSSEC, se us demanarà que especifiqueu un servidor SMTP per a la vostra adreça de correu electrònic. Si no sabeu què és, el mètode més fàcil per esbrinar és emetre aquesta ordre des de la vostra màquina local (substituïu l'adreça de correu electrònic falsa per la vostra real):
dig -t mx you@example.com
La secció rellevant de la sortida es mostra en aquest bloc de codi. En aquesta sortida d'exemple, el servidor SMTP de l'adreça de correu electrònic consultada es troba al final de la línia: mail.vivaldi.net. . Tingueu en compte que el punt al final està inclòs.
;; ANSWER SECTION:
vivaldi.net. 300 IN MX 10 mail.vivaldi.net.
Per instal·lar OSSEC, primer heu de desempaquetar el fitxer tarball, cosa que feu escrivint:
tar xf ossec-hids-2.8.2.tar.gz
Es descomprimirà en un directori que porta el nom i la versió del programa. Canviar-hi o cdentrar-hi. OSSEC 2.8.2, la versió instal·lada per a aquest article, té un error menor que s'ha de solucionar abans d'iniciar la instal·lació. Quan es publiqui la següent versió estable, que hauria de ser OSSEC 2.9, això no hauria de ser necessari, perquè la correcció ja es troba a la branca mestra. Arreglar-ho per a OSSEC 2.8.2 només significa editar un fitxer, que es troba al active-responsedirectori. El fitxer és hosts-deny.sh, així que obriu-lo amb:
nano active-response/hosts-deny.sh
Cap al final del fitxer, cerqueu aquest bloc de codi:
# Deleting from hosts.deny
elif [ "x$" = "xdelete" ]; then
lock;
TMP_FILE = `mktemp /var/ossec/ossec-hosts.XXXXXXXXXX`
if [ "X$" = "X" ]; then
# Cheap fake tmpfile, but should be harder then no random data
TMP_FILE = "/var/ossec/ossec-hosts.`cat /dev/urandom | tr -dc 'a-zA-Z0-9' | fold -w 32 | head -1 `"
fi
A les línies que comencen amb TMP_FILE , suprimiu els espais al voltant del signe = . Després d'eliminar els espais, aquesta part del fitxer hauria de ser com es mostra al bloc de codi següent. Desa i tanca el fitxer.
# Deleting from hosts.deny
elif [ "x$" = "xdelete" ]; then
lock;
TMP_FILE=`mktemp /var/ossec/ossec-hosts.XXXXXXXXXX`
if [ "X$" = "X" ]; then
# Cheap fake tmpfile, but should be harder then no random data
TMP_FILE="/var/ossec/ossec-hosts.`cat /dev/urandom | tr -dc 'a-zA-Z0-9' | fold -w 32 | head -1 `"
fi
Ara que s'ha solucionat, podem iniciar el procés d'instal·lació, que podeu fer escrivint:
sudo ./install.sh
Al llarg del procés d'instal·lació, se us demanarà que proporcioneu alguna entrada. En la majoria dels casos, només heu de prémer INTRO per acceptar el valor predeterminat. En primer lloc, se us demanarà que seleccioneu l'idioma d'instal·lació, que per defecte és l'anglès (en). Així que premeu ENTER si aquest és el vostre idioma preferit. En cas contrari, introduïu les 2 lletres de la llista d'idiomes compatibles. Després, torneu a prémer ENTER .
La primera pregunta us preguntarà quin tipus d'instal·lació voleu. Aquí, introduïu local .
1- What kind of installation do you want (server, agent, local, hybrid or help)? local
Per a preguntes posteriors, premeu ENTER per acceptar el valor predeterminat. La pregunta 3.1 us demanarà la vostra adreça de correu electrònic i després us demanarà el vostre servidor SMTP. Per a aquesta pregunta, introduïu una adreça de correu electrònic vàlida i el servidor SMTP que heu determinat al pas 3.
3- Configuring the OSSEC HIDS.
3.1- Do you want e-mail notification? (y/n) [y]:
- What's your e-mail address? you@example.com
- What's your SMTP server ip/host?
Si la instal·lació té èxit, hauríeu de veure aquesta sortida:
- Configuration finished properly.
...
More information can be found at http://www.ossec.net
--- Press ENTER to finish (maybe more information below). ---
Premeu ENTER per acabar la instal·lació.
OSSEC s'ha instal·lat, però no s'ha iniciat. Per iniciar-lo, primer canvieu al compte root.
sudo su
A continuació, inicieu-lo emetent l'ordre següent.
/var/ossec/bin/ossec-control start
Després, comproveu la vostra safata d'entrada. Hi hauria d'haver una alerta de l'OSSEC informant-te que s'ha iniciat. Amb això, ara sabeu que OSSEC està instal·lat i enviarà alertes segons sigui necessari.
La configuració predeterminada d'OSSEC funciona bé, però hi ha configuracions que podeu modificar per protegir millor el vostre servidor. El primer fitxer a personalitzar és el fitxer de configuració principal - ossec.conf, que trobareu al /var/ossec/etcdirectori. Obriu el fitxer:
nano /var/ossec/etc/ossec.conf
El primer element a verificar és una configuració de correu electrònic, que trobareu a la secció global del fitxer:
<global>
<email_notification>yes</email_notification>
<email_to>finid@vivaldi.net</email_to>
<smtp_server>mail.vivaldi.net.</smtp_server>
<email_from>ossecm@vultr.guest</email_from>
</global>
Assegureu-vos que l' adreça email_from sigui un correu electrònic vàlid. En cas contrari, el servidor SMTP d'algun proveïdor de correu electrònic marcarà les alertes d'OSSEC com a correu brossa. Si el FQDN del servidor no està definit, la part del domini del correu electrònic s'estableix amb el nom d'amfitrió del servidor, de manera que aquesta és una configuració que realment voleu tenir una adreça de correu electrònic vàlida.
Un altre paràmetre que voleu personalitzar, especialment durant la prova del sistema, és la freqüència amb què OSSEC executa les seves auditories. Aquesta configuració es troba a la secció syscheck i, per defecte, s'executa cada 22 hores. Per provar les funcions d'alerta d'OSSEC, és possible que vulgueu configurar-lo en un valor més baix, però després restablir-lo al valor predeterminat.
<syscheck>
<!-- Frequency that syscheck is executed - default to every 22 hours -->
<frequency>79200</frequency>
Per defecte, OSSEC no alerta quan s'afegeix un fitxer nou al servidor. Per canviar-ho, afegiu una etiqueta nova just a sota de l' etiqueta < freqüència > . Quan s'hagi completat, la secció hauria de contenir ara:
<syscheck>
<!-- Frequency that syscheck is executed - default to every 22 hours -->
<frequency>79200</frequency>
<alert_new_files>yes</alert_new_files>
Una darrera configuració que és bo canviar és a la llista de directoris que OSSEC hauria de comprovar. Els trobareu just després de la configuració anterior. Per defecte, els directoris es mostren com:
<!-- Directories to check (perform all possible verifications) -->
<directories check_all="yes">/etc,/usr/bin,/usr/sbin</directories>
<directories check_all="yes">/bin,/sbin</directories>
Modifiqueu ambdues línies per fer els canvis de l'OSSEC en temps real. Quan hagin acabat, haurien de llegir:
<directories report_changes="yes" realtime="yes" check_all="yes">/etc,/usr/bin,/usr/sbin</directories>
<directories report_changes="yes" realtime="yes" check_all="yes">/bin,/sbin</directories>
Desa i tanca el fitxer.
El següent fitxer que haurem de modificar es troba local_rules.xmlal /var/ossec/rulesdirectori. Així cdque en aquest directori:
cd /var/ossec/rules
Aquest directori conté els fitxers de regles de l'OSSEC, cap dels quals s'ha de modificar, excepte el local_rules.xmlfitxer. En aquest fitxer, afegim regles personalitzades. La regla que hem d'afegir és la que s'activa quan s'afegeix un fitxer nou. Aquesta regla, numerada 554 , no activa cap alerta per defecte. Això és degut a que l'OSSEC no envia alertes quan s'activa una regla amb el nivell zero.
Aquí teniu l'aspecte predeterminat de la regla 554.
<rule id="554" level="0">
<category>ossec</category>
<decoded_as>syscheck_new_entry</decoded_as>
<description>File added to the system.</description>
<group>syscheck,</group>
</rule>
Hem d'afegir una versió modificada d'aquesta regla al local_rules.xmlfitxer. Aquesta versió modificada es mostra al bloc de codi següent. Copieu-lo i afegiu-lo a la part inferior del fitxer just abans de l'etiqueta de tancament.
<rule id="554" level="7" overwrite="yes">
<category>ossec</category>
<decoded_as>syscheck_new_entry</decoded_as>
<description>File added to the system.</description>
<group>syscheck,</group>
</rule>
Deseu i tanqueu el fitxer i, a continuació, reinicieu OSSEC.
/var/ossec/bin/ossec-control restart
OSSEC és un programari molt potent, i aquest article només parla dels fonaments bàsics. Trobareu més opcions de personalització a la documentació oficial .
La Intel·ligència Artificial no està en el futur, és aquí mateix en el present. En aquest bloc Llegiu com les aplicacions d'Intel·ligència Artificial han afectat diversos sectors.
També ets víctima d'atacs DDOS i estàs confós sobre els mètodes de prevenció? Llegiu aquest article per resoldre les vostres consultes.
Potser haureu sentit que els pirates informàtics guanyen molts diners, però us heu preguntat mai com guanyen aquest tipus de diners? anem a discutir.
Vols veure els invents revolucionaris de Google i com aquests invents van canviar la vida de tots els éssers humans actuals? A continuació, llegiu al bloc per veure els invents de Google.
El concepte de cotxes autònoms per sortir a les carreteres amb l'ajuda de la intel·ligència artificial és un somni que tenim des de fa temps. Però malgrat les diverses promeses, no es veuen enlloc. Llegeix aquest blog per saber-ne més...
A mesura que la ciència evoluciona a un ritme ràpid, fent-se càrrec de molts dels nostres esforços, també augmenten els riscos de sotmetre'ns a una singularitat inexplicable. Llegeix, què pot significar per a nosaltres la singularitat.
Llegeix el blog per conèixer de la manera més senzilla les diferents capes de l'Arquitectura Big Data i les seves funcionalitats.
Els mètodes d'emmagatzematge de les dades que han anat evolucionant poden ser des del naixement de les dades. Aquest bloc tracta l'evolució de l'emmagatzematge de dades a partir d'una infografia.
En aquest món digital, els dispositius domèstics intel·ligents s'han convertit en una part crucial de les vides. A continuació, es mostren alguns avantatges sorprenents dels dispositius domèstics intel·ligents sobre com fan que la nostra vida valgui la pena i sigui més senzilla.
Recentment, Apple va llançar macOS Catalina 10.15.4, una actualització de suplements per solucionar problemes, però sembla que l'actualització està causant més problemes que provoquen el bloqueig de les màquines Mac. Llegiu aquest article per obtenir més informació
