Kaip įdiegti OSSEC HIDS „CentOS 7“ serveryje

Įvadas

OSSEC yra atvirojo kodo, prieglobos įsilaužimų aptikimo sistema (HIDS), kuri atlieka žurnalų analizę, vientisumo tikrinimą, Windows registro stebėjimą, rootkit aptikimą, laiko perspėjimą ir aktyvų atsaką. Tai būtina saugos programa bet kuriame serveryje.

OSSEC galima įdiegti, kad būtų galima stebėti tik serverį, kuriame jis įdiegtas (vietinis diegimas), arba įdiegti kaip serverį, kad būtų galima stebėti vieną ar daugiau agentų. Šiame vadove sužinosite, kaip įdiegti OSSEC, kad galėtumėte stebėti CentOS 7 kaip vietinį diegimą.

Būtinos sąlygos

• Pageidautina, kad „CentOS 7“ serveris būtų nustatytas naudojant SSH raktus ir pritaikytas naudojant „CentOS 7“ serverio pradinę sąranką . Prisijunkite prie serverio naudodami standartinę vartotojo abonementą. Tarkime, kad vartotojo vardas yra joe .

  ssh -l joe server-ip-address
  

1 veiksmas: įdiekite reikiamus paketus

OSSEC bus sudarytas iš šaltinio, todėl jums reikia kompiliatoriaus, kad tai būtų įmanoma. Taip pat reikalingas papildomas pranešimų paketas. Įdiekite juos įvesdami:

sudo yum install -y gcc inotify-tools

2 veiksmas – atsisiųskite ir patikrinkite OSSEC

OSSEC pristatomas kaip suspaustas tarbalas, kurį reikia atsisiųsti iš projekto svetainės. Taip pat turi būti atsiųstas kontrolinės sumos failas, kuris bus naudojamas patikrinti, ar tarbolas nebuvo sugadintas. Šio publikavimo metu naujausia OSSEC versija yra 2.8.2. Peržiūrėkite projekto atsisiuntimo puslapį ir atsisiųskite naujausią versiją.

Norėdami atsisiųsti tarball, įveskite:

wget -U ossec http://www.ossec.net/files/ossec-hids-2.8.2.tar.gz

Norėdami gauti kontrolinės sumos failą, įveskite:

wget -U ossec http://www.ossec.net/files/ossec-hids-2.8.2-checksum.txt

Atsisiuntus abu failus, kitas žingsnis yra patikrinti MD5 ir SHA1 kontrolines sumas. Norėdami gauti MD5 sumą, įveskite:

md5sum -c ossec-hids-2.8.2-checksum.txt

Numatoma produkcija yra tokia:

ossec-hids-2.8.2.tar.gz: OK
md5sum: WARNING: 1 line is improperly formatted

Norėdami patikrinti SHA1 maišą, įveskite:

sha1sum -c ossec-hids-2.8.2-checksum.txt

Ir jo laukiama produkcija yra:

ossec-hids-2.8.2.tar.gz: OK
sha1sum: WARNING: 1 line is improperly formatted

3 veiksmas: nustatykite savo SMTP serverį

OSSEC diegimo proceso metu būsite paraginti savo el. pašto adresui nurodyti SMTP serverį. Jei nežinote, kas tai yra, paprasčiausias būdas tai sužinoti yra paleisti šią komandą iš vietinio kompiuterio (pakeiskite netikrą el. pašto adresą tikruoju):

dig -t mx [email protected]

Šiame kodo bloke rodomas atitinkamas išvesties skyrius. Šiame pavyzdiniame išvestyje užklausto el. pašto adreso SMTP serveris yra eilutės pabaigoje – mail.vivaldi.net. . Atkreipkite dėmesį, kad taškas gale yra įtrauktas.

;; ANSWER SECTION:
vivaldi.net.        300 IN  MX  10 mail.vivaldi.net.

4 veiksmas: įdiekite OSSEC

Norėdami įdiegti OSSEC, pirmiausia turite išpakuoti tarball, o tai darote įvesdami:

tar xf ossec-hids-2.8.2.tar.gz

Jis bus išpakuotas į katalogą, kuriame bus nurodytas programos pavadinimas ir versija. Keisti arba cdį jį. Šiam straipsniui įdiegtoje OSSEC 2.8.2 versijoje yra nedidelė klaida, kurią reikia pataisyti prieš pradedant diegti. Iki tol, kol bus išleista kita stabili versija, kuri turėtų būti OSSEC 2.9, tai neturėtų būti reikalinga, nes taisymas jau yra pagrindinėje šakoje. Taisant OSSEC 2.8.2, reikia tik redaguoti vieną failą, kuris yra active-responsekataloge. Failas yra hosts-deny.sh, todėl atidarykite jį naudodami:

nano active-response/hosts-deny.sh

Failo pabaigoje ieškokite šio kodo bloko:

# Deleting from hosts.deny
elif [ "x$" = "xdelete" ]; then
   lock;
   TMP_FILE = `mktemp /var/ossec/ossec-hosts.XXXXXXXXXX`
   if [ "X$" = "X" ]; then
      # Cheap fake tmpfile, but should be harder then no random data
      TMP_FILE = "/var/ossec/ossec-hosts.`cat /dev/urandom | tr -dc 'a-zA-Z0-9' | fold -w 32 | head -1 `"
   fi

Eilutėse , kurios prasideda TMP_FILE , ištrinkite tarpus aplink ženklą = . Pašalinus tarpus, ta failo dalis turi būti tokia, kaip parodyta toliau pateiktame kodo bloke. Išsaugokite ir uždarykite failą.

# Deleting from hosts.deny
elif [ "x$" = "xdelete" ]; then
   lock;
   TMP_FILE=`mktemp /var/ossec/ossec-hosts.XXXXXXXXXX`
   if [ "X$" = "X" ]; then
      # Cheap fake tmpfile, but should be harder then no random data
      TMP_FILE="/var/ossec/ossec-hosts.`cat /dev/urandom | tr -dc 'a-zA-Z0-9' | fold -w 32 | head -1 `"
   fi

Dabar, kai pataisyta, galime pradėti diegimo procesą, kurį atliekate įvesdami:

sudo ./install.sh

Diegimo proceso metu būsite paraginti pateikti tam tikrą įvestį. Daugeliu atvejų jums tereikia paspausti ENTER, kad priimtumėte numatytąjį. Pirmiausia būsite paraginti pasirinkti diegimo kalbą, kuri pagal numatytuosius nustatymus yra anglų (en). Taigi paspauskite ENTER, jei tai jūsų pageidaujama kalba. Kitu atveju įveskite 2 raides iš palaikomų kalbų sąrašo. Po to dar kartą paspauskite ENTER .

Pirmas klausimas paklaus, kokio tipo diegimo norite. Čia įveskite vietinį .

1- What kind of installation do you want (server, agent, local, hybrid or help)? local

Jei norite atsakyti į kitus klausimus, paspauskite ENTER, kad priimtumėte numatytąjį. 3.1 klausimas pareikalaus jūsų el. pašto adreso ir paprašys jūsų SMTP serverio. Norėdami atsakyti į šį klausimą, įveskite galiojantį el. pašto adresą ir SMTP serverį, kurį nustatėte atlikdami 3 veiksmą.

3- Configuring the OSSEC HIDS.

   3.1- Do you want e-mail notification? (y/n) [y]: 
      - What's your e-mail address? [email protected]
      - What's your SMTP server ip/host?

Jei diegimas sėkmingas, turėtumėte pamatyti šią išvestį:

- Configuration finished properly.

...

    More information can be found at http://www.ossec.net

    ---  Press ENTER to finish (maybe more information below). ---

Norėdami baigti diegimą, paspauskite ENTER .

5 veiksmas: paleiskite OSSEC

OSSEC buvo įdiegtas, bet nepaleistas. Norėdami jį pradėti, pirmiausia perjunkite į šakninę paskyrą.

sudo su

Tada pradėkite jį išleisdami šią komandą.

/var/ossec/bin/ossec-control start

Po to patikrinkite gautuosius. Turėtų būti perspėjimas iš OSSEC, pranešantis, kad jis pradėtas. Turėdami tai, dabar žinote, kad OSSEC yra įdiegtas ir prireikus siųs įspėjimus.

6 veiksmas: tinkinkite OSSEC

Numatytoji OSSEC konfigūracija veikia gerai, tačiau yra nustatymų, kuriuos galite koreguoti, kad jis geriau apsaugotų jūsų serverį. Pirmasis tinkintinas failas yra pagrindinis konfigūracijos failas - ossec.conf, kurį rasite /var/ossec/etckataloge. Atidarykite failą:

nano /var/ossec/etc/ossec.conf

Pirmiausia reikia patikrinti el. pašto nustatymą, kurį rasite bendrojoje failo skiltyje:

<global>
   <email_notification>yes</email_notification>
   <email_to>[email protected]</email_to>
   <smtp_server>mail.vivaldi.net.</smtp_server>
   <email_from>[email protected]</email_from>
</global>

Įsitikinkite, kad email_from adresas yra galiojantis el. Kitu atveju kai kurių el. pašto paslaugų teikėjų SMTP serveriai perspėjimus iš OSSEC pažymės kaip šlamštą. Jei serverio FQDN nenustatytas, el. laiško domeno dalis nustatomas į serverio pagrindinio kompiuterio pavadinimą, todėl tai yra nustatymas, kad tikrai norite turėti galiojantį el. pašto adresą.

Kitas parametras, kurį norite tinkinti, ypač testuojant sistemą, yra OSSEC auditų dažnis. Šis nustatymas yra syscheck skiltyje ir pagal numatytuosius nustatymus vykdomas kas 22 valandas. Norėdami išbandyti OSSEC įspėjimo funkcijas, galbūt norėsite nustatyti mažesnę vertę, bet vėliau iš naujo nustatyti numatytąją vertę.

<syscheck>
   <!-- Frequency that syscheck is executed - default to every 22 hours -->
   <frequency>79200</frequency>

Pagal numatytuosius nustatymus OSSEC neįspėja, kai į serverį įtraukiamas naujas failas. Norėdami tai pakeisti, pridėkite naują žymą tiesiai po žyma < dažnis > . Kai baigsite, skyriuje dabar turėtų būti:

<syscheck>
   <!-- Frequency that syscheck is executed - default to every 22 hours -->
   <frequency>79200</frequency>

   <alert_new_files>yes</alert_new_files>

Paskutinis nustatymas, kurį verta pakeisti, yra katalogų, kuriuos OSSEC turėtų patikrinti, sąraše. Juos rasite iškart po ankstesnio nustatymo. Pagal numatytuosius nustatymus katalogai rodomi taip:

<!-- Directories to check  (perform all possible verifications) -->
   <directories check_all="yes">/etc,/usr/bin,/usr/sbin</directories>
   <directories check_all="yes">/bin,/sbin</directories>

Pakeiskite abi eilutes, kad OSSEC ataskaitos pakeitimai būtų atliekami realiuoju laiku. Baigę jie turėtų perskaityti:

<directories report_changes="yes" realtime="yes" check_all="yes">/etc,/usr/bin,/usr/sbin</directories>
<directories report_changes="yes" realtime="yes" check_all="yes">/bin,/sbin</directories>

Išsaugokite ir uždarykite failą.

Kitas failas, mes turime pakeisti tai local_rules.xmlį /var/ossec/ruleskatalogą. Taigi cdį tą katalogą:

cd /var/ossec/rules

Tame kataloge yra OSSEC taisyklių failai, kurių nė vienas neturėtų būti pakeistas, išskyrus local_rules.xmlfailą. Tame faile pridedame pasirinktines taisykles. Taisyklė, kurią turime pridėti, yra ta, kuri suaktyvinama, kai pridedamas naujas failas. Ši taisyklė, pažymėta numeriu 554 , pagal numatytuosius nustatymus nesukelia įspėjimo. Taip yra todėl, kad OSSEC nesiunčia įspėjimų, kai suveikia taisyklė, kurios lygis nustatytas į nulį.

Štai kaip pagal numatytuosius nustatymus atrodo taisyklė 554.

 <rule id="554" level="0">
    <category>ossec</category>
    <decoded_as>syscheck_new_entry</decoded_as>
    <description>File added to the system.</description>
    <group>syscheck,</group>
 </rule>

Į local_rules.xmlfailą turime įtraukti pakeistą šios taisyklės versiją . Ši modifikuota versija pateikta toliau esančiame kodo bloke. Nukopijuokite ir pridėkite failo apačioje prieš pat uždarymo žymą.

 <rule id="554" level="7" overwrite="yes">
    <category>ossec</category>
    <decoded_as>syscheck_new_entry</decoded_as>
    <description>File added to the system.</description>
    <group>syscheck,</group>
 </rule>

Išsaugokite ir uždarykite failą, tada iš naujo paleiskite OSSEC.

/var/ossec/bin/ossec-control restart

Daugiau informacijos

OSSEC yra labai galinga programinė įranga, todėl šiame straipsnyje buvo aptariami pagrindai. Daugiau tinkinimo nustatymų rasite oficialioje dokumentacijoje .