Πώς να εγκαταστήσετε το OSSEC HIDS σε διακομιστή CentOS 7

Εισαγωγή

Το OSSEC είναι ένα ανοιχτού κώδικα σύστημα ανίχνευσης εισβολής που βασίζεται σε κεντρικό υπολογιστή (HIDS) που εκτελεί ανάλυση αρχείων καταγραφής, έλεγχο ακεραιότητας, παρακολούθηση μητρώου των Windows, ανίχνευση rootkit, ειδοποίηση βάσει χρόνου και ενεργή απόκριση. Είναι μια απαραίτητη εφαρμογή ασφαλείας σε οποιονδήποτε διακομιστή.

Το OSSEC μπορεί να εγκατασταθεί για να παρακολουθεί μόνο τον διακομιστή στον οποίο είναι εγκατεστημένος (τοπική εγκατάσταση) ή να εγκατασταθεί ως διακομιστής για την παρακολούθηση ενός ή περισσότερων πρακτόρων. Σε αυτό το σεμινάριο, θα μάθετε πώς να εγκαταστήσετε το OSSEC για την παρακολούθηση του CentOS 7 ως τοπική εγκατάσταση.

Προαπαιτούμενα

• Ένας διακομιστής CentOS 7 είναι κατά προτίμηση ρυθμισμένος με κλειδιά SSH και προσαρμοσμένος χρησιμοποιώντας την αρχική ρύθμιση ενός διακομιστή CentOS 7 . Συνδεθείτε στο διακομιστή χρησιμοποιώντας τον τυπικό λογαριασμό χρήστη. Ας υποθέσουμε ότι το όνομα χρήστη είναι joe .

  ssh -l joe server-ip-address
  

Βήμα 1: Εγκαταστήστε τα απαιτούμενα πακέτα

Το OSSEC θα μεταγλωττιστεί από την πηγή, επομένως χρειάζεστε έναν μεταγλωττιστή για να το κάνετε αυτό δυνατό. Απαιτεί επίσης ένα επιπλέον πακέτο για ειδοποιήσεις. Εγκαταστήστε τα πληκτρολογώντας:

sudo yum install -y gcc inotify-tools

Βήμα 2 - Λήψη και επαλήθευση του OSSEC

Το OSSEC παραδίδεται ως συμπιεσμένο tarball που πρέπει να ληφθεί από τον ιστότοπο του έργου. Το αρχείο αθροίσματος ελέγχου, το οποίο θα χρησιμοποιηθεί για να επαληθευτεί ότι το tarball δεν έχει παραβιαστεί, πρέπει επίσης να ληφθεί. Τη στιγμή αυτής της δημοσίευσης, η τελευταία έκδοση του OSSEC είναι η 2.8.2. Ελέγξτε τη σελίδα λήψης του έργου και κατεβάστε οποιαδήποτε είναι η πιο πρόσφατη έκδοση.

Για να κατεβάσετε το tarball, πληκτρολογήστε:

wget -U ossec http://www.ossec.net/files/ossec-hids-2.8.2.tar.gz

Για το αρχείο αθροίσματος ελέγχου, πληκτρολογήστε:

wget -U ossec http://www.ossec.net/files/ossec-hids-2.8.2-checksum.txt

Με τη λήψη και των δύο αρχείων, το επόμενο βήμα είναι να επαληθεύσετε τα αθροίσματα ελέγχου MD5 και SHA1 του tarball. Για το MD5sum, πληκτρολογήστε:

md5sum -c ossec-hids-2.8.2-checksum.txt

Η αναμενόμενη έξοδος είναι:

ossec-hids-2.8.2.tar.gz: OK
md5sum: WARNING: 1 line is improperly formatted

Για να επαληθεύσετε τον κατακερματισμό SHA1, πληκτρολογήστε:

sha1sum -c ossec-hids-2.8.2-checksum.txt

Και η αναμενόμενη απόδοση του είναι:

ossec-hids-2.8.2.tar.gz: OK
sha1sum: WARNING: 1 line is improperly formatted

Βήμα 3: Προσδιορίστε τον διακομιστή SMTP σας

Κατά τη διαδικασία εγκατάστασης του OSSEC, θα σας ζητηθεί να καθορίσετε έναν διακομιστή SMTP για τη διεύθυνση email σας. Εάν δεν ξέρετε τι είναι, ο ευκολότερος τρόπος για να μάθετε είναι με την έκδοση αυτής της εντολής από τον τοπικό σας υπολογιστή (αντικαταστήστε την ψεύτικη διεύθυνση email με την πραγματική σας):

dig -t mx [email protected]

Η σχετική ενότητα στην έξοδο εμφανίζεται σε αυτό το μπλοκ κώδικα. Σε αυτό το δείγμα εξόδου, ο διακομιστής SMTP για την ερωτούμενη διεύθυνση email βρίσκεται στο τέλος της γραμμής - mail.vivaldi.net. . Σημειώστε ότι περιλαμβάνεται η τελεία στο τέλος.

;; ANSWER SECTION:
vivaldi.net.        300 IN  MX  10 mail.vivaldi.net.

Βήμα 4: Εγκαταστήστε το OSSEC

Για να εγκαταστήσετε το OSSEC, πρέπει πρώτα να αποσυσκευάσετε το tarball, το οποίο κάνετε πληκτρολογώντας:

tar xf ossec-hids-2.8.2.tar.gz

Θα αποσυμπιεστεί σε έναν κατάλογο που φέρει το όνομα και την έκδοση του προγράμματος. Αλλαγή ή cdσε αυτό. Το OSSEC 2.8.2, η έκδοση που έχει εγκατασταθεί για αυτό το άρθρο, έχει ένα μικρό σφάλμα που πρέπει να διορθωθεί πριν από την έναρξη της εγκατάστασης. Μέχρι να κυκλοφορήσει η επόμενη σταθερή έκδοση, η οποία θα πρέπει να είναι OSSEC 2.9, αυτό δεν θα είναι απαραίτητο, επειδή η ενημέρωση κώδικα βρίσκεται ήδη στον κύριο κλάδο. Η διόρθωσή του για το OSSEC 2.8.2 σημαίνει απλώς την επεξεργασία ενός αρχείου, το οποίο βρίσκεται στον active-responseκατάλογο. Το αρχείο είναι hosts-deny.sh, οπότε ανοίξτε το χρησιμοποιώντας:

nano active-response/hosts-deny.sh

Προς το τέλος του αρχείου, αναζητήστε αυτό το μπλοκ κώδικα:

# Deleting from hosts.deny
elif [ "x$" = "xdelete" ]; then
   lock;
   TMP_FILE = `mktemp /var/ossec/ossec-hosts.XXXXXXXXXX`
   if [ "X$" = "X" ]; then
      # Cheap fake tmpfile, but should be harder then no random data
      TMP_FILE = "/var/ossec/ossec-hosts.`cat /dev/urandom | tr -dc 'a-zA-Z0-9' | fold -w 32 | head -1 `"
   fi

Στις γραμμές που ξεκινούν με TMP_FILE , διαγράψτε τα κενά γύρω από το σύμβολο = . Αφού αφαιρέσετε τα κενά, αυτό το τμήμα του αρχείου θα πρέπει να είναι όπως φαίνεται στο μπλοκ κώδικα παρακάτω. Αποθηκεύστε και κλείστε το αρχείο.

# Deleting from hosts.deny
elif [ "x$" = "xdelete" ]; then
   lock;
   TMP_FILE=`mktemp /var/ossec/ossec-hosts.XXXXXXXXXX`
   if [ "X$" = "X" ]; then
      # Cheap fake tmpfile, but should be harder then no random data
      TMP_FILE="/var/ossec/ossec-hosts.`cat /dev/urandom | tr -dc 'a-zA-Z0-9' | fold -w 32 | head -1 `"
   fi

Τώρα που έχει ολοκληρωθεί η επιδιόρθωση, μπορούμε να ξεκινήσουμε τη διαδικασία εγκατάστασης, την οποία κάνετε πληκτρολογώντας:

sudo ./install.sh

Κατά τη διάρκεια της διαδικασίας εγκατάστασης, θα σας ζητηθεί να δώσετε κάποια στοιχεία. Στις περισσότερες περιπτώσεις, πρέπει μόνο να πατήσετε ENTER για να αποδεχτείτε την προεπιλογή. Αρχικά, θα σας ζητηθεί να επιλέξετε τη γλώσσα εγκατάστασης, η οποία από προεπιλογή είναι τα Αγγλικά (en). Επομένως, πατήστε ENTER εάν αυτή είναι η γλώσσα που προτιμάτε. Διαφορετικά, εισαγάγετε τα 2 γράμματα από τη λίστα των υποστηριζόμενων γλωσσών. Στη συνέχεια, πατήστε ξανά το ENTER .

Η πρώτη ερώτηση θα σας ρωτήσει τι είδους εγκατάσταση θέλετε. Εδώ, εισαγάγετε τοπικό .

1- What kind of installation do you want (server, agent, local, hybrid or help)? local

Για επόμενες ερωτήσεις, πατήστε ENTER για να αποδεχτείτε την προεπιλογή. Η Ερώτηση 3.1 θα σας ζητήσει τη διεύθυνση email σας και στη συνέχεια θα ζητήσει τον διακομιστή SMTP σας. Για αυτήν την ερώτηση, εισαγάγετε μια έγκυρη διεύθυνση email και τον διακομιστή SMTP που καθορίσατε στο Βήμα 3.

3- Configuring the OSSEC HIDS.

   3.1- Do you want e-mail notification? (y/n) [y]: 
      - What's your e-mail address? [email protected]
      - What's your SMTP server ip/host?

Εάν η εγκατάσταση είναι επιτυχής, θα πρέπει να δείτε αυτήν την έξοδο:

- Configuration finished properly.

...

    More information can be found at http://www.ossec.net

    ---  Press ENTER to finish (maybe more information below). ---

Πατήστε ENTER για να ολοκληρώσετε την εγκατάσταση.

Βήμα 5: Ξεκινήστε το OSSEC

Το OSSEC έχει εγκατασταθεί, αλλά δεν έχει ξεκινήσει. Για να το ξεκινήσετε, πρώτα μεταβείτε στον λογαριασμό root.

sudo su

Στη συνέχεια, ξεκινήστε το εκδίδοντας την ακόλουθη εντολή.

/var/ossec/bin/ossec-control start

Στη συνέχεια, ελέγξτε τα Εισερχόμενά σας. Θα πρέπει να υπάρχει μια ειδοποίηση από την OSSEC που θα σας ενημερώνει ότι έχει ξεκινήσει. Με αυτό, τώρα γνωρίζετε ότι το OSSEC είναι εγκατεστημένο και θα στέλνει ειδοποιήσεις όπως απαιτείται.

Βήμα 6: Προσαρμόστε το OSSEC

Η προεπιλεγμένη διαμόρφωση του OSSEC λειτουργεί καλά, αλλά υπάρχουν ρυθμίσεις που μπορείτε να τροποποιήσετε ώστε να προστατεύει καλύτερα τον διακομιστή σας. Το πρώτο αρχείο που πρέπει να προσαρμόσετε είναι το κύριο αρχείο διαμόρφωσης - ossec.conf, το οποίο θα βρείτε στον /var/ossec/etcκατάλογο. Ανοίξτε το αρχείο:

nano /var/ossec/etc/ossec.conf

Το πρώτο στοιχείο που πρέπει να επαληθεύσετε είναι μια ρύθμιση email, την οποία θα βρείτε στην καθολική ενότητα του αρχείου:

<global>
   <email_notification>yes</email_notification>
   <email_to>[email protected]</email_to>
   <smtp_server>mail.vivaldi.net.</smtp_server>
   <email_from>[email protected]</email_from>
</global>

Βεβαιωθείτε ότι η διεύθυνση email_from είναι έγκυρο email. Διαφορετικά, ορισμένοι διακομιστής SMTP παρόχου email θα επισημαίνουν ειδοποιήσεις από το OSSEC ως Ανεπιθύμητα. Εάν το FQDN του διακομιστή δεν έχει οριστεί, το τμήμα τομέα του email ορίζεται στο όνομα κεντρικού υπολογιστή του διακομιστή, επομένως αυτή είναι μια ρύθμιση που θέλετε πραγματικά να έχετε μια έγκυρη διεύθυνση email.

Μια άλλη ρύθμιση που θέλετε να προσαρμόσετε, ειδικά κατά τη δοκιμή του συστήματος, είναι η συχνότητα με την οποία το OSSEC εκτελεί τους ελέγχους του. Αυτή η ρύθμιση βρίσκεται στην ενότητα syscheck και, από προεπιλογή, εκτελείται κάθε 22 ώρες. Για να δοκιμάσετε τις δυνατότητες ειδοποίησης του OSSEC, ίσως θελήσετε να το ρυθμίσετε σε χαμηλότερη τιμή, αλλά στη συνέχεια να το επαναφέρετε στην προεπιλογή.

<syscheck>
   <!-- Frequency that syscheck is executed - default to every 22 hours -->
   <frequency>79200</frequency>

Από προεπιλογή, το OSSEC δεν ειδοποιεί όταν προστίθεται νέο αρχείο στον διακομιστή. Για να το αλλάξετε αυτό, προσθέστε μια νέα ετικέτα ακριβώς κάτω από την ετικέτα < συχνότητα > . Όταν ολοκληρωθεί, η ενότητα θα πρέπει τώρα να περιέχει:

<syscheck>
   <!-- Frequency that syscheck is executed - default to every 22 hours -->
   <frequency>79200</frequency>

   <alert_new_files>yes</alert_new_files>

Μια τελευταία ρύθμιση που καλό είναι να αλλάξει είναι στη λίστα καταλόγων που πρέπει να ελέγξει ο OSSEC. Θα τα βρείτε αμέσως μετά την προηγούμενη ρύθμιση. Να είστε προεπιλεγμένοι, οι κατάλογοι εμφανίζονται ως εξής:

<!-- Directories to check  (perform all possible verifications) -->
   <directories check_all="yes">/etc,/usr/bin,/usr/sbin</directories>
   <directories check_all="yes">/bin,/sbin</directories>

Τροποποιήστε και τις δύο γραμμές για να κάνετε αλλαγές στην αναφορά OSSEC σε πραγματικό χρόνο. Όταν τελειώσουν, θα πρέπει να διαβάσουν:

<directories report_changes="yes" realtime="yes" check_all="yes">/etc,/usr/bin,/usr/sbin</directories>
<directories report_changes="yes" realtime="yes" check_all="yes">/bin,/sbin</directories>

Αποθηκεύστε και κλείστε το αρχείο.

Το επόμενο αρχείο που θα χρειαστεί να τροποποιήσουμε βρίσκεται local_rules.xmlστον /var/ossec/rulesκατάλογο. cdΣε αυτόν τον κατάλογο λοιπόν :

cd /var/ossec/rules

Αυτός ο κατάλογος περιέχει τα αρχεία κανόνων του OSSEC, κανένα από τα οποία δεν πρέπει να τροποποιηθεί, εκτός από το local_rules.xmlαρχείο. Σε αυτό το αρχείο, προσθέτουμε προσαρμοσμένους κανόνες. Ο κανόνας που πρέπει να προσθέσουμε είναι αυτός που ενεργοποιείται όταν προστίθεται ένα νέο αρχείο. Αυτός ο κανόνας, με αριθμό 554 , δεν ενεργοποιεί μια ειδοποίηση από προεπιλογή. Αυτό συμβαίνει επειδή το OSSEC δεν στέλνει ειδοποιήσεις όταν ενεργοποιείται ένας κανόνας με επίπεδο μηδέν.

Δείτε πώς φαίνεται ο κανόνας 554 από προεπιλογή.

 <rule id="554" level="0">
    <category>ossec</category>
    <decoded_as>syscheck_new_entry</decoded_as>
    <description>File added to the system.</description>
    <group>syscheck,</group>
 </rule>

Πρέπει να προσθέσουμε μια τροποποιημένη έκδοση αυτού του κανόνα στο local_rules.xmlαρχείο. Αυτή η τροποποιημένη έκδοση δίνεται στο μπλοκ κώδικα παρακάτω. Αντιγράψτε και προσθέστε το στο κάτω μέρος του αρχείου λίγο πριν την ετικέτα κλεισίματος.

 <rule id="554" level="7" overwrite="yes">
    <category>ossec</category>
    <decoded_as>syscheck_new_entry</decoded_as>
    <description>File added to the system.</description>
    <group>syscheck,</group>
 </rule>

Αποθηκεύστε και κλείστε το αρχείο και, στη συνέχεια, επανεκκινήστε το OSSEC.

/var/ossec/bin/ossec-control restart

Περισσότερες πληροφορίες

Το OSSEC είναι ένα πολύ ισχυρό λογισμικό και αυτό το άρθρο μόλις έθιξε τα βασικά. Θα βρείτε περισσότερες ρυθμίσεις προσαρμογής στην επίσημη τεκμηρίωση .