Kuidas installida OSSEC HIDS-i CentOS 7 serverisse

Sissejuhatus

OSSEC on avatud lähtekoodiga hostipõhine sissetungimise tuvastamise süsteem (HIDS), mis teostab logianalüüsi, terviklikkuse kontrolli, Windowsi registri jälgimist, juurkomplekti tuvastamist, ajapõhist hoiatamist ja aktiivset reageerimist. See on kohustuslik turvarakendus mis tahes serveris.

OSSEC-i saab installida ainult selle serveri jälgimiseks, kuhu see on installitud (kohalik installimine), või installida serverina ühe või mitme agendi jälgimiseks. Sellest õpetusest saate teada, kuidas installida OSSEC, et jälgida CentOS 7 kohaliku installina.

Eeltingimused

• CentOS 7 server eelistatult seadistatud SSH võtmete ja kohandada kasutades seadistamist CentOS 7 Server . Logige serverisse sisse, kasutades tavalist kasutajakontot. Oletame, et kasutajanimi on joe .

  ssh -l joe server-ip-address
  

1. samm: installige vajalikud paketid

OSSEC kompileeritakse allikast, seega vajate selle võimaldamiseks kompilaatorit. See nõuab ka lisapaketti teatiste jaoks. Installige need, tippides:

sudo yum install -y gcc inotify-tools

2. samm – laadige alla ja kinnitage OSSEC

OSSEC tarnitakse tihendatud tarballina, mis tuleb projekti veebisaidilt alla laadida. Samuti tuleb alla laadida kontrollsumma fail, mida kasutatakse kontrollimaks, et tarballi ei ole rikutud. Selle avaldamise ajal oli OSSECi uusim versioon 2.8.2. Kontrollige projekti allalaadimislehte ja laadige alla mis tahes uusim versioon.

Tarballi allalaadimiseks tippige:

wget -U ossec http://www.ossec.net/files/ossec-hids-2.8.2.tar.gz

Kontrollsumma faili jaoks tippige:

wget -U ossec http://www.ossec.net/files/ossec-hids-2.8.2-checksum.txt

Kui mõlemad failid on alla laaditud, tuleb järgmise sammuna kontrollida tarballi MD5 ja SHA1 kontrollsummasid. MD5 summa jaoks tippige:

md5sum -c ossec-hids-2.8.2-checksum.txt

Eeldatav väljund on:

ossec-hids-2.8.2.tar.gz: OK
md5sum: WARNING: 1 line is improperly formatted

SHA1 räsi kinnitamiseks tippige:

sha1sum -c ossec-hids-2.8.2-checksum.txt

Ja selle eeldatav väljund on:

ossec-hids-2.8.2.tar.gz: OK
sha1sum: WARNING: 1 line is improperly formatted

3. samm: määrake oma SMTP-server

OSSEC-i installiprotsessi ajal palutakse teil oma e-posti aadressi jaoks määrata SMTP-server. Kui te ei tea, mis see on, on lihtsaim viis selle väljaselgitamiseks väljastada see käsk oma kohalikust masinast (asendage võlts e-posti aadress oma õigega):

dig -t mx [email protected]

Väljundi vastav jaotis on näidatud selles koodiplokis. Selles näidisväljundis on päringuga e-posti aadressi SMTP-server rea lõpus - mail.vivaldi.net. . Pange tähele, et punkt lõpus on lisatud.

;; ANSWER SECTION:
vivaldi.net.        300 IN  MX  10 mail.vivaldi.net.

4. samm: installige OSSEC

OSSEC-i installimiseks peate esmalt tarballi lahti pakkima, sisestades selleks:

tar xf ossec-hids-2.8.2.tar.gz

See pakitakse lahti kataloogi, mis kannab programmi nime ja versiooni. Muuda või cdsisse. Selle artikli jaoks installitud versioonil OSSEC 2.8.2 on väike viga, mis tuleb enne installimise alustamist parandada. Järgmise stabiilse versiooni väljaandmise ajaks, mis peaks olema OSSEC 2.9, ei tohiks see olla vajalik, sest parandus on juba põhiharus. Selle parandamine OSSEC 2.8.2 jaoks tähendab lihtsalt ühe faili redigeerimist, mis asub active-responsekataloogis. Fail on hosts-deny.sh, seega avage see kasutades:

nano active-response/hosts-deny.sh

Faili lõpu poole otsige seda koodiplokki:

# Deleting from hosts.deny
elif [ "x$" = "xdelete" ]; then
   lock;
   TMP_FILE = `mktemp /var/ossec/ossec-hosts.XXXXXXXXXX`
   if [ "X$" = "X" ]; then
      # Cheap fake tmpfile, but should be harder then no random data
      TMP_FILE = "/var/ossec/ossec-hosts.`cat /dev/urandom | tr -dc 'a-zA-Z0-9' | fold -w 32 | head -1 `"
   fi

Ridadelt , mis algavad tähega TMP_FILE , kustutage = märgi ümber olevad tühikud . Pärast tühikute eemaldamist peaks see failiosa olema selline, nagu on näidatud allolevas koodiplokis. Salvestage ja sulgege fail.

# Deleting from hosts.deny
elif [ "x$" = "xdelete" ]; then
   lock;
   TMP_FILE=`mktemp /var/ossec/ossec-hosts.XXXXXXXXXX`
   if [ "X$" = "X" ]; then
      # Cheap fake tmpfile, but should be harder then no random data
      TMP_FILE="/var/ossec/ossec-hosts.`cat /dev/urandom | tr -dc 'a-zA-Z0-9' | fold -w 32 | head -1 `"
   fi

Nüüd, kui parandus on tehtud, saame alustada installiprotsessi, mille tegemiseks tippige:

sudo ./install.sh

Kogu installiprotsessi ajal palutakse teil sisestada sisend. Enamikul juhtudel peate vaikeväärtuse aktsepteerimiseks vajutama ainult klahvi ENTER . Kõigepealt palutakse teil valida installikeel, mis vaikimisi on inglise keel (en). Seega vajutage sisestusklahvi (ENTER), kui see on teie eelistatud keel. Muul juhul sisestage toetatud keelte loendist kaks tähte. Seejärel vajutage uuesti ENTER .

Esimene küsimus küsib teilt, millist tüüpi installi soovite. Siin sisestage kohalik .

1- What kind of installation do you want (server, agent, local, hybrid or help)? local

Järgmiste küsimuste korral vajutage vaikeväärtuse aktsepteerimiseks sisestusklahvi ENTER . Küsimus 3.1 küsib teilt e-posti aadressi ja seejärel SMTP-serverit. Selle küsimuse jaoks sisestage kehtiv e-posti aadress ja SMTP-server, mille määrasite 3. sammus.

3- Configuring the OSSEC HIDS.

   3.1- Do you want e-mail notification? (y/n) [y]: 
      - What's your e-mail address? [email protected]
      - What's your SMTP server ip/host?

Kui installimine õnnestub, peaksite nägema järgmist väljundit:

- Configuration finished properly.

...

    More information can be found at http://www.ossec.net

    ---  Press ENTER to finish (maybe more information below). ---

Installimise lõpetamiseks vajutage ENTER .

5. samm: käivitage OSSEC

OSSEC on installitud, kuid pole käivitatud. Selle käivitamiseks lülituge esmalt juurkontole.

sudo su

Seejärel käivitage see järgmise käsu väljastamisega.

/var/ossec/bin/ossec-control start

Pärast seda kontrollige oma postkasti. OSSEC-ilt peaks tulema hoiatus, mis teavitab teid selle käivitamisest. Sellega teate nüüd, et OSSEC on installitud ja saadab vajadusel hoiatusi.

6. samm: kohandage OSSEC-i

OSSEC-i vaikekonfiguratsioon töötab hästi, kuid on sätteid, mida saate oma serveri paremaks kaitsmiseks kohandada. Esimene kohandatav fail on peamine konfiguratsioonifail - ossec.conf, mille leiate /var/ossec/etckataloogist. Ava fail:

nano /var/ossec/etc/ossec.conf

Esimene kontrollitav üksus on meiliseade, mille leiate faili globaalsest jaotisest:

<global>
   <email_notification>yes</email_notification>
   <email_to>[email protected]</email_to>
   <smtp_server>mail.vivaldi.net.</smtp_server>
   <email_from>[email protected]</email_from>
</global>

Veenduge, et email_from aadress on kehtiv meil. Vastasel juhul märgib mõne meiliteenuse pakkuja SMTP-server OSSEC-i hoiatused rämpspostiks. Kui serveri FQDN ei ole määratud, määratakse meili domeeni osaks serveri hostinimi, nii et see on säte, mille puhul soovite tõesti kehtivat meiliaadressi.

Teine seade, mida soovite kohandada, eriti süsteemi testimise ajal, on sagedus, millega OSSEC oma auditeid käitab. See säte on Syschecki jaotises ja vaikimisi käivitatakse see iga 22 tunni järel. OSSEC-i hoiatusfunktsioonide testimiseks võiksite määrata selle madalamale väärtusele, kuid lähtestada see hiljem vaikeväärtusele.

<syscheck>
   <!-- Frequency that syscheck is executed - default to every 22 hours -->
   <frequency>79200</frequency>

Vaikimisi ei anna OSSEC märku, kui serverisse lisatakse uus fail. Selle muutmiseks lisage sildi < sagedus > alla uus silt. Pärast lõpetamist peaks jaotis nüüd sisaldama:

<syscheck>
   <!-- Frequency that syscheck is executed - default to every 22 hours -->
   <frequency>79200</frequency>

   <alert_new_files>yes</alert_new_files>

Viimane säte, mida on hea muuta, on kataloogide loend, mida OSSEC peaks kontrollima. Leiate need kohe pärast eelmist seadistust. Vaikimisi kuvatakse kataloogid järgmiselt:

<!-- Directories to check  (perform all possible verifications) -->
   <directories check_all="yes">/etc,/usr/bin,/usr/sbin</directories>
   <directories check_all="yes">/bin,/sbin</directories>

Muutke mõlemat rida, et teha OSSEC-i aruandeid reaalajas muudatusi. Kui olete lõpetanud, peaksid nad lugema:

<directories report_changes="yes" realtime="yes" check_all="yes">/etc,/usr/bin,/usr/sbin</directories>
<directories report_changes="yes" realtime="yes" check_all="yes">/bin,/sbin</directories>

Salvestage ja sulgege fail.

Järgmine fail, mis me peame muutma on local_rules.xmlka /var/ossec/ruleskataloog. Nii et cdsellesse kataloogi:

cd /var/ossec/rules

Selles kataloogis on OSSEC-i reeglifailid, millest ühtegi ei tohiks muuta, välja arvatud local_rules.xmlfail. Sellesse faili lisame kohandatud reeglid. Peame lisama reegli, mis käivitub uue faili lisamisel. See reegel numbriga 554 ei käivita vaikimisi hoiatust. Selle põhjuseks on asjaolu, et OSSEC ei saada hoiatusi, kui käivitatakse reegel, mille tase on seatud nulli.

Vaikimisi näeb reegel 554 välja selline.

 <rule id="554" level="0">
    <category>ossec</category>
    <decoded_as>syscheck_new_entry</decoded_as>
    <description>File added to the system.</description>
    <group>syscheck,</group>
 </rule>

Peame local_rules.xmlfaili lisama selle reegli muudetud versiooni . See muudetud versioon on toodud allolevas koodiplokis. Kopeerige ja lisage see faili allossa vahetult enne sulgevat silti.

 <rule id="554" level="7" overwrite="yes">
    <category>ossec</category>
    <decoded_as>syscheck_new_entry</decoded_as>
    <description>File added to the system.</description>
    <group>syscheck,</group>
 </rule>

Salvestage ja sulgege fail, seejärel taaskäivitage OSSEC.

/var/ossec/bin/ossec-control restart

Rohkem informatsiooni

OSSEC on väga võimas tarkvara ja see artikkel puudutas lihtsalt põhitõdesid. Rohkem kohandamisseadeid leiate ametlikust dokumentatsioonist .