Sådan installeres OSSEC HIDS på en CentOS 7-server

Introduktion

OSSEC er et open source, værtsbaseret indtrængningsdetektionssystem (HIDS), der udfører loganalyse, integritetskontrol, overvågning af Windows registreringsdatabasen, rootkit-detektion, tidsbaseret alarmering og aktiv respons. Det er et must-have sikkerhedsprogram på enhver server.

OSSEC kan installeres til kun at overvåge den server, den er installeret på (en lokal installation), eller installeres som en server for at overvåge en eller flere agenter. I denne vejledning lærer du, hvordan du installerer OSSEC for at overvåge CentOS 7 som en lokal installation.

Forudsætninger

• En CentOS 7-server er fortrinsvis opsat med SSH-nøgler og tilpasset ved hjælp af indledende opsætning af en CentOS 7-server . Log ind på serveren med standardbrugerkontoen. Antag, at brugernavnet er joe .

  ssh -l joe server-ip-address
  

Trin 1: Installer påkrævede pakker

OSSEC vil blive kompileret fra kilden, så du har brug for en compiler for at gøre det muligt. Det kræver også en ekstra pakke til notifikationer. Installer dem ved at skrive:

sudo yum install -y gcc inotify-tools

Trin 2 - Download og bekræft OSSEC

OSSEC leveres som en komprimeret tarball, der skal downloades fra projektets hjemmeside. Checksum-filen, som vil blive brugt til at verificere, at tarballen ikke er blevet pillet ved, skal også downloades. På tidspunktet for denne udgivelse er den seneste version af OSSEC 2.8.2. Tjek projektets downloadside, og download den nyeste version.

For at downloade tarballen skal du skrive:

wget -U ossec http://www.ossec.net/files/ossec-hids-2.8.2.tar.gz

For checksum-filen skal du skrive:

wget -U ossec http://www.ossec.net/files/ossec-hids-2.8.2-checksum.txt

Når begge filer er downloadet, er næste trin at verificere MD5- og SHA1-kontrolsummerne for tarballen. For MD5sum, skriv:

md5sum -c ossec-hids-2.8.2-checksum.txt

Det forventede output er:

ossec-hids-2.8.2.tar.gz: OK
md5sum: WARNING: 1 line is improperly formatted

For at bekræfte SHA1-hashen skal du skrive:

sha1sum -c ossec-hids-2.8.2-checksum.txt

Og dets forventede output er:

ossec-hids-2.8.2.tar.gz: OK
sha1sum: WARNING: 1 line is improperly formatted

Trin 3: Bestem din SMTP-server

Under OSSEC's installationsproces bliver du bedt om at angive en SMTP-server til din e-mail-adresse. Hvis du ikke ved, hvad det er, er den nemmeste metode at finde ud af ved at udstede denne kommando fra din lokale maskine (erstat den falske e-mailadresse med din rigtige):

dig -t mx you@example.com

Det relevante afsnit i outputtet er vist i denne kodeblok. I dette eksempeloutput er SMTP-serveren for den forespurgte e-mail-adresse i slutningen af ​​linjen - mail.vivaldi.net. . Bemærk, at prikken i slutningen er inkluderet.

;; ANSWER SECTION:
vivaldi.net.        300 IN  MX  10 mail.vivaldi.net.

Trin 4: Installer OSSEC

For at installere OSSEC skal du først pakke tarballen ud, hvilket du gør ved at skrive:

tar xf ossec-hids-2.8.2.tar.gz

Det vil blive pakket ud i en mappe, der bærer navnet og versionen af ​​programmet. Skift eller cdind i det. OSSEC 2.8.2, versionen installeret til denne artikel, har en mindre fejl, der skal rettes, før installationen startes. Når den næste stabile version frigives, som skulle være OSSEC 2.9, burde dette ikke være nødvendigt, fordi rettelsen allerede er i mastergrenen. At rette det til OSSEC 2.8.2 betyder blot at redigere én fil, som findes i active-responsemappen. Filen er hosts-deny.sh, så åbn den ved at bruge:

nano active-response/hosts-deny.sh

Mod slutningen af ​​filen skal du se efter denne kodeblok:

# Deleting from hosts.deny
elif [ "x$" = "xdelete" ]; then
   lock;
   TMP_FILE = `mktemp /var/ossec/ossec-hosts.XXXXXXXXXX`
   if [ "X$" = "X" ]; then
      # Cheap fake tmpfile, but should be harder then no random data
      TMP_FILE = "/var/ossec/ossec-hosts.`cat /dev/urandom | tr -dc 'a-zA-Z0-9' | fold -w 32 | head -1 `"
   fi

På linjerne, der starter med TMP_FILE , skal du slette mellemrummene omkring tegnet = . Når du har fjernet mellemrummene, skal den del af filen være som vist i kodeblokken nedenfor. Gem og luk filen.

# Deleting from hosts.deny
elif [ "x$" = "xdelete" ]; then
   lock;
   TMP_FILE=`mktemp /var/ossec/ossec-hosts.XXXXXXXXXX`
   if [ "X$" = "X" ]; then
      # Cheap fake tmpfile, but should be harder then no random data
      TMP_FILE="/var/ossec/ossec-hosts.`cat /dev/urandom | tr -dc 'a-zA-Z0-9' | fold -w 32 | head -1 `"
   fi

Nu hvor rettelsen er på plads, kan vi starte installationsprocessen, hvilket du gør ved at skrive:

sudo ./install.sh

Under hele installationsprocessen bliver du bedt om at give noget input. I de fleste tilfælde skal du kun trykke på ENTER for at acceptere standarden. Først bliver du bedt om at vælge installationssproget, som som standard er engelsk (da). Så tryk på ENTER, hvis det er dit foretrukne sprog. Ellers skal du indtaste de 2 bogstaver fra listen over understøttede sprog. Tryk derefter på ENTER igen.

Det første spørgsmål vil spørge dig, hvilken type installation du ønsker. Her skal du indtaste lokal .

1- What kind of installation do you want (server, agent, local, hybrid or help)? local

For efterfølgende spørgsmål, tryk ENTER for at acceptere standarden. Spørgsmål 3.1 vil bede dig om din e-mailadresse og derefter bede om din SMTP-server. For det spørgsmål skal du indtaste en gyldig e-mailadresse og den SMTP-server, du bestemte i trin 3.

3- Configuring the OSSEC HIDS.

   3.1- Do you want e-mail notification? (y/n) [y]: 
      - What's your e-mail address? you@example.com
      - What's your SMTP server ip/host?

Hvis installationen er vellykket, bør du se dette output:

- Configuration finished properly.

...

    More information can be found at http://www.ossec.net

    ---  Press ENTER to finish (maybe more information below). ---

Tryk på ENTER for at afslutte installationen.

Trin 5: Start OSSEC

OSSEC er blevet installeret, men ikke startet. For at starte den skal du først skifte til root-kontoen.

sudo su

Start det derefter ved at udstede følgende kommando.

/var/ossec/bin/ossec-control start

Tjek derefter din indbakke. Der skulle være en advarsel fra OSSEC, der informerer dig om, at den er startet. Med det ved du nu, at OSSEC er installeret og vil sende advarsler efter behov.

Trin 6: Tilpas OSSEC

Standardkonfigurationen af ​​OSSEC fungerer fint, men der er indstillinger, du kan justere for at få den til at beskytte din server bedre. Den første fil, der skal tilpasses, er hovedkonfigurationsfilen - ossec.conf, som du finder i /var/ossec/etcmappen. Åbn filen:

nano /var/ossec/etc/ossec.conf

Det første element, der skal bekræftes, er en e-mail-indstilling, som du finder i den globale sektion af filen:

<global>
   <email_notification>yes</email_notification>
   <email_to>finid@vivaldi.net</email_to>
   <smtp_server>mail.vivaldi.net.</smtp_server>
   <email_from>ossecm@vultr.guest</email_from>
</global>

Sørg for, at email_from- adressen er en gyldig e-mail. Ellers vil nogle e-mail-udbyderes SMTP-servere markere advarsler fra OSSEC som spam. Hvis serverens FQDN ikke er indstillet, sættes domænedelen af ​​e-mailen til serverens værtsnavn, så dette er en indstilling, som du virkelig ønsker at have en gyldig e-mailadresse.

En anden indstilling, som du vil tilpasse, især mens du tester systemet, er den hyppighed, hvormed OSSEC kører sine revisioner. Denne indstilling er i syscheck- sektionen, og som standard køres den hver 22. time. For at teste OSSEC's advarselsfunktioner vil du måske indstille den til en lavere værdi, men nulstille den til standarden bagefter.

<syscheck>
   <!-- Frequency that syscheck is executed - default to every 22 hours -->
   <frequency>79200</frequency>

Som standard advarer OSSEC ikke, når en ny fil føjes til serveren. For at ændre det skal du tilføje et nyt tag lige under < frekvens > tagget. Når det er afsluttet, skal afsnittet nu indeholde:

<syscheck>
   <!-- Frequency that syscheck is executed - default to every 22 hours -->
   <frequency>79200</frequency>

   <alert_new_files>yes</alert_new_files>

En sidste indstilling, som er god at ændre, er på listen til mapper, som OSSEC bør tjekke. Du finder dem lige efter den forrige indstilling. Som standard vises mapperne som:

<!-- Directories to check  (perform all possible verifications) -->
   <directories check_all="yes">/etc,/usr/bin,/usr/sbin</directories>
   <directories check_all="yes">/bin,/sbin</directories>

Rediger begge linjer for at lave OSSEC-rapportændringer i realtid. Når de er færdige, skal de læse:

<directories report_changes="yes" realtime="yes" check_all="yes">/etc,/usr/bin,/usr/sbin</directories>
<directories report_changes="yes" realtime="yes" check_all="yes">/bin,/sbin</directories>

Gem og luk filen.

Den næste fil, som vi skal ændre, er local_rules.xmli /var/ossec/rulesmappen. Så cdind i den mappe:

cd /var/ossec/rules

Denne mappe indeholder OSSEC's regelfiler, hvoraf ingen bør ændres, undtagen local_rules.xmlfilen. I den fil tilføjer vi tilpassede regler. Reglen, vi skal tilføje, er den, der udløses, når en ny fil tilføjes. Denne regel, nummereret 554 , udløser ikke som standard en advarsel. Det er fordi OSSEC ikke udsender advarsler, når en regel med niveau sat til nul udløses.

Her er, hvordan regel 554 ser ud som standard.

 <rule id="554" level="0">
    <category>ossec</category>
    <decoded_as>syscheck_new_entry</decoded_as>
    <description>File added to the system.</description>
    <group>syscheck,</group>
 </rule>

Vi skal tilføje en ændret version af denne regel i local_rules.xmlfilen. Den ændrede version er angivet i kodeblokken nedenfor. Kopier og tilføj det til bunden af ​​filen lige før det afsluttende tag.

 <rule id="554" level="7" overwrite="yes">
    <category>ossec</category>
    <decoded_as>syscheck_new_entry</decoded_as>
    <description>File added to the system.</description>
    <group>syscheck,</group>
 </rule>

Gem og luk filen, og genstart derefter OSSEC.

/var/ossec/bin/ossec-control restart

Mere information

OSSEC er et meget kraftfuldt stykke software, og denne artikel berørte blot det grundlæggende. Du finder flere tilpasningsindstillinger i den officielle dokumentation .