Com instal·lar OSSEC HIDS en un servidor CentOS 7

Introducció

OSSEC és un sistema de detecció d'intrusions (HIDS) de codi obert basat en host que realitza anàlisis de registre, comprovació d'integritat, monitorització del registre de Windows, detecció de rootkit, alertes basades en el temps i resposta activa. És una aplicació de seguretat imprescindible en qualsevol servidor.

OSSEC es pot instal·lar per supervisar només el servidor on està instal·lat (una instal·lació local), o instal·lar-se com a servidor per supervisar un o més agents. En aquest tutorial, aprendràs a instal·lar OSSEC per supervisar CentOS 7 com a instal·lació local.

Requisits previs

• Un servidor CentOS 7 preferiblement configurat amb claus SSH i personalitzat mitjançant la configuració inicial d'un servidor CentOS 7 . Inicieu sessió al servidor mitjançant el compte d'usuari estàndard. Suposem que el nom d'usuari és joe .

  ssh -l joe server-ip-address
  

Pas 1: instal·leu els paquets necessaris

OSSEC es compilarà des de la font, de manera que necessiteu un compilador per fer-ho possible. També requereix un paquet addicional per a les notificacions. Instal·leu-los escrivint:

sudo yum install -y gcc inotify-tools

Pas 2: Baixeu i verifiqueu OSSEC

OSSEC es lliura com un fitxer tarball comprimit que s'ha de descarregar des del lloc web del projecte. També s'ha de descarregar el fitxer de suma de comprovació, que s'utilitzarà per verificar que el fitxer tarball no s'ha manipulat. En el moment d'aquesta publicació, l'última versió d'OSSEC és la 2.8.2. Consulteu la pàgina de descàrrega del projecte i descarregueu-ne la versió més recent.

Per descarregar el tarball, escriviu:

wget -U ossec http://www.ossec.net/files/ossec-hids-2.8.2.tar.gz

Per al fitxer de suma de verificació, escriviu:

wget -U ossec http://www.ossec.net/files/ossec-hids-2.8.2-checksum.txt

Amb els dos fitxers descarregats, el següent pas és verificar les sumes de verificació MD5 i SHA1 del fitxer tar. Per a la suma MD5, escriviu:

md5sum -c ossec-hids-2.8.2-checksum.txt

La sortida esperada és:

ossec-hids-2.8.2.tar.gz: OK
md5sum: WARNING: 1 line is improperly formatted

Per verificar el hash SHA1, escriviu:

sha1sum -c ossec-hids-2.8.2-checksum.txt

I la seva sortida esperada és:

ossec-hids-2.8.2.tar.gz: OK
sha1sum: WARNING: 1 line is improperly formatted

Pas 3: determineu el vostre servidor SMTP

Durant el procés d'instal·lació d'OSSEC, se us demanarà que especifiqueu un servidor SMTP per a la vostra adreça de correu electrònic. Si no sabeu què és, el mètode més fàcil per esbrinar és emetre aquesta ordre des de la vostra màquina local (substituïu l'adreça de correu electrònic falsa per la vostra real):

dig -t mx [email protected]

La secció rellevant de la sortida es mostra en aquest bloc de codi. En aquesta sortida d'exemple, el servidor SMTP de l'adreça de correu electrònic consultada es troba al final de la línia: mail.vivaldi.net. . Tingueu en compte que el punt al final està inclòs.

;; ANSWER SECTION:
vivaldi.net.        300 IN  MX  10 mail.vivaldi.net.

Pas 4: instal·leu OSSEC

Per instal·lar OSSEC, primer heu de desempaquetar el fitxer tarball, cosa que feu escrivint:

tar xf ossec-hids-2.8.2.tar.gz

Es descomprimirà en un directori que porta el nom i la versió del programa. Canviar-hi o cdentrar-hi. OSSEC 2.8.2, la versió instal·lada per a aquest article, té un error menor que s'ha de solucionar abans d'iniciar la instal·lació. Quan es publiqui la següent versió estable, que hauria de ser OSSEC 2.9, això no hauria de ser necessari, perquè la correcció ja es troba a la branca mestra. Arreglar-ho per a OSSEC 2.8.2 només significa editar un fitxer, que es troba al active-responsedirectori. El fitxer és hosts-deny.sh, així que obriu-lo amb:

nano active-response/hosts-deny.sh

Cap al final del fitxer, cerqueu aquest bloc de codi:

# Deleting from hosts.deny
elif [ "x$" = "xdelete" ]; then
   lock;
   TMP_FILE = `mktemp /var/ossec/ossec-hosts.XXXXXXXXXX`
   if [ "X$" = "X" ]; then
      # Cheap fake tmpfile, but should be harder then no random data
      TMP_FILE = "/var/ossec/ossec-hosts.`cat /dev/urandom | tr -dc 'a-zA-Z0-9' | fold -w 32 | head -1 `"
   fi

A les línies que comencen amb TMP_FILE , suprimiu els espais al voltant del signe = . Després d'eliminar els espais, aquesta part del fitxer hauria de ser com es mostra al bloc de codi següent. Desa i tanca el fitxer.

# Deleting from hosts.deny
elif [ "x$" = "xdelete" ]; then
   lock;
   TMP_FILE=`mktemp /var/ossec/ossec-hosts.XXXXXXXXXX`
   if [ "X$" = "X" ]; then
      # Cheap fake tmpfile, but should be harder then no random data
      TMP_FILE="/var/ossec/ossec-hosts.`cat /dev/urandom | tr -dc 'a-zA-Z0-9' | fold -w 32 | head -1 `"
   fi

Ara que s'ha solucionat, podem iniciar el procés d'instal·lació, que podeu fer escrivint:

sudo ./install.sh

Al llarg del procés d'instal·lació, se us demanarà que proporcioneu alguna entrada. En la majoria dels casos, només heu de prémer INTRO per acceptar el valor predeterminat. En primer lloc, se us demanarà que seleccioneu l'idioma d'instal·lació, que per defecte és l'anglès (en). Així que premeu ENTER si aquest és el vostre idioma preferit. En cas contrari, introduïu les 2 lletres de la llista d'idiomes compatibles. Després, torneu a prémer ENTER .

La primera pregunta us preguntarà quin tipus d'instal·lació voleu. Aquí, introduïu local .

1- What kind of installation do you want (server, agent, local, hybrid or help)? local

Per a preguntes posteriors, premeu ENTER per acceptar el valor predeterminat. La pregunta 3.1 us demanarà la vostra adreça de correu electrònic i després us demanarà el vostre servidor SMTP. Per a aquesta pregunta, introduïu una adreça de correu electrònic vàlida i el servidor SMTP que heu determinat al pas 3.

3- Configuring the OSSEC HIDS.

   3.1- Do you want e-mail notification? (y/n) [y]: 
      - What's your e-mail address? [email protected]
      - What's your SMTP server ip/host?

Si la instal·lació té èxit, hauríeu de veure aquesta sortida:

- Configuration finished properly.

...

    More information can be found at http://www.ossec.net

    ---  Press ENTER to finish (maybe more information below). ---

Premeu ENTER per acabar la instal·lació.

Pas 5: inicieu OSSEC

OSSEC s'ha instal·lat, però no s'ha iniciat. Per iniciar-lo, primer canvieu al compte root.

sudo su

A continuació, inicieu-lo emetent l'ordre següent.

/var/ossec/bin/ossec-control start

Després, comproveu la vostra safata d'entrada. Hi hauria d'haver una alerta de l'OSSEC informant-te que s'ha iniciat. Amb això, ara sabeu que OSSEC està instal·lat i enviarà alertes segons sigui necessari.

Pas 6: personalitza OSSEC

La configuració predeterminada d'OSSEC funciona bé, però hi ha configuracions que podeu modificar per protegir millor el vostre servidor. El primer fitxer a personalitzar és el fitxer de configuració principal - ossec.conf, que trobareu al /var/ossec/etcdirectori. Obriu el fitxer:

nano /var/ossec/etc/ossec.conf

El primer element a verificar és una configuració de correu electrònic, que trobareu a la secció global del fitxer:

<global>
   <email_notification>yes</email_notification>
   <email_to>[email protected]</email_to>
   <smtp_server>mail.vivaldi.net.</smtp_server>
   <email_from>[email protected]</email_from>
</global>

Assegureu-vos que l' adreça email_from sigui un correu electrònic vàlid. En cas contrari, el servidor SMTP d'algun proveïdor de correu electrònic marcarà les alertes d'OSSEC com a correu brossa. Si el FQDN del servidor no està definit, la part del domini del correu electrònic s'estableix amb el nom d'amfitrió del servidor, de manera que aquesta és una configuració que realment voleu tenir una adreça de correu electrònic vàlida.

Un altre paràmetre que voleu personalitzar, especialment durant la prova del sistema, és la freqüència amb què OSSEC executa les seves auditories. Aquesta configuració es troba a la secció syscheck i, per defecte, s'executa cada 22 hores. Per provar les funcions d'alerta d'OSSEC, és possible que vulgueu configurar-lo en un valor més baix, però després restablir-lo al valor predeterminat.

<syscheck>
   <!-- Frequency that syscheck is executed - default to every 22 hours -->
   <frequency>79200</frequency>

Per defecte, OSSEC no alerta quan s'afegeix un fitxer nou al servidor. Per canviar-ho, afegiu una etiqueta nova just a sota de l' etiqueta < freqüència > . Quan s'hagi completat, la secció hauria de contenir ara:

<syscheck>
   <!-- Frequency that syscheck is executed - default to every 22 hours -->
   <frequency>79200</frequency>

   <alert_new_files>yes</alert_new_files>

Una darrera configuració que és bo canviar és a la llista de directoris que OSSEC hauria de comprovar. Els trobareu just després de la configuració anterior. Per defecte, els directoris es mostren com:

<!-- Directories to check  (perform all possible verifications) -->
   <directories check_all="yes">/etc,/usr/bin,/usr/sbin</directories>
   <directories check_all="yes">/bin,/sbin</directories>

Modifiqueu ambdues línies per fer els canvis de l'OSSEC en temps real. Quan hagin acabat, haurien de llegir:

<directories report_changes="yes" realtime="yes" check_all="yes">/etc,/usr/bin,/usr/sbin</directories>
<directories report_changes="yes" realtime="yes" check_all="yes">/bin,/sbin</directories>

Desa i tanca el fitxer.

El següent fitxer que haurem de modificar es troba local_rules.xmlal /var/ossec/rulesdirectori. Així cdque en aquest directori:

cd /var/ossec/rules

Aquest directori conté els fitxers de regles de l'OSSEC, cap dels quals s'ha de modificar, excepte el local_rules.xmlfitxer. En aquest fitxer, afegim regles personalitzades. La regla que hem d'afegir és la que s'activa quan s'afegeix un fitxer nou. Aquesta regla, numerada 554 , no activa cap alerta per defecte. Això és degut a que l'OSSEC no envia alertes quan s'activa una regla amb el nivell zero.

Aquí teniu l'aspecte predeterminat de la regla 554.

 <rule id="554" level="0">
    <category>ossec</category>
    <decoded_as>syscheck_new_entry</decoded_as>
    <description>File added to the system.</description>
    <group>syscheck,</group>
 </rule>

Hem d'afegir una versió modificada d'aquesta regla al local_rules.xmlfitxer. Aquesta versió modificada es mostra al bloc de codi següent. Copieu-lo i afegiu-lo a la part inferior del fitxer just abans de l'etiqueta de tancament.

 <rule id="554" level="7" overwrite="yes">
    <category>ossec</category>
    <decoded_as>syscheck_new_entry</decoded_as>
    <description>File added to the system.</description>
    <group>syscheck,</group>
 </rule>

Deseu i tanqueu el fitxer i, a continuació, reinicieu OSSEC.

/var/ossec/bin/ossec-control restart

Més informació

OSSEC és un programari molt potent, i aquest article només parla dels fonaments bàsics. Trobareu més opcions de personalització a la documentació oficial .