Jak nainstalovat OSSEC HIDS na CentOS 7 Server

Úvod

OSSEC je open source hostitelský systém detekce narušení (HIDS), který provádí analýzu protokolů, kontrolu integrity, monitorování registru Windows, detekci rootkitů, včasné varování a aktivní odezvu. Je to nezbytná bezpečnostní aplikace na jakémkoli serveru.

OSSEC lze nainstalovat pouze pro monitorování serveru, na kterém je nainstalován (lokální instalace), nebo jej lze nainstalovat jako server pro monitorování jednoho nebo více agentů. V tomto tutoriálu se dozvíte, jak nainstalovat OSSEC pro monitorování CentOS 7 jako místní instalace.

Předpoklady

• Server CentOS 7 nejlépe nastavený pomocí klíčů SSH a přizpůsobený pomocí Počátečního nastavení serveru CentOS 7 . Přihlaste se na server pomocí standardního uživatelského účtu. Předpokládejme, že uživatelské jméno je joe .

  ssh -l joe server-ip-address
  

Krok 1: Nainstalujte požadované balíčky

OSSEC bude zkompilován ze zdroje, takže potřebujete kompilátor, aby to bylo možné. Vyžaduje také další balíček pro upozornění. Nainstalujte je zadáním:

sudo yum install -y gcc inotify-tools

Krok 2 – Stáhněte a ověřte OSSEC

OSSEC je dodáván jako komprimovaný tarball, který je nutné stáhnout z webových stránek projektu. Je také nutné stáhnout soubor kontrolního součtu, který bude použit k ověření, že s tarballem nebylo manipulováno. V době vydání této publikace je nejnovější verze OSSEC 2.8.2. Podívejte se na stránku stahování projektu a stáhněte si jakoukoli nejnovější verzi.

Chcete-li stáhnout tarball, zadejte:

wget -U ossec http://www.ossec.net/files/ossec-hids-2.8.2.tar.gz

Pro soubor kontrolního součtu zadejte:

wget -U ossec http://www.ossec.net/files/ossec-hids-2.8.2-checksum.txt

Po stažení obou souborů je dalším krokem ověření kontrolních součtů MD5 a SHA1 tarballu. Pro součet MD5 zadejte:

md5sum -c ossec-hids-2.8.2-checksum.txt

Očekávaný výstup je:

ossec-hids-2.8.2.tar.gz: OK
md5sum: WARNING: 1 line is improperly formatted

Chcete-li ověřit hash SHA1, zadejte:

sha1sum -c ossec-hids-2.8.2-checksum.txt

A jeho očekávaný výstup je:

ossec-hids-2.8.2.tar.gz: OK
sha1sum: WARNING: 1 line is improperly formatted

Krok 3: Určete svůj SMTP server

Během procesu instalace OSSEC budete vyzváni k zadání SMTP serveru pro vaši e-mailovou adresu. Pokud nevíte, co to je, nejjednodušší způsob, jak to zjistit, je zadat tento příkaz z místního počítače (nahraďte falešnou e-mailovou adresu svou skutečnou):

dig -t mx [email protected]

V tomto bloku kódu je zobrazena příslušná sekce ve výstupu. V tomto ukázkovém výstupu je server SMTP pro dotazovanou e-mailovou adresu na konci řádku - mail.vivaldi.net. . Všimněte si, že tečka na konci je zahrnuta.

;; ANSWER SECTION:
vivaldi.net.        300 IN  MX  10 mail.vivaldi.net.

Krok 4: Nainstalujte OSSEC

Chcete-li nainstalovat OSSEC, musíte nejprve rozbalit tarball, což provedete zadáním:

tar xf ossec-hids-2.8.2.tar.gz

Bude rozbalen do adresáře, který nese název a verzi programu. Změnit nebo cddo toho. OSSEC 2.8.2, verze nainstalovaná pro tento článek, má drobnou chybu, kterou je třeba před zahájením instalace opravit. Než vyjde další stabilní verze, kterou by měl být OSSEC 2.9, nemělo by to být nutné, protože oprava je již v hlavní větvi. Oprava pro OSSEC 2.8.2 znamená pouze úpravu jednoho souboru, který se nachází v active-responseadresáři. Soubor je hosts-deny.sh, takže jej otevřete pomocí:

nano active-response/hosts-deny.sh

Ke konci souboru vyhledejte tento blok kódu:

# Deleting from hosts.deny
elif [ "x$" = "xdelete" ]; then
   lock;
   TMP_FILE = `mktemp /var/ossec/ossec-hosts.XXXXXXXXXX`
   if [ "X$" = "X" ]; then
      # Cheap fake tmpfile, but should be harder then no random data
      TMP_FILE = "/var/ossec/ossec-hosts.`cat /dev/urandom | tr -dc 'a-zA-Z0-9' | fold -w 32 | head -1 `"
   fi

Na řádcích, které začínají TMP_FILE , odstraňte mezery kolem znaku = . Po odstranění mezer by měla být tato část souboru taková, jak je znázorněno v bloku kódu níže. Uložte a zavřete soubor.

# Deleting from hosts.deny
elif [ "x$" = "xdelete" ]; then
   lock;
   TMP_FILE=`mktemp /var/ossec/ossec-hosts.XXXXXXXXXX`
   if [ "X$" = "X" ]; then
      # Cheap fake tmpfile, but should be harder then no random data
      TMP_FILE="/var/ossec/ossec-hosts.`cat /dev/urandom | tr -dc 'a-zA-Z0-9' | fold -w 32 | head -1 `"
   fi

Nyní, když je oprava hotová, můžeme zahájit proces instalace, který provedete zadáním:

sudo ./install.sh

Během procesu instalace budete vyzváni k zadání některých údajů. Ve většině případů stačí k přijetí výchozího nastavení stisknout ENTER . Nejprve budete vyzváni k výběru jazyka instalace, který je ve výchozím nastavení angličtina (en). Pokud je to váš preferovaný jazyk, stiskněte ENTER . V opačném případě zadejte 2 písmena ze seznamu podporovaných jazyků. Poté znovu stiskněte ENTER .

První otázka se vás zeptá, jaký typ instalace chcete. Zde zadejte místní .

1- What kind of installation do you want (server, agent, local, hybrid or help)? local

U dalších otázek potvrďte výchozí nastavení stisknutím klávesy ENTER . Otázka 3.1 vás vyzve k zadání vaší e-mailové adresy a poté se zeptá na váš SMTP server. Pro tuto otázku zadejte platnou e-mailovou adresu a server SMTP, který jste určili v kroku 3.

3- Configuring the OSSEC HIDS.

   3.1- Do you want e-mail notification? (y/n) [y]: 
      - What's your e-mail address? [email protected]
      - What's your SMTP server ip/host?

Pokud je instalace úspěšná, měli byste vidět tento výstup:

- Configuration finished properly.

...

    More information can be found at http://www.ossec.net

    ---  Press ENTER to finish (maybe more information below). ---

Stiskněte ENTER pro dokončení instalace.

Krok 5: Spusťte OSSEC

OSSEC byl nainstalován, ale nebyl spuštěn. Chcete-li jej spustit, nejprve se přepněte na účet root.

sudo su

Poté jej spusťte zadáním následujícího příkazu.

/var/ossec/bin/ossec-control start

Poté zkontrolujte doručenou poštu. OSSEC by vás měl upozornit, že byl spuštěn. Díky tomu nyní víte, že OSSEC je nainstalován a bude podle potřeby odesílat upozornění.

Krok 6: Přizpůsobte OSSEC

Výchozí konfigurace OSSEC funguje dobře, ale existují nastavení, která můžete vyladit, aby lépe chránila váš server. Prvním souborem k přizpůsobení je hlavní konfigurační soubor - ossec.conf, který najdete v /var/ossec/etcadresáři. Otevřete soubor:

nano /var/ossec/etc/ossec.conf

První položkou k ověření je nastavení e-mailu, které najdete v globální části souboru:

<global>
   <email_notification>yes</email_notification>
   <email_to>[email protected]</email_to>
   <smtp_server>mail.vivaldi.net.</smtp_server>
   <email_from>[email protected]</email_from>
</global>

Ujistěte se, že adresa email_from je platná e- mailová adresa. V opačném případě označí SMTP server některého poskytovatele e-mailu upozornění z OSSEC jako spam. Pokud není FQDN serveru nastaveno, doménová část e-mailu je nastavena na název hostitele serveru, takže toto je nastavení, které skutečně chcete mít platnou e-mailovou adresu.

Dalším nastavením, které chcete upravit, zejména při testování systému, je frekvence, s jakou OSSEC provádí své audity. Toto nastavení je v sekci syscheck a ve výchozím nastavení se spouští každých 22 hodin. Chcete-li otestovat funkce upozornění OSSEC, možná budete chtít nastavit nižší hodnotu, ale poté ji resetovat na výchozí.

<syscheck>
   <!-- Frequency that syscheck is executed - default to every 22 hours -->
   <frequency>79200</frequency>

Ve výchozím nastavení OSSEC neupozorňuje, když je na server přidán nový soubor. Chcete-li to změnit, přidejte novou značku přímo pod značku < frekvence > . Po dokončení by sekce nyní měla obsahovat:

<syscheck>
   <!-- Frequency that syscheck is executed - default to every 22 hours -->
   <frequency>79200</frequency>

   <alert_new_files>yes</alert_new_files>

Poslední nastavení, které je dobré změnit, je v seznamu adresářů, které by OSSEC měl kontrolovat. Najdete je hned po předchozím nastavení. Ve výchozím nastavení jsou adresáře zobrazeny takto:

<!-- Directories to check  (perform all possible verifications) -->
   <directories check_all="yes">/etc,/usr/bin,/usr/sbin</directories>
   <directories check_all="yes">/bin,/sbin</directories>

Upravte oba řádky, abyste provedli změny sestavy OSSEC v reálném čase. Po dokončení by si měli přečíst:

<directories report_changes="yes" realtime="yes" check_all="yes">/etc,/usr/bin,/usr/sbin</directories>
<directories report_changes="yes" realtime="yes" check_all="yes">/bin,/sbin</directories>

Uložte a zavřete soubor.

Další soubor, který budeme muset upravit, je local_rules.xmlv /var/ossec/rulesadresáři. Takže cddo toho adresáře:

cd /var/ossec/rules

Tento adresář obsahuje soubory pravidel OSSEC, žádný z nich by neměl být upravován, kromě local_rules.xmlsouboru. Do tohoto souboru přidáme vlastní pravidla. Pravidlo, které musíme přidat, je pravidlo, které se spustí při přidání nového souboru. Toto pravidlo s číslem 554 ve výchozím nastavení nespouští výstrahu. Je to proto, že OSSEC neodesílá upozornění, když je spuštěno pravidlo s úrovní nastavenou na nulu.

Zde je návod, jak pravidlo 554 vypadá ve výchozím nastavení.

 <rule id="554" level="0">
    <category>ossec</category>
    <decoded_as>syscheck_new_entry</decoded_as>
    <description>File added to the system.</description>
    <group>syscheck,</group>
 </rule>

Musíme do souboru přidat upravenou verzi tohoto pravidla local_rules.xml. Tato upravená verze je uvedena v bloku kódu níže. Zkopírujte a přidejte jej na konec souboru těsně před uzavírací značku.

 <rule id="554" level="7" overwrite="yes">
    <category>ossec</category>
    <decoded_as>syscheck_new_entry</decoded_as>
    <description>File added to the system.</description>
    <group>syscheck,</group>
 </rule>

Uložte a zavřete soubor a restartujte OSSEC.

/var/ossec/bin/ossec-control restart

Více informací

OSSEC je velmi výkonný software a tento článek se dotkl jen základů. Další nastavení přizpůsobení najdete v oficiální dokumentaci .