Az OSSEC egy nyílt forráskódú, gazdagép alapú behatolásérzékelő rendszer (HIDS), amely naplóelemzést, integritás-ellenőrzést, Windows rendszerleíró adatbázis-figyelést, rootkit észlelést, időalapú riasztást és aktív választ végez. Ez egy kötelező biztonsági alkalmazás minden szerveren.
Az OSSEC telepíthető annak a kiszolgálónak a figyelésére, amelyre telepítve van (helyi telepítés), vagy telepíthető szerverként egy vagy több ügynök figyelésére. Ebből az oktatóanyagból megtudhatja, hogyan telepítheti az OSSEC-et a CentOS 7 helyi telepítésként történő figyeléséhez.
A CentOS 7-szerver lehetőleg SSH-kulcsokkal van beállítva, és a CentOS 7-kiszolgáló kezdeti beállításával testreszabható . Jelentkezzen be a szerverre a szabványos felhasználói fiókkal. Tegyük fel, hogy a felhasználónév joe .
ssh -l joe server-ip-address
Az OSSEC forrásból lesz fordítva, ezért fordítóprogramra van szüksége, hogy ezt lehetővé tegye. Az értesítésekhez külön csomagra is szükség van. Telepítse őket a következő beírásával:
sudo yum install -y gcc inotify-tools
Az OSSEC tömörített tarballként kerül szállításra, amelyet le kell tölteni a projekt webhelyéről. Az ellenőrzőösszeg fájlt is le kell tölteni, amely annak ellenőrzésére szolgál, hogy a tarballt nem módosították-e. A kiadvány megjelenésekor az OSSEC legújabb verziója a 2.8.2. Tekintse meg a projekt letöltési oldalát, és töltse le a legújabb verziót.
A tarball letöltéséhez írja be:
wget -U ossec http://www.ossec.net/files/ossec-hids-2.8.2.tar.gz
Az ellenőrző összeg fájlhoz írja be:
wget -U ossec http://www.ossec.net/files/ossec-hids-2.8.2-checksum.txt
Mindkét fájl letöltése után a következő lépés a tarball MD5 és SHA1 ellenőrző összegének ellenőrzése. Az MD5 összeghez írja be:
md5sum -c ossec-hids-2.8.2-checksum.txt
A várható kimenet:
ossec-hids-2.8.2.tar.gz: OK
md5sum: WARNING: 1 line is improperly formatted
Az SHA1 hash ellenőrzéséhez írja be:
sha1sum -c ossec-hids-2.8.2-checksum.txt
És a várható kimenete:
ossec-hids-2.8.2.tar.gz: OK
sha1sum: WARNING: 1 line is improperly formatted
Az OSSEC telepítési folyamata során a rendszer felkéri, hogy adjon meg egy SMTP-kiszolgálót az e-mail címéhez. Ha nem tudja, mi az, a legegyszerűbb módja annak, hogy kiderítse, ha kiadja ezt a parancsot a helyi gépről (cserélje ki a hamis e-mail címet a valódira):
dig -t mx you@example.com
A kimenet megfelelő része ebben a kódblokkban látható. Ebben a példakimenetben a lekérdezett e-mail cím SMTP-kiszolgálója a sor végén található - mail.vivaldi.net. . Vegye figyelembe, hogy a végén lévő pont is benne van.
;; ANSWER SECTION:
vivaldi.net. 300 IN MX 10 mail.vivaldi.net.
Az OSSEC telepítéséhez először ki kell csomagolnia a tarballt, amit a következő beírással kell megtennie:
tar xf ossec-hids-2.8.2.tar.gz
Egy olyan könyvtárba lesz kicsomagolva, amely a program nevét és verzióját tartalmazza. Változás vagy cdbele. Az OSSEC 2.8.2, a jelen cikkhez telepített verziója tartalmaz egy kisebb hibát, amelyet a telepítés megkezdése előtt javítani kell. Mire megjelenik a következő stabil verzió, aminek az OSSEC 2.9-esnek kell lennie, erre már nem lesz szükség, mert a javítás már a master ágban van. A javítás az OSSEC 2.8.2-re csak egy fájl szerkesztését jelenti, amely a active-responsekönyvtárban található. A fájl hosts-deny.sh, tehát nyissa meg a következővel:
nano active-response/hosts-deny.sh
A fájl vége felé keresse ezt a kódblokkot:
# Deleting from hosts.deny
elif [ "x$" = "xdelete" ]; then
lock;
TMP_FILE = `mktemp /var/ossec/ossec-hosts.XXXXXXXXXX`
if [ "X$" = "X" ]; then
# Cheap fake tmpfile, but should be harder then no random data
TMP_FILE = "/var/ossec/ossec-hosts.`cat /dev/urandom | tr -dc 'a-zA-Z0-9' | fold -w 32 | head -1 `"
fi
A TMP_FILE karakterrel kezdődő sorokban törölje a szóközöket az = jel körül . A szóközök eltávolítása után a fájl ezen részének az alábbi kódblokkban láthatónak kell lennie. Mentse és zárja be a fájlt.
# Deleting from hosts.deny
elif [ "x$" = "xdelete" ]; then
lock;
TMP_FILE=`mktemp /var/ossec/ossec-hosts.XXXXXXXXXX`
if [ "X$" = "X" ]; then
# Cheap fake tmpfile, but should be harder then no random data
TMP_FILE="/var/ossec/ossec-hosts.`cat /dev/urandom | tr -dc 'a-zA-Z0-9' | fold -w 32 | head -1 `"
fi
Most, hogy a javítás megtörtént, elindíthatjuk a telepítési folyamatot, amelyet a következő beírásával tehet meg:
sudo ./install.sh
A telepítési folyamat során a rendszer felkéri, hogy adjon meg némi bevitelt. A legtöbb esetben csak az ENTER billentyűt kell megnyomnia az alapértelmezés elfogadásához. Először a rendszer kéri, hogy válassza ki a telepítési nyelvet, amely alapértelmezés szerint az angol (en). Tehát nyomja meg az ENTER billentyűt, ha ez a kívánt nyelv. Ellenkező esetben írja be a támogatott nyelvek listájából a 2 betűt. Ezután nyomja meg ismét az ENTER- t.
Az első kérdés arra vonatkozik, hogy milyen típusú telepítést szeretne. Itt írja be a helyi értéket .
1- What kind of installation do you want (server, agent, local, hybrid or help)? local
A további kérdésekhez nyomja meg az ENTER billentyűt az alapértelmezett elfogadásához. A 3.1-es kérdés megkéri az e-mail címét, majd az SMTP-kiszolgálót. A kérdéshez adjon meg egy érvényes e-mail címet és a 3. lépésben meghatározott SMTP-kiszolgálót.
3- Configuring the OSSEC HIDS.
3.1- Do you want e-mail notification? (y/n) [y]:
- What's your e-mail address? you@example.com
- What's your SMTP server ip/host?
Ha a telepítés sikeres, akkor ezt a kimenetet kell látnia:
- Configuration finished properly.
...
More information can be found at http://www.ossec.net
--- Press ENTER to finish (maybe more information below). ---
Nyomja meg az ENTER- t a telepítés befejezéséhez.
Az OSSEC telepítve van, de nem indult el. Az elindításához először váltson a root fiókra.
sudo su
Ezután indítsa el a következő parancs kiadásával.
/var/ossec/bin/ossec-control start
Ezt követően ellenőrizze a beérkezett üzeneteket. Figyelmeztetésnek kell megjelennie az OSSEC-től, amely tájékoztatja Önt, hogy elindult. Ezzel most már tudja, hogy az OSSEC telepítve van, és szükség szerint riasztásokat küld.
Az OSSEC alapértelmezett konfigurációja jól működik, de vannak olyan beállítások, amelyeket módosíthat, hogy jobban védje szerverét. Az első testreszabandó fájl a fő konfigurációs fájl - ossec.conf, amely a /var/ossec/etckönyvtárban található. Nyissa meg a fájlt:
nano /var/ossec/etc/ossec.conf
Az első ellenőrizendő elem egy e-mail-beállítás, amelyet a fájl globális részében talál :
<global>
<email_notification>yes</email_notification>
<email_to>finid@vivaldi.net</email_to>
<smtp_server>mail.vivaldi.net.</smtp_server>
<email_from>ossecm@vultr.guest</email_from>
</global>
Győződjön meg arról, hogy az email_from cím érvényes e-mail-cím. Ellenkező esetben egyes e-mail-szolgáltatók SMTP-kiszolgálói az OSSEC-től érkező figyelmeztetéseket spamként jelölik meg. Ha a szerver FQDN-je nincs beállítva, az e-mail tartományrésze a szerver gazdagépnevére lesz beállítva, tehát ez egy olyan beállítás, amelynél valóban érvényes e-mail címet szeretne.
Egy másik beállítás, amelyet testre szeretne szabni, különösen a rendszer tesztelése közben, az az OSSEC auditálási gyakorisága. Ez a beállítás a sycheck szakaszban található, és alapértelmezés szerint 22 óránként fut. Az OSSEC riasztási funkcióinak teszteléséhez érdemes alacsonyabb értékre állítani, de utána visszaállítani az alapértelmezettre.
<syscheck>
<!-- Frequency that syscheck is executed - default to every 22 hours -->
<frequency>79200</frequency>
Alapértelmezés szerint az OSSEC nem figyelmeztet, ha új fájl kerül a szerverre. Ennek megváltoztatásához adjon hozzá egy új címkét közvetlenül a < gyakoriság > címke alá. Ha elkészült, a szakasznak a következőket kell tartalmaznia:
<syscheck>
<!-- Frequency that syscheck is executed - default to every 22 hours -->
<frequency>79200</frequency>
<alert_new_files>yes</alert_new_files>
Egy utolsó beállítás, amelyet érdemes megváltoztatni, az azon könyvtárak listája, amelyeket az OSSEC-nek ellenőriznie kell. Közvetlenül az előző beállítás után találja meg őket. Alapértelmezés szerint a könyvtárak a következőképpen jelennek meg:
<!-- Directories to check (perform all possible verifications) -->
<directories check_all="yes">/etc,/usr/bin,/usr/sbin</directories>
<directories check_all="yes">/bin,/sbin</directories>
Módosítsa mindkét sort az OSSEC-jelentések valós idejű módosításához. Amikor elkészültek, a következőket kell olvasniuk:
<directories report_changes="yes" realtime="yes" check_all="yes">/etc,/usr/bin,/usr/sbin</directories>
<directories report_changes="yes" realtime="yes" check_all="yes">/bin,/sbin</directories>
Mentse és zárja be a fájlt.
A következő fájl, amelyet módosítanunk kell local_rules.xml, a /var/ossec/ruleskönyvtárban található. Tehát cdebbe a könyvtárba:
cd /var/ossec/rules
Ez a könyvtár tartalmazza az OSSEC szabályfájljait, amelyek közül egyiket sem szabad módosítani, kivéve a local_rules.xmlfájlt. Ebben a fájlban egyéni szabályokat adunk hozzá. A szabály, amelyet hozzá kell adnunk, az, amely új fájl hozzáadásakor aktiválódik. Ez az 554-es szabály alapértelmezés szerint nem vált ki riasztást. Ennek az az oka, hogy az OSSEC nem küld riasztást, ha nullára állított szabályt aktiválnak.
Alapértelmezés szerint így néz ki az 554-es szabály.
<rule id="554" level="0">
<category>ossec</category>
<decoded_as>syscheck_new_entry</decoded_as>
<description>File added to the system.</description>
<group>syscheck,</group>
</rule>
A szabály módosított változatát hozzá kell adnunk a local_rules.xmlfájlhoz. Ez a módosított verzió az alábbi kódblokkban található. Másolja ki, és adja hozzá a fájl aljához, közvetlenül a záró címke elé.
<rule id="554" level="7" overwrite="yes">
<category>ossec</category>
<decoded_as>syscheck_new_entry</decoded_as>
<description>File added to the system.</description>
<group>syscheck,</group>
</rule>
Mentse és zárja be a fájlt, majd indítsa újra az OSSEC-et.
/var/ossec/bin/ossec-control restart
Az OSSEC egy nagyon hatékony szoftver, és ez a cikk csak az alapokat érintette. További testreszabási beállításokat a hivatalos dokumentációban talál .
Ez az oktatóanyag végigvezeti Önt a Vultrs rendszerekkel kompatibilis Windows ISO létrehozásának folyamatán. Itt megtanulhatja az <>Windows ISO<> előállításának lépéseit az NTLite segítségével.
A mesterséges intelligencia nem a jövőben, hanem itt a jelenben. Ebben a blogban Olvassa el, hogyan hatott a mesterséges intelligencia alkalmazások különböző ágazatokra.
Ön is DDOS támadások áldozata, és tanácstalan a megelőzési módszereket illetően? Olvassa el ezt a cikket a kérdések megoldásához.
Talán hallottál már arról, hogy a hackerek sok pénzt keresnek, de elgondolkodtál már azon, hogyan kereshetnek ennyi pénzt? beszéljük meg.
Szeretné látni a Google forradalmi találmányait, és azt, hogy ezek a találmányok hogyan változtatták meg minden mai ember életét? Ezután olvassa el a blogot, és nézze meg a Google találmányait.
Az önvezető autók koncepciója, hogy mesterséges intelligencia segítségével kerüljenek az utakra, már egy ideje álmunk. De számos ígéret ellenére sehol sem látszanak. Olvassa el ezt a blogot, hogy többet megtudjon…
Ahogy a tudomány gyors ütemben fejlődik, átveszi erőfeszítéseink nagy részét, megnő annak a kockázata is, hogy alávetjük magunkat egy megmagyarázhatatlan szingularitásnak. Olvassa el, mit jelenthet számunkra a szingularitás.
Olvassa el a blogot, hogy a legegyszerűbb módon ismerje meg a Big Data Architecture különböző rétegeit és azok funkcióit.
Az adatok tárolási módjai az Adatok születése óta alakulhatnak. Ez a blog egy infografika alapján mutatja be az adattárolás fejlődését.
Ebben a digitálisan vezérelt világban az intelligens otthoni eszközök az élet döntő részévé váltak. Íme az intelligens otthoni eszközök néhány elképesztő előnye, hogyan teszik életünket érdemessé és egyszerűbbé.
