Hvernig á að setja upp OSSEC HIDS á CentOS 7 netþjóni

Kynning

OSSEC er opinn uppspretta, hýsilbundið innbrotsskynjunarkerfi (HIDS) sem framkvæmir annálagreiningu, heiðarleikaathugun, eftirlit með Windows skrásetningum, rótaruppgötvun, tímatengda viðvörun og virkt svar. Það er nauðsynlegt öryggisforrit á hvaða netþjóni sem er.

OSSEC er hægt að setja upp til að fylgjast aðeins með netþjóninum sem það er sett upp á (staðbundin uppsetning), eða vera sett upp sem netþjón til að fylgjast með einum eða fleiri umboðsmönnum. Í þessari kennslu muntu læra hvernig á að setja upp OSSEC til að fylgjast með CentOS 7 sem staðbundinni uppsetningu.

Forkröfur

• CentOS 7 miðlara helst uppsetning með SSH lyklum og sérsniðin með því að nota upphaflega uppsetningu CentOS 7 netþjóns . Skráðu þig inn á netþjóninn með því að nota venjulega notendareikninginn. Gerum ráð fyrir að notendanafnið sé joe .

  ssh -l joe server-ip-address
  

Skref 1: Settu upp nauðsynlega pakka

OSSEC verður sett saman frá uppruna, svo þú þarft þýðanda til að gera það mögulegt. Það þarf líka aukapakka fyrir tilkynningar. Settu þau upp með því að slá inn:

sudo yum install -y gcc inotify-tools

Skref 2 - Hladdu niður og staðfestu OSSEC

OSSEC er afhent sem þjappað tarball sem þarf að hlaða niður af vefsíðu verkefnisins. Einnig þarf að hlaða niður eftirlitssummuskránni, sem verður notuð til að staðfesta að ekki hafi verið átt við tarballið. Við útgáfu þessarar útgáfu er nýjasta útgáfan af OSSEC 2.8.2. Athugaðu niðurhalssíðu verkefnisins og halaðu niður nýjustu útgáfunni.

Til að hlaða niður tarballinu skaltu slá inn:

wget -U ossec http://www.ossec.net/files/ossec-hids-2.8.2.tar.gz

Fyrir checksum skrána skaltu slá inn:

wget -U ossec http://www.ossec.net/files/ossec-hids-2.8.2-checksum.txt

Þegar báðar skrárnar hafa verið hlaðnar niður er næsta skref að staðfesta MD5 og SHA1 eftirlitstölur tarballsins. Fyrir MD5sum, sláðu inn:

md5sum -c ossec-hids-2.8.2-checksum.txt

Áætluð framleiðsla er:

ossec-hids-2.8.2.tar.gz: OK
md5sum: WARNING: 1 line is improperly formatted

Til að staðfesta SHA1 kjötkássa, sláðu inn:

sha1sum -c ossec-hids-2.8.2-checksum.txt

Og væntanleg framleiðsla þess er:

ossec-hids-2.8.2.tar.gz: OK
sha1sum: WARNING: 1 line is improperly formatted

Skref 3: Ákvarðu SMTP netþjóninn þinn

Meðan á uppsetningarferli OSSEC stendur verður þú beðinn um að tilgreina SMTP netþjón fyrir netfangið þitt. Ef þú veist ekki hvað það er, er auðveldasta aðferðin til að komast að því með því að gefa út þessa skipun frá tölvunni þinni (skipta um falsa netfangið fyrir þitt raunverulega netfang):

dig -t mx [email protected]

Viðeigandi hluti í úttakinu er sýndur í þessum kóðablokk. Í þessu sýnishorni er SMTP-þjónninn fyrir netfangið sem spurt er um í lok línunnar - mail.vivaldi.net. . Athugið að punkturinn aftast fylgir með.

;; ANSWER SECTION:
vivaldi.net.        300 IN  MX  10 mail.vivaldi.net.

Skref 4: Settu upp OSSEC

Til að setja upp OSSEC þarftu fyrst að pakka upp tarballinu, sem þú gerir með því að slá inn:

tar xf ossec-hids-2.8.2.tar.gz

Það verður pakkað niður í möppu sem ber nafn og útgáfu forritsins. Breyta eða cdinn í það. OSSEC 2.8.2, útgáfan sem sett er upp fyrir þessa grein, er með smávillu sem þarf að laga áður en uppsetningin hefst. Þegar næsta stöðuga útgáfa er gefin út, sem ætti að vera OSSEC 2.9, ætti þetta ekki að vera nauðsynlegt, vegna þess að lagfæringin er þegar í aðalútibúinu. Að laga það fyrir OSSEC 2.8.2 þýðir bara að breyta einni skrá, sem er að finna í active-responsemöppunni. Skráin er hosts-deny.sh, svo opnaðu hana með:

nano active-response/hosts-deny.sh

Undir lok skrárinnar skaltu leita að þessum kóðablokk:

# Deleting from hosts.deny
elif [ "x$" = "xdelete" ]; then
   lock;
   TMP_FILE = `mktemp /var/ossec/ossec-hosts.XXXXXXXXXX`
   if [ "X$" = "X" ]; then
      # Cheap fake tmpfile, but should be harder then no random data
      TMP_FILE = "/var/ossec/ossec-hosts.`cat /dev/urandom | tr -dc 'a-zA-Z0-9' | fold -w 32 | head -1 `"
   fi

Á línunum sem byrja á TMP_FILE skaltu eyða bilunum í kringum = táknið. Eftir að bilin hafa verið fjarlægð ætti sá hluti skráarinnar að vera eins og sýnt er í kóðablokkinni hér að neðan. Vistaðu og lokaðu skránni.

# Deleting from hosts.deny
elif [ "x$" = "xdelete" ]; then
   lock;
   TMP_FILE=`mktemp /var/ossec/ossec-hosts.XXXXXXXXXX`
   if [ "X$" = "X" ]; then
      # Cheap fake tmpfile, but should be harder then no random data
      TMP_FILE="/var/ossec/ossec-hosts.`cat /dev/urandom | tr -dc 'a-zA-Z0-9' | fold -w 32 | head -1 `"
   fi

Nú þegar lagfæringin er komin, getum við hafið uppsetningarferlið, sem þú gerir með því að slá inn:

sudo ./install.sh

Í gegnum uppsetningarferlið verðurðu beðinn um að leggja fram smá inntak. Í flestum tilfellum þarftu aðeins að ýta á ENTER til að samþykkja sjálfgefið. Fyrst verður þú beðinn um að velja uppsetningartungumálið, sem sjálfgefið er enska (en). Svo ýttu á ENTER ef það er valið tungumál. Annars skaltu slá inn 2 stafina af listanum yfir studd tungumál. Síðan skaltu ýta aftur á ENTER .

Fyrsta spurningin mun spyrja þig hvers konar uppsetningar þú vilt. Hér skaltu slá inn local .

1- What kind of installation do you want (server, agent, local, hybrid or help)? local

Fyrir síðari spurningar, ýttu á ENTER til að samþykkja sjálfgefið. Spurning 3.1 mun biðja þig um netfangið þitt og biðja síðan um SMTP netþjóninn þinn. Fyrir þá spurningu skaltu slá inn gilt netfang og SMTP-þjóninn sem þú ákvaðst í skrefi 3.

3- Configuring the OSSEC HIDS.

   3.1- Do you want e-mail notification? (y/n) [y]: 
      - What's your e-mail address? [email protected]
      - What's your SMTP server ip/host?

Ef uppsetningin heppnast, ættir þú að sjá þetta úttak:

- Configuration finished properly.

...

    More information can be found at http://www.ossec.net

    ---  Press ENTER to finish (maybe more information below). ---

Ýttu á ENTER til að ljúka uppsetningunni.

Skref 5: Ræstu OSSEC

OSSEC hefur verið sett upp en ekki ræst. Til að hefja það skaltu fyrst skipta yfir í rótarreikninginn.

sudo su

Byrjaðu það síðan með því að gefa út eftirfarandi skipun.

/var/ossec/bin/ossec-control start

Eftir það skaltu athuga pósthólfið þitt. Það ætti að vera viðvörun frá OSSEC sem tilkynnir þér að það hafi verið ræst. Með því veistu núna að OSSEC er uppsett og mun senda viðvaranir eftir þörfum.

Skref 6: Sérsníddu OSSEC

Sjálfgefin stilling OSSEC virkar fínt, en það eru stillingar sem þú getur lagfært til að vernda netþjóninn þinn betur. Fyrsta skráin til að sérsníða er aðalstillingarskráin - ossec.conf, sem þú finnur í /var/ossec/etcmöppunni. Opnaðu skrána:

nano /var/ossec/etc/ossec.conf

Fyrsta atriðið til að staðfesta er tölvupóststilling, sem þú finnur í alþjóðlegum hluta skráarinnar:

<global>
   <email_notification>yes</email_notification>
   <email_to>[email protected]</email_to>
   <smtp_server>mail.vivaldi.net.</smtp_server>
   <email_from>[email protected]</email_from>
</global>

Gakktu úr skugga um að netfangið email_from sé gilt netfang. Annars munu SMTP-þjónar sumra tölvupóstveitu merkja viðvaranir frá OSSEC sem ruslpóst. Ef FQDN þjónsins er ekki stillt er lénshluti tölvupóstsins stilltur á hýsilheiti þjónsins, þannig að þetta er stilling sem þú vilt virkilega að hafi gilt netfang.

Önnur stilling sem þú vilt aðlaga, sérstaklega meðan þú prófar kerfið, er tíðnin sem OSSEC keyrir úttektir sínar á. Þessi stilling er í syscheck hlutanum og sjálfgefið er hún keyrð á 22 klukkustunda fresti. Til að prófa viðvörunareiginleika OSSEC gætirðu viljað stilla það á lægra gildi, en endurstilla það á sjálfgefið eftir það.

<syscheck>
   <!-- Frequency that syscheck is executed - default to every 22 hours -->
   <frequency>79200</frequency>

Sjálfgefið er að OSSEC lætur ekki vita þegar nýrri skrá er bætt við þjóninn. Til að breyta því skaltu bæta við nýju merki rétt undir merkinu < tíðni > . Þegar því er lokið ætti hlutinn nú að innihalda:

<syscheck>
   <!-- Frequency that syscheck is executed - default to every 22 hours -->
   <frequency>79200</frequency>

   <alert_new_files>yes</alert_new_files>

Ein síðasta stillingin sem gott er að breyta er á listanum yfir í möppur sem OSSEC ætti að athuga. Þú finnur þá strax eftir fyrri stillingu. Vertu sjálfgefið, möppurnar eru sýndar sem:

<!-- Directories to check  (perform all possible verifications) -->
   <directories check_all="yes">/etc,/usr/bin,/usr/sbin</directories>
   <directories check_all="yes">/bin,/sbin</directories>

Breyttu báðum línum til að gera OSSEC skýrslubreytingar í rauntíma. Þegar þeim er lokið ættu þeir að lesa:

<directories report_changes="yes" realtime="yes" check_all="yes">/etc,/usr/bin,/usr/sbin</directories>
<directories report_changes="yes" realtime="yes" check_all="yes">/bin,/sbin</directories>

Vistaðu og lokaðu skránni.

Næsta skrá sem við þurfum að breyta er local_rules.xmlí /var/ossec/rulesmöppunni. Svo cdinn í þá möppu:

cd /var/ossec/rules

Sú mappa geymir regluskrár OSSEC, en engum þeirra ætti að breyta, nema local_rules.xmlskráin. Í þeirri skrá bætum við sérsniðnum reglum. Reglan sem við þurfum að bæta við er sú sem ræsir þegar nýrri skrá er bætt við. Sú regla, númeruð 554 , kallar ekki sjálfgefið á viðvörun. Það er vegna þess að OSSEC sendir ekki út viðvaranir þegar regla með stig stillt á núll er ræst.

Svona lítur regla 554 út sjálfgefið.

 <rule id="554" level="0">
    <category>ossec</category>
    <decoded_as>syscheck_new_entry</decoded_as>
    <description>File added to the system.</description>
    <group>syscheck,</group>
 </rule>

Við þurfum að bæta við breyttri útgáfu af þeirri reglu í local_rules.xmlskránni. Sú breytta útgáfa er gefin upp í kóðablokkinni hér að neðan. Afritaðu og bættu því við neðst í skránni rétt fyrir lokunarmerkið.

 <rule id="554" level="7" overwrite="yes">
    <category>ossec</category>
    <decoded_as>syscheck_new_entry</decoded_as>
    <description>File added to the system.</description>
    <group>syscheck,</group>
 </rule>

Vistaðu og lokaðu skránni og endurræstu síðan OSSEC.

/var/ossec/bin/ossec-control restart

Meiri upplýsingar

OSSEC er mjög öflugur hugbúnaður og þessi grein snerti bara grunnatriðin. Þú finnur fleiri sérstillingar í opinberu skjölunum .