Kā instalēt OSSEC HIDS CentOS 7 serverī

Ievads

OSSEC ir atvērtā pirmkoda, uz resursdatora balstīta ielaušanās noteikšanas sistēma (HIDS), kas veic žurnālu analīzi, integritātes pārbaudi, Windows reģistra uzraudzību, rootkit noteikšanu, uz laiku balstītus brīdinājumus un aktīvu atbildi. Tā ir obligāta drošības lietojumprogramma jebkurā serverī.

OSSEC var instalēt, lai uzraudzītu tikai serveri, kurā tas ir instalēts (lokālā instalācija), vai instalēt kā serveri, lai uzraudzītu vienu vai vairākus aģentus. Šajā apmācībā jūs uzzināsit, kā instalēt OSSEC, lai uzraudzītu CentOS 7 kā vietējo instalāciju.

Priekšnoteikumi

• CentOS 7 serveri vēlams iestatīt ar SSH atslēgām un pielāgot, izmantojot CentOS 7 servera sākotnējo iestatīšanu . Piesakieties serverī, izmantojot standarta lietotāja kontu. Pieņemsim, ka lietotājvārds ir joe .

  ssh -l joe server-ip-address
  

1. darbība: instalējiet nepieciešamās pakotnes

OSSEC tiks apkopots no avota, tāpēc jums ir nepieciešams kompilators, lai tas būtu iespējams. Tam ir nepieciešama arī papildu paziņojumu pakotne. Instalējiet tos, ierakstot:

sudo yum install -y gcc inotify-tools

2. darbība — lejupielādējiet un pārbaudiet OSSEC

OSSEC tiek piegādāts kā saspiests tarbols, kas ir jālejupielādē no projekta vietnes. Ir arī jālejupielādē kontrolsummas fails, kas tiks izmantots, lai pārbaudītu, vai tarbols nav bojāts. Šīs publikācijas laikā jaunākā OSSEC versija ir 2.8.2. Pārbaudiet projekta lejupielādes lapu un lejupielādējiet jaunāko versiju.

Lai lejupielādētu tarbolu, ierakstiet:

wget -U ossec http://www.ossec.net/files/ossec-hids-2.8.2.tar.gz

Kontrolsummas failam ierakstiet:

wget -U ossec http://www.ossec.net/files/ossec-hids-2.8.2-checksum.txt

Kad abi faili ir lejupielādēti, nākamais solis ir pārbaudīt tarbola MD5 un SHA1 kontrolsummas. Lai iegūtu MD5 summu, ierakstiet:

md5sum -c ossec-hids-2.8.2-checksum.txt

Paredzamā produkcija ir:

ossec-hids-2.8.2.tar.gz: OK
md5sum: WARNING: 1 line is improperly formatted

Lai pārbaudītu SHA1 jaucējkodu, ierakstiet:

sha1sum -c ossec-hids-2.8.2-checksum.txt

Un tā paredzamā produkcija ir:

ossec-hids-2.8.2.tar.gz: OK
sha1sum: WARNING: 1 line is improperly formatted

3. darbība: nosakiet savu SMTP serveri

OSSEC instalēšanas procesa laikā jūsu e-pasta adresei tiks piedāvāts norādīt SMTP serveri. Ja nezināt, kas tas ir, vienkāršākais veids, kā noskaidrot, ir izdot šo komandu no vietējās mašīnas (aizstāt viltoto e-pasta adresi ar īsto):

dig -t mx [email protected]

Attiecīgā izvada sadaļa ir parādīta šajā koda blokā. Šajā izvades paraugā vaicātās e-pasta adreses SMTP serveris atrodas rindas beigās - mail.vivaldi.net. . Ņemiet vērā, ka punkts beigās ir iekļauts.

;; ANSWER SECTION:
vivaldi.net.        300 IN  MX  10 mail.vivaldi.net.

4. darbība. Instalējiet OSSEC

Lai instalētu OSSEC, vispirms ir jāizpako tarbols, kas jādara, ierakstot:

tar xf ossec-hids-2.8.2.tar.gz

Tas tiks izsaiņots direktorijā, kurā būs programmas nosaukums un versija. Mainīt vai cdtajā. Šim rakstam instalētajai versijai OSSEC 2.8.2 ir neliela kļūda, kas ir jānovērš pirms instalēšanas. Līdz nākošās stabilās versijas izlaišanai, kurai vajadzētu būt OSSEC 2.9, tam nevajadzētu būt nepieciešamam, jo ​​labojums jau atrodas galvenajā zarā. Lai to labotu OSSEC 2.8.2, tas nozīmē tikai viena faila rediģēšanu, kas atrodas active-responsedirektorijā. Fails ir hosts-deny.sh, tāpēc atveriet to, izmantojot:

nano active-response/hosts-deny.sh

Faila beigās meklējiet šo koda bloku:

# Deleting from hosts.deny
elif [ "x$" = "xdelete" ]; then
   lock;
   TMP_FILE = `mktemp /var/ossec/ossec-hosts.XXXXXXXXXX`
   if [ "X$" = "X" ]; then
      # Cheap fake tmpfile, but should be harder then no random data
      TMP_FILE = "/var/ossec/ossec-hosts.`cat /dev/urandom | tr -dc 'a-zA-Z0-9' | fold -w 32 | head -1 `"
   fi

Rindās , kas sākas ar TMP_FILE , izdzēsiet atstarpes ap zīmi = . Pēc atstarpju noņemšanas šai faila daļai jābūt tādai, kā parādīts tālāk esošajā koda blokā. Saglabājiet un aizveriet failu.

# Deleting from hosts.deny
elif [ "x$" = "xdelete" ]; then
   lock;
   TMP_FILE=`mktemp /var/ossec/ossec-hosts.XXXXXXXXXX`
   if [ "X$" = "X" ]; then
      # Cheap fake tmpfile, but should be harder then no random data
      TMP_FILE="/var/ossec/ossec-hosts.`cat /dev/urandom | tr -dc 'a-zA-Z0-9' | fold -w 32 | head -1 `"
   fi

Tagad, kad labojums ir veikts, mēs varam sākt instalēšanas procesu, kas jums jādara, ierakstot:

sudo ./install.sh

Visā instalēšanas procesā jums tiks piedāvāts ievadīt kādu informāciju. Vairumā gadījumu jums ir tikai jānospiež ENTER, lai pieņemtu noklusējuma iestatījumu. Vispirms jums tiks piedāvāts izvēlēties instalēšanas valodu, kas pēc noklusējuma ir angļu (en). Tāpēc nospiediet ENTER, ja tā ir jūsu vēlamā valoda. Pretējā gadījumā ievadiet divus burtus no atbalstīto valodu saraksta. Pēc tam vēlreiz nospiediet ENTER .

Pirmais jautājums jautās, kāda veida instalāciju vēlaties. Šeit ievadiet vietējo .

1- What kind of installation do you want (server, agent, local, hybrid or help)? local

Turpmākajiem jautājumiem nospiediet ENTER, lai pieņemtu noklusējuma iestatījumu. 3.1. jautājumā jums būs jāievada jūsu e-pasta adrese un pēc tam tiks prasīts jūsu SMTP serveris. Šim jautājumam ievadiet derīgu e-pasta adresi un SMTP serveri, ko noteicāt 3. darbībā.

3- Configuring the OSSEC HIDS.

   3.1- Do you want e-mail notification? (y/n) [y]: 
      - What's your e-mail address? [email protected]
      - What's your SMTP server ip/host?

Ja instalēšana ir veiksmīga, jums vajadzētu redzēt šo izvadi:

- Configuration finished properly.

...

    More information can be found at http://www.ossec.net

    ---  Press ENTER to finish (maybe more information below). ---

Nospiediet ENTER, lai pabeigtu instalēšanu.

5. darbība. Sāciet OSSEC

OSSEC ir instalēts, bet nav sākts. Lai to sāktu, vispirms pārslēdzieties uz saknes kontu.

sudo su

Pēc tam sāciet to, izdodot šādu komandu.

/var/ossec/bin/ossec-control start

Pēc tam pārbaudiet savu iesūtni. Ir jābūt brīdinājumam no OSSEC, kas informē, ka tas ir sākts. Tādējādi jūs tagad zināt, ka OSSEC ir instalēts un vajadzības gadījumā sūtīs brīdinājumus.

6. darbība: pielāgojiet OSSEC

OSSEC noklusējuma konfigurācija darbojas labi, taču ir iestatījumi, kurus varat pielāgot, lai tas labāk aizsargātu jūsu serveri. Pirmais pielāgojamais fails ir galvenais konfigurācijas fails - ossec.conf, kas atrodas /var/ossec/etcdirektorijā. Atveriet failu:

nano /var/ossec/etc/ossec.conf

Pirmais vienums, kas jāpārbauda, ​​ir e-pasta iestatījums, kas atrodas faila globālajā sadaļā:

<global>
   <email_notification>yes</email_notification>
   <email_to>[email protected]</email_to>
   <smtp_server>mail.vivaldi.net.</smtp_server>
   <email_from>[email protected]</email_from>
</global>

Pārliecinieties, vai email_from adrese ir derīga e-pasta adrese. Pretējā gadījumā daži e-pasta pakalpojumu sniedzēja SMTP serveri brīdinājumus no OSSEC atzīmēs kā mēstules. Ja servera FQDN nav iestatīts, e-pasta domēna daļa tiek iestatīta uz servera resursdatora nosaukumu, tāpēc šis ir iestatījums, kurā patiešām vēlaties iegūt derīgu e-pasta adresi.

Vēl viens iestatījums, ko vēlaties pielāgot, īpaši sistēmas testēšanas laikā, ir OSSEC auditu veikšanas biežums. Šis iestatījums ir sadaļā sycheck , un pēc noklusējuma tas tiek palaists ik pēc 22 stundām. Lai pārbaudītu OSSEC brīdinājuma funkcijas, iespējams, vēlēsities to iestatīt uz zemāku vērtību, bet pēc tam atiestatīt uz noklusējuma vērtību.

<syscheck>
   <!-- Frequency that syscheck is executed - default to every 22 hours -->
   <frequency>79200</frequency>

Pēc noklusējuma OSSEC nebrīdina, kad serverim tiek pievienots jauns fails. Lai to mainītu, pievienojiet jaunu tagu tieši zem taga < biežums > . Kad sadaļa ir pabeigta, tagad tajā jāiekļauj:

<syscheck>
   <!-- Frequency that syscheck is executed - default to every 22 hours -->
   <frequency>79200</frequency>

   <alert_new_files>yes</alert_new_files>

Pēdējais iestatījums, kas ir labi jāmaina, ir direktoriju sarakstā, kas OSSEC jāpārbauda. Jūs tos atradīsit uzreiz pēc iepriekšējā iestatījuma. Pēc noklusējuma direktoriji tiek rādīti šādi:

<!-- Directories to check  (perform all possible verifications) -->
   <directories check_all="yes">/etc,/usr/bin,/usr/sbin</directories>
   <directories check_all="yes">/bin,/sbin</directories>

Mainiet abas rindiņas, lai OSSEC pārskatā veiktu izmaiņas reāllaikā. Kad tas ir pabeigts, tiem vajadzētu izlasīt:

<directories report_changes="yes" realtime="yes" check_all="yes">/etc,/usr/bin,/usr/sbin</directories>
<directories report_changes="yes" realtime="yes" check_all="yes">/bin,/sbin</directories>

Saglabājiet un aizveriet failu.

Nākamais fails, kas mums būs nepieciešams, lai mainītu, ir local_rules.xmlšajā /var/ossec/rulesdirektorijā. Tātad cdšajā direktorijā:

cd /var/ossec/rules

Šajā direktorijā ir OSSEC noteikumu faili, no kuriem neviens nav jāmaina, izņemot local_rules.xmlfailu. Šajā failā mēs pievienojam pielāgotus noteikumus. Noteikums, kas mums jāpievieno, ir tāds, kas tiek aktivizēts, kad tiek pievienots jauns fails. Šis noteikums, kura numurs ir 554 , pēc noklusējuma neizraisa brīdinājumu. Tas ir tāpēc, ka OSSEC neizsūta brīdinājumus, kad tiek aktivizēta kārtula, kuras līmenis ir iestatīts uz nulli.

Lūk, kā pēc noklusējuma izskatās noteikums 554.

 <rule id="554" level="0">
    <category>ossec</category>
    <decoded_as>syscheck_new_entry</decoded_as>
    <description>File added to the system.</description>
    <group>syscheck,</group>
 </rule>

Mums local_rules.xmlfailā jāpievieno šī noteikuma modificēta versija . Šī modificētā versija ir norādīta tālāk esošajā koda blokā. Nokopējiet un pievienojiet to faila apakšā tieši pirms beigu taga.

 <rule id="554" level="7" overwrite="yes">
    <category>ossec</category>
    <decoded_as>syscheck_new_entry</decoded_as>
    <description>File added to the system.</description>
    <group>syscheck,</group>
 </rule>

Saglabājiet un aizveriet failu, pēc tam restartējiet OSSEC.

/var/ossec/bin/ossec-control restart

Vairāk informācijas

OSSEC ir ļoti jaudīga programmatūra, un šis raksts tikai pieskārās pamatiem. Vairāk pielāgošanas iestatījumu atradīsit oficiālajā dokumentācijā .