Kuinka asentaa OSSEC HIDS CentOS 7 -palvelimelle

Johdanto

OSSEC on avoimen lähdekoodin isäntäpohjainen tunkeutumisen havaitsemisjärjestelmä (HIDS), joka suorittaa lokianalyysin, eheyden tarkistuksen, Windowsin rekisterin valvonnan, rootkit-tunnistuksen, aikaperusteisen hälytyksen ja aktiivisen vastauksen. Se on pakollinen tietoturvasovellus millä tahansa palvelimella.

OSSEC voidaan asentaa valvomaan vain palvelinta, jolle se on asennettu (paikallinen asennus), tai se voidaan asentaa palvelimeksi, joka valvoo yhtä tai useampaa agenttia. Tässä opetusohjelmassa opit asentamaan OSSEC:n seuraamaan CentOS 7:ää paikallisena asennuksena.

Edellytykset

• CentOS 7 -palvelin mieluiten SSH-avaimilla ja räätälöity CentOS 7 -palvelimen alkuasetuksella . Kirjaudu palvelimelle tavallisella käyttäjätunnuksella. Oletetaan, että käyttäjänimi on joe .

  ssh -l joe server-ip-address
  

Vaihe 1: Asenna vaaditut paketit

OSSEC käännetään lähteestä, joten tarvitset kääntäjän, jotta se on mahdollista. Se vaatii myös ylimääräisen paketin ilmoituksia varten. Asenna ne kirjoittamalla:

sudo yum install -y gcc inotify-tools

Vaihe 2 - Lataa ja vahvista OSSEC

OSSEC toimitetaan pakattuna tarballina, joka on ladattava projektin verkkosivuilta. Myös tarkistussummatiedosto, jota käytetään varmistamaan, ettei tarballia ole peukaloitu, on ladattava. Tämän julkaisun aikaan OSSEC:n uusin versio on 2.8.2. Tarkista projektin lataussivu ja lataa mikä tahansa uusin versio.

Lataa tarball kirjoittamalla:

wget -U ossec http://www.ossec.net/files/ossec-hids-2.8.2.tar.gz

Kirjoita tarkistussummatiedostoksi:

wget -U ossec http://www.ossec.net/files/ossec-hids-2.8.2-checksum.txt

Kun molemmat tiedostot on ladattu, seuraava vaihe on tarkistaa tarballin MD5- ja SHA1-tarkistussummat. Kirjoita MD5-summalle:

md5sum -c ossec-hids-2.8.2-checksum.txt

Odotettu tulos on:

ossec-hids-2.8.2.tar.gz: OK
md5sum: WARNING: 1 line is improperly formatted

Vahvista SHA1-tiiviste kirjoittamalla:

sha1sum -c ossec-hids-2.8.2-checksum.txt

Ja sen odotettu tulos on:

ossec-hids-2.8.2.tar.gz: OK
sha1sum: WARNING: 1 line is improperly formatted

Vaihe 3: Määritä SMTP-palvelimesi

OSSEC:n asennuksen aikana sinua pyydetään määrittämään sähköpostiosoitteellesi SMTP-palvelin. Jos et tiedä mikä se on, helpoin tapa selvittää se on antaa tämä komento paikalliselta koneeltasi (korvaa väärennetty sähköpostiosoite oikealla):

dig -t mx [email protected]

Vastaava tulosteosio näkyy tässä koodilohkossa. Tässä esimerkkitulosteessa kysytyn sähköpostiosoitteen SMTP-palvelin on rivin lopussa - mail.vivaldi.net. . Huomaa, että lopussa oleva piste on mukana.

;; ANSWER SECTION:
vivaldi.net.        300 IN  MX  10 mail.vivaldi.net.

Vaihe 4: Asenna OSSEC

OSSEC:n asentamiseksi sinun on ensin purettava tarball, joka teet kirjoittamalla:

tar xf ossec-hids-2.8.2.tar.gz

Se puretaan hakemistoon, jossa on ohjelman nimi ja versio. Muuta tai cdsiihen. OSSEC 2.8.2:ssa, tähän artikkeliin asennetussa versiossa, on pieni virhe, joka on korjattava ennen asennuksen aloittamista. Kun seuraava vakaa versio, jonka pitäisi olla OSSEC 2.9, julkaistaan, tämän ei pitäisi olla tarpeen, koska korjaus on jo päähaarassa. Sen korjaaminen OSSEC 2.8.2:lle tarkoittaa vain yhden tiedoston muokkaamista, joka löytyy active-responsehakemistosta. Tiedosto on hosts-deny.sh, joten avaa se käyttämällä:

nano active-response/hosts-deny.sh

Etsi tiedoston loppua kohti tämä koodilohko:

# Deleting from hosts.deny
elif [ "x$" = "xdelete" ]; then
   lock;
   TMP_FILE = `mktemp /var/ossec/ossec-hosts.XXXXXXXXXX`
   if [ "X$" = "X" ]; then
      # Cheap fake tmpfile, but should be harder then no random data
      TMP_FILE = "/var/ossec/ossec-hosts.`cat /dev/urandom | tr -dc 'a-zA-Z0-9' | fold -w 32 | head -1 `"
   fi

Viivoille, jotka alkavat TMP_FILE , poistavat välilyönnit ympärillä = merkki. Välilyöntien poistamisen jälkeen tiedoston osan tulee olla alla olevan koodilohkon mukainen. Tallenna ja sulje tiedosto.

# Deleting from hosts.deny
elif [ "x$" = "xdelete" ]; then
   lock;
   TMP_FILE=`mktemp /var/ossec/ossec-hosts.XXXXXXXXXX`
   if [ "X$" = "X" ]; then
      # Cheap fake tmpfile, but should be harder then no random data
      TMP_FILE="/var/ossec/ossec-hosts.`cat /dev/urandom | tr -dc 'a-zA-Z0-9' | fold -w 32 | head -1 `"
   fi

Nyt kun korjaus on tehty, voimme aloittaa asennusprosessin, jonka teet kirjoittamalla:

sudo ./install.sh

Asennusprosessin aikana sinua pyydetään antamaan tietoja. Useimmissa tapauksissa sinun tarvitsee vain painaa ENTER hyväksyäksesi oletusasetuksen. Ensin sinua pyydetään valitsemaan asennuskieli, joka oletuksena on englanti (en). Paina ENTER, jos se on haluamasi kieli. Muussa tapauksessa syötä 2 kirjainta tuettujen kielten luettelosta. Paina sen jälkeen ENTER uudelleen.

Ensimmäinen kysymys kysyy, minkä tyyppisen asennuksen haluat. Kirjoita tähän paikallinen .

1- What kind of installation do you want (server, agent, local, hybrid or help)? local

Jos haluat kysyä myöhempiä kysymyksiä, hyväksy oletusasetus painamalla ENTER . Kysymys 3.1 pyytää sinua antamaan sähköpostiosoitteesi ja sitten SMTP-palvelimesi. Kirjoita tähän kysymykseen kelvollinen sähköpostiosoite ja vaiheessa 3 määrittämäsi SMTP-palvelin.

3- Configuring the OSSEC HIDS.

   3.1- Do you want e-mail notification? (y/n) [y]: 
      - What's your e-mail address? [email protected]
      - What's your SMTP server ip/host?

Jos asennus onnistuu, sinun pitäisi nähdä tämä tulos:

- Configuration finished properly.

...

    More information can be found at http://www.ossec.net

    ---  Press ENTER to finish (maybe more information below). ---

Lopeta asennus painamalla ENTER .

Vaihe 5: Käynnistä OSSEC

OSSEC on asennettu, mutta ei käynnistynyt. Aloita se siirtymällä ensin päätiliin.

sudo su

Aloita sitten antamalla seuraava komento.

/var/ossec/bin/ossec-control start

Tarkista sen jälkeen postilaatikkosi. OSSEC:ltä pitäisi tulla hälytys, joka ilmoittaa, että se on aloitettu. Tämän avulla tiedät nyt, että OSSEC on asennettu ja lähettää hälytyksiä tarvittaessa.

Vaihe 6: Mukauta OSSEC

OSSEC:n oletuskokoonpano toimii hyvin, mutta on olemassa asetuksia, joita voit muokata, jotta se suojaa palvelintasi paremmin. Ensimmäinen mukautettava tiedosto on pääasetustiedosto - ossec.conf, jonka löydät /var/ossec/etchakemistosta. Avaa tiedosto:

nano /var/ossec/etc/ossec.conf

Ensimmäinen kohde tarkistaa on sähköpostin asetus, joka löytyy vuonna maailmanlaajuinen osassa tiedoston:

<global>
   <email_notification>yes</email_notification>
   <email_to>[email protected]</email_to>
   <smtp_server>mail.vivaldi.net.</smtp_server>
   <email_from>[email protected]</email_from>
</global>

Varmista, että email_from- osoite on kelvollinen sähköpostiosoite. Muussa tapauksessa jotkin sähköpostipalveluntarjoajan SMTP-palvelimet merkitsevät OSSEC:n hälytykset roskapostiksi. Jos palvelimen FQDN:ää ei ole asetettu, sähköpostin toimialueosaan asetetaan palvelimen isäntänimi, joten tämä on asetus, jolla haluat todellakin olevan kelvollinen sähköpostiosoite.

Toinen asetus, jota haluat mukauttaa erityisesti järjestelmää testattaessa, on taajuus, jolla OSSEC suorittaa tarkastuksia. Tämä asetus on sycheck- osiossa, ja oletusarvoisesti se suoritetaan 22 tunnin välein. Voit testata OSSEC:n hälytysominaisuuksia asettamalla sen pienempään arvoon, mutta palauttamalla sen oletusarvoon jälkeenpäin.

<syscheck>
   <!-- Frequency that syscheck is executed - default to every 22 hours -->
   <frequency>79200</frequency>

Oletusarvoisesti OSSEC ei hälytä, kun palvelimelle lisätään uusi tiedosto. Voit muuttaa tätä lisäämällä uuden tunnisteen aivan <frekvenssi> -tunnisteen alle. Kun osio on valmis, sen pitäisi nyt sisältää:

<syscheck>
   <!-- Frequency that syscheck is executed - default to every 22 hours -->
   <frequency>79200</frequency>

   <alert_new_files>yes</alert_new_files>

Viimeinen asetus, jota on hyvä muuttaa, on luettelo hakemistoista, jotka OSSEC:n tulee tarkistaa. Löydät ne heti edellisen asetuksen jälkeen. Oletuksena hakemistot näytetään seuraavasti:

<!-- Directories to check  (perform all possible verifications) -->
   <directories check_all="yes">/etc,/usr/bin,/usr/sbin</directories>
   <directories check_all="yes">/bin,/sbin</directories>

Muokkaa molempia rivejä tehdäksesi OSSEC-raportin muutokset reaaliajassa. Kun se on valmis, heidän tulee lukea:

<directories report_changes="yes" realtime="yes" check_all="yes">/etc,/usr/bin,/usr/sbin</directories>
<directories report_changes="yes" realtime="yes" check_all="yes">/bin,/sbin</directories>

Tallenna ja sulje tiedosto.

Seuraavaan tiedostoon, että meidän täytyy muuttaa on local_rules.xml, että /var/ossec/ruleshakemistoon. Eli cdtuohon hakemistoon:

cd /var/ossec/rules

Tämä hakemisto sisältää OSSEC:n sääntötiedostot, joista mitään ei tule muuttaa, paitsi local_rules.xmltiedosto. Tuohon tiedostoon lisäämme mukautettuja sääntöjä. Sääntö, joka meidän on lisättävä, on se, joka käynnistyy, kun uusi tiedosto lisätään. Tämä sääntö, jonka numero on 554 , ei laukaise hälytystä oletuksena. Tämä johtuu siitä, että OSSEC ei lähetä hälytyksiä, kun sääntö, jonka taso on nolla, käynnistyy.

Tältä sääntö 554 näyttää oletuksena.

 <rule id="554" level="0">
    <category>ossec</category>
    <decoded_as>syscheck_new_entry</decoded_as>
    <description>File added to the system.</description>
    <group>syscheck,</group>
 </rule>

Meidän on lisättävä local_rules.xmltiedostoon säännön muokattu versio . Tämä muokattu versio on annettu alla olevassa koodilohkossa. Kopioi ja lisää se tiedoston alaosaan juuri ennen sulkevaa tunnistetta.

 <rule id="554" level="7" overwrite="yes">
    <category>ossec</category>
    <decoded_as>syscheck_new_entry</decoded_as>
    <description>File added to the system.</description>
    <group>syscheck,</group>
 </rule>

Tallenna ja sulje tiedosto ja käynnistä sitten OSSEC uudelleen.

/var/ossec/bin/ossec-control restart

Lisää tietoa

OSSEC on erittäin tehokas ohjelmisto, ja tämä artikkeli kosketti vain perusasiat. Löydät lisää mukautusasetuksia virallisesta dokumentaatiosta .