OSSEC er et åpen kildekode, vertsbasert inntrengningsdeteksjonssystem (HIDS) som utfører logganalyse, integritetskontroll, Windows-registerovervåking, rootkit-deteksjon, tidsbasert varsling og aktiv respons. Det er en må-ha sikkerhetsapplikasjon på enhver server.
OSSEC kan installeres for å overvåke bare serveren den er installert på (en lokal installasjon), eller installeres som en server for å overvåke en eller flere agenter. I denne opplæringen lærer du hvordan du installerer OSSEC for å overvåke CentOS 7 som en lokal installasjon.
En CentOS 7-server fortrinnsvis oppsett med SSH-nøkler og tilpasset ved bruk av innledende oppsett av en CentOS 7-server . Logg på serveren med standard brukerkonto. Anta at brukernavnet er joe .
ssh -l joe server-ip-address
OSSEC vil bli kompilert fra kilden, så du trenger en kompilator for å gjøre det mulig. Det krever også en ekstra pakke for varsler. Installer dem ved å skrive:
sudo yum install -y gcc inotify-tools
OSSEC leveres som en komprimert tarball som må lastes ned fra prosjektets nettside. Kontrollsumfilen, som skal brukes til å bekrefte at tarballen ikke er tuklet med, må også lastes ned. På tidspunktet for denne publikasjonen er den siste versjonen av OSSEC 2.8.2. Sjekk prosjektets nedlastingsside og last ned den nyeste versjonen.
For å laste ned tarballen, skriv:
wget -U ossec http://www.ossec.net/files/ossec-hids-2.8.2.tar.gz
For kontrollsumfilen, skriv inn:
wget -U ossec http://www.ossec.net/files/ossec-hids-2.8.2-checksum.txt
Når begge filene er lastet ned, er neste trinn å verifisere MD5- og SHA1-sjekksummene til tarballen. For MD5sum, skriv inn:
md5sum -c ossec-hids-2.8.2-checksum.txt
Forventet utgang er:
ossec-hids-2.8.2.tar.gz: OK
md5sum: WARNING: 1 line is improperly formatted
For å bekrefte SHA1-hashen, skriv inn:
sha1sum -c ossec-hids-2.8.2-checksum.txt
Og den forventede produksjonen er:
ossec-hids-2.8.2.tar.gz: OK
sha1sum: WARNING: 1 line is improperly formatted
Under OSSECs installasjonsprosess vil du bli bedt om å spesifisere en SMTP-server for e-postadressen din. Hvis du ikke vet hva det er, er den enkleste metoden å finne ut ved å gi denne kommandoen fra din lokale maskin (erstatt den falske e-postadressen med din ekte):
dig -t mx you@example.com
Den relevante delen i utgangen er vist i denne kodeblokken. I denne eksempelutgangen er SMTP-serveren for den forespurte e-postadressen på slutten av linjen - mail.vivaldi.net. . Merk at prikken på slutten er inkludert.
;; ANSWER SECTION:
vivaldi.net. 300 IN MX 10 mail.vivaldi.net.
For å installere OSSEC må du først pakke ut tarballen, noe du gjør ved å skrive:
tar xf ossec-hids-2.8.2.tar.gz
Den vil bli pakket ut i en katalog som bærer navnet og versjonen av programmet. Endre eller cdinn i det. OSSEC 2.8.2, versjonen installert for denne artikkelen, har en mindre feil som må fikses før du starter installasjonen. Innen den neste stabile versjonen er utgitt, som skal være OSSEC 2.9, burde dette ikke være nødvendig, fordi rettelsen allerede er i mastergrenen. Å fikse det for OSSEC 2.8.2 betyr bare å redigere én fil, som finnes i active-responsekatalogen. Filen er hosts-deny.sh, så åpne den med:
nano active-response/hosts-deny.sh
Se etter denne kodeblokken mot slutten av filen:
# Deleting from hosts.deny
elif [ "x$" = "xdelete" ]; then
lock;
TMP_FILE = `mktemp /var/ossec/ossec-hosts.XXXXXXXXXX`
if [ "X$" = "X" ]; then
# Cheap fake tmpfile, but should be harder then no random data
TMP_FILE = "/var/ossec/ossec-hosts.`cat /dev/urandom | tr -dc 'a-zA-Z0-9' | fold -w 32 | head -1 `"
fi
På linjene som starter med TMP_FILE , slett mellomrom rundt = -tegnet. Etter å ha fjernet mellomrommene, skal den delen av filen være som vist i kodeblokken nedenfor. Lagre og lukk filen.
# Deleting from hosts.deny
elif [ "x$" = "xdelete" ]; then
lock;
TMP_FILE=`mktemp /var/ossec/ossec-hosts.XXXXXXXXXX`
if [ "X$" = "X" ]; then
# Cheap fake tmpfile, but should be harder then no random data
TMP_FILE="/var/ossec/ossec-hosts.`cat /dev/urandom | tr -dc 'a-zA-Z0-9' | fold -w 32 | head -1 `"
fi
Nå som reparasjonen er inne, kan vi starte installasjonsprosessen, som du gjør ved å skrive:
sudo ./install.sh
Gjennom installasjonsprosessen vil du bli bedt om å gi noen innspill. I de fleste tilfeller trenger du bare å trykke ENTER for å godta standarden. Først vil du bli bedt om å velge installasjonsspråket, som som standard er engelsk (en). Så trykk ENTER hvis det er ditt foretrukne språk. Ellers skriver du inn de 2 bokstavene fra listen over støttede språk. Trykk deretter ENTER igjen.
Det første spørsmålet vil spørre deg hvilken type installasjon du ønsker. Her skriver du inn lokal .
1- What kind of installation do you want (server, agent, local, hybrid or help)? local
For påfølgende spørsmål, trykk ENTER for å godta standarden. Spørsmål 3.1 vil be deg om e-postadressen din og deretter be om SMTP-serveren din. For det spørsmålet, skriv inn en gyldig e-postadresse og SMTP-serveren du bestemte i trinn 3.
3- Configuring the OSSEC HIDS.
3.1- Do you want e-mail notification? (y/n) [y]:
- What's your e-mail address? you@example.com
- What's your SMTP server ip/host?
Hvis installasjonen er vellykket, bør du se denne utgangen:
- Configuration finished properly.
...
More information can be found at http://www.ossec.net
--- Press ENTER to finish (maybe more information below). ---
Trykk ENTER for å fullføre installasjonen.
OSSEC er installert, men ikke startet. For å starte den, bytt først til root-kontoen.
sudo su
Deretter starter du den ved å gi følgende kommando.
/var/ossec/bin/ossec-control start
Etterpå, sjekk innboksen din. Det skal være et varsel fra OSSEC som informerer deg om at det er startet. Med det vet du nå at OSSEC er installert og vil sende varsler etter behov.
Standardkonfigurasjonen til OSSEC fungerer fint, men det er innstillinger du kan justere for å gjøre den beskytter serveren din bedre. Den første filen som skal tilpasses er hovedkonfigurasjonsfilen - ossec.conf, som du finner i /var/ossec/etckatalogen. Åpne filen:
nano /var/ossec/etc/ossec.conf
Det første elementet som skal bekreftes er en e-postinnstilling, som du finner i den globale delen av filen:
<global>
<email_notification>yes</email_notification>
<email_to>finid@vivaldi.net</email_to>
<smtp_server>mail.vivaldi.net.</smtp_server>
<email_from>ossecm@vultr.guest</email_from>
</global>
Sørg for at email_from- adressen er en gyldig e-post. Ellers vil noen e-postleverandørs SMTP-servere merke varsler fra OSSEC som spam. Hvis FQDN til serveren ikke er angitt, er domenedelen av e-posten satt til vertsnavnet til serveren, så dette er en innstilling som du virkelig vil ha en gyldig e-postadresse.
En annen innstilling du ønsker å tilpasse, spesielt mens du tester systemet, er hvor ofte OSSEC kjører revisjonene sine. Den innstillingen er i syscheck- delen, og som standard kjøres den hver 22. time. For å teste OSSECs varslingsfunksjoner, vil du kanskje sette den til en lavere verdi, men tilbakestille den til standard etterpå.
<syscheck>
<!-- Frequency that syscheck is executed - default to every 22 hours -->
<frequency>79200</frequency>
Som standard varsler ikke OSSEC når en ny fil legges til serveren. For å endre det, legg til en ny tag rett under <frekvens> -taggen. Når den er fullført, skal delen nå inneholde:
<syscheck>
<!-- Frequency that syscheck is executed - default to every 22 hours -->
<frequency>79200</frequency>
<alert_new_files>yes</alert_new_files>
En siste innstilling som er god å endre er i listen til kataloger som OSSEC bør sjekke. Du finner dem rett etter forrige innstilling. Som standard vises katalogene som:
<!-- Directories to check (perform all possible verifications) -->
<directories check_all="yes">/etc,/usr/bin,/usr/sbin</directories>
<directories check_all="yes">/bin,/sbin</directories>
Endre begge linjene for å gjøre OSSEC-rapportendringer i sanntid. Når de er ferdige, bør de lese:
<directories report_changes="yes" realtime="yes" check_all="yes">/etc,/usr/bin,/usr/sbin</directories>
<directories report_changes="yes" realtime="yes" check_all="yes">/bin,/sbin</directories>
Lagre og lukk filen.
Den neste filen som vi må endre er local_rules.xmli /var/ossec/ruleskatalogen. Så cdinn i den katalogen:
cd /var/ossec/rules
Den katalogen inneholder OSSECs regelfiler, ingen av dem skal endres, bortsett fra local_rules.xmlfilen. I den filen legger vi til egendefinerte regler. Regelen vi må legge til er den som utløses når en ny fil legges til. Denne regelen, nummerert 554 , utløser ikke et varsel som standard. Det er fordi OSSEC ikke sender ut varsler når en regel med nivå satt til null utløses.
Slik ser regel 554 ut som standard.
<rule id="554" level="0">
<category>ossec</category>
<decoded_as>syscheck_new_entry</decoded_as>
<description>File added to the system.</description>
<group>syscheck,</group>
</rule>
Vi må legge til en modifisert versjon av den regelen i local_rules.xmlfilen. Den modifiserte versjonen er gitt i kodeblokken nedenfor. Kopier og legg den til nederst i filen rett før den avsluttende taggen.
<rule id="554" level="7" overwrite="yes">
<category>ossec</category>
<decoded_as>syscheck_new_entry</decoded_as>
<description>File added to the system.</description>
<group>syscheck,</group>
</rule>
Lagre og lukk filen, og start OSSEC på nytt.
/var/ossec/bin/ossec-control restart
OSSEC er et veldig kraftig stykke programvare, og denne artikkelen berørte bare det grunnleggende. Du finner flere tilpasningsinnstillinger i den offisielle dokumentasjonen .
Kunstig intelligens er ikke i fremtiden, det er her akkurat i nåtiden I denne bloggen Les hvordan kunstig intelligens-applikasjoner har påvirket ulike sektorer.
Er du også et offer for DDOS-angrep og forvirret over forebyggingsmetodene? Les denne artikkelen for å løse spørsmålene dine.
Du har kanskje hørt at hackere tjener mye penger, men har du noen gang lurt på hvordan tjener de den slags penger? la oss diskutere.
Vil du se revolusjonerende oppfinnelser fra Google og hvordan disse oppfinnelsene forandret livet til alle mennesker i dag? Les deretter til bloggen for å se oppfinnelser fra Google.
Konseptet med selvkjørende biler som skal ut på veiene ved hjelp av kunstig intelligens er en drøm vi har hatt en stund nå. Men til tross for flere løfter, er de ingen steder å se. Les denne bloggen for å lære mer...
Ettersom vitenskapen utvikler seg raskt og tar over mye av innsatsen vår, øker også risikoen for å utsette oss for en uforklarlig singularitet. Les hva singularitet kan bety for oss.
Les bloggen for å kjenne ulike lag i Big Data Architecture og deres funksjoner på den enkleste måten.
Lagringsmetodene for dataene har vært i utvikling kan være siden fødselen av dataene. Denne bloggen dekker utviklingen av datalagring på grunnlag av en infografikk.
I denne digitaldrevne verden har smarthusenheter blitt en avgjørende del av livet. Her er noen fantastiske fordeler med smarthusenheter om hvordan de gjør livet vårt verdt å leve og enklere.
Nylig lanserte Apple macOS Catalina 10.15.4 en tilleggsoppdatering for å fikse problemer, men det ser ut til at oppdateringen forårsaker flere problemer som fører til muring av mac-maskiner. Les denne artikkelen for å lære mer
