Slik installerer du OSSEC HIDS på en CentOS 7-server

Introduksjon

OSSEC er et åpen kildekode, vertsbasert inntrengningsdeteksjonssystem (HIDS) som utfører logganalyse, integritetskontroll, Windows-registerovervåking, rootkit-deteksjon, tidsbasert varsling og aktiv respons. Det er en må-ha sikkerhetsapplikasjon på enhver server.

OSSEC kan installeres for å overvåke bare serveren den er installert på (en lokal installasjon), eller installeres som en server for å overvåke en eller flere agenter. I denne opplæringen lærer du hvordan du installerer OSSEC for å overvåke CentOS 7 som en lokal installasjon.

Forutsetninger

• En CentOS 7-server fortrinnsvis oppsett med SSH-nøkler og tilpasset ved bruk av innledende oppsett av en CentOS 7-server . Logg på serveren med standard brukerkonto. Anta at brukernavnet er joe .

  ssh -l joe server-ip-address
  

Trinn 1: Installer nødvendige pakker

OSSEC vil bli kompilert fra kilden, så du trenger en kompilator for å gjøre det mulig. Det krever også en ekstra pakke for varsler. Installer dem ved å skrive:

sudo yum install -y gcc inotify-tools

Trinn 2 - Last ned og bekreft OSSEC

OSSEC leveres som en komprimert tarball som må lastes ned fra prosjektets nettside. Kontrollsumfilen, som skal brukes til å bekrefte at tarballen ikke er tuklet med, må også lastes ned. På tidspunktet for denne publikasjonen er den siste versjonen av OSSEC 2.8.2. Sjekk prosjektets nedlastingsside og last ned den nyeste versjonen.

For å laste ned tarballen, skriv:

wget -U ossec http://www.ossec.net/files/ossec-hids-2.8.2.tar.gz

For kontrollsumfilen, skriv inn:

wget -U ossec http://www.ossec.net/files/ossec-hids-2.8.2-checksum.txt

Når begge filene er lastet ned, er neste trinn å verifisere MD5- og SHA1-sjekksummene til tarballen. For MD5sum, skriv inn:

md5sum -c ossec-hids-2.8.2-checksum.txt

Forventet utgang er:

ossec-hids-2.8.2.tar.gz: OK
md5sum: WARNING: 1 line is improperly formatted

For å bekrefte SHA1-hashen, skriv inn:

sha1sum -c ossec-hids-2.8.2-checksum.txt

Og den forventede produksjonen er:

ossec-hids-2.8.2.tar.gz: OK
sha1sum: WARNING: 1 line is improperly formatted

Trinn 3: Bestem SMTP-serveren din

Under OSSECs installasjonsprosess vil du bli bedt om å spesifisere en SMTP-server for e-postadressen din. Hvis du ikke vet hva det er, er den enkleste metoden å finne ut ved å gi denne kommandoen fra din lokale maskin (erstatt den falske e-postadressen med din ekte):

dig -t mx [email protected]

Den relevante delen i utgangen er vist i denne kodeblokken. I denne eksempelutgangen er SMTP-serveren for den forespurte e-postadressen på slutten av linjen - mail.vivaldi.net. . Merk at prikken på slutten er inkludert.

;; ANSWER SECTION:
vivaldi.net.        300 IN  MX  10 mail.vivaldi.net.

Trinn 4: Installer OSSEC

For å installere OSSEC må du først pakke ut tarballen, noe du gjør ved å skrive:

tar xf ossec-hids-2.8.2.tar.gz

Den vil bli pakket ut i en katalog som bærer navnet og versjonen av programmet. Endre eller cdinn i det. OSSEC 2.8.2, versjonen installert for denne artikkelen, har en mindre feil som må fikses før du starter installasjonen. Innen den neste stabile versjonen er utgitt, som skal være OSSEC 2.9, burde dette ikke være nødvendig, fordi rettelsen allerede er i mastergrenen. Å fikse det for OSSEC 2.8.2 betyr bare å redigere én fil, som finnes i active-responsekatalogen. Filen er hosts-deny.sh, så åpne den med:

nano active-response/hosts-deny.sh

Se etter denne kodeblokken mot slutten av filen:

# Deleting from hosts.deny
elif [ "x$" = "xdelete" ]; then
   lock;
   TMP_FILE = `mktemp /var/ossec/ossec-hosts.XXXXXXXXXX`
   if [ "X$" = "X" ]; then
      # Cheap fake tmpfile, but should be harder then no random data
      TMP_FILE = "/var/ossec/ossec-hosts.`cat /dev/urandom | tr -dc 'a-zA-Z0-9' | fold -w 32 | head -1 `"
   fi

På linjene som starter med TMP_FILE , slett mellomrom rundt = -tegnet. Etter å ha fjernet mellomrommene, skal den delen av filen være som vist i kodeblokken nedenfor. Lagre og lukk filen.

# Deleting from hosts.deny
elif [ "x$" = "xdelete" ]; then
   lock;
   TMP_FILE=`mktemp /var/ossec/ossec-hosts.XXXXXXXXXX`
   if [ "X$" = "X" ]; then
      # Cheap fake tmpfile, but should be harder then no random data
      TMP_FILE="/var/ossec/ossec-hosts.`cat /dev/urandom | tr -dc 'a-zA-Z0-9' | fold -w 32 | head -1 `"
   fi

Nå som reparasjonen er inne, kan vi starte installasjonsprosessen, som du gjør ved å skrive:

sudo ./install.sh

Gjennom installasjonsprosessen vil du bli bedt om å gi noen innspill. I de fleste tilfeller trenger du bare å trykke ENTER for å godta standarden. Først vil du bli bedt om å velge installasjonsspråket, som som standard er engelsk (en). Så trykk ENTER hvis det er ditt foretrukne språk. Ellers skriver du inn de 2 bokstavene fra listen over støttede språk. Trykk deretter ENTER igjen.

Det første spørsmålet vil spørre deg hvilken type installasjon du ønsker. Her skriver du inn lokal .

1- What kind of installation do you want (server, agent, local, hybrid or help)? local

For påfølgende spørsmål, trykk ENTER for å godta standarden. Spørsmål 3.1 vil be deg om e-postadressen din og deretter be om SMTP-serveren din. For det spørsmålet, skriv inn en gyldig e-postadresse og SMTP-serveren du bestemte i trinn 3.

3- Configuring the OSSEC HIDS.

   3.1- Do you want e-mail notification? (y/n) [y]: 
      - What's your e-mail address? [email protected]
      - What's your SMTP server ip/host?

Hvis installasjonen er vellykket, bør du se denne utgangen:

- Configuration finished properly.

...

    More information can be found at http://www.ossec.net

    ---  Press ENTER to finish (maybe more information below). ---

Trykk ENTER for å fullføre installasjonen.

Trinn 5: Start OSSEC

OSSEC er installert, men ikke startet. For å starte den, bytt først til root-kontoen.

sudo su

Deretter starter du den ved å gi følgende kommando.

/var/ossec/bin/ossec-control start

Etterpå, sjekk innboksen din. Det skal være et varsel fra OSSEC som informerer deg om at det er startet. Med det vet du nå at OSSEC er installert og vil sende varsler etter behov.

Trinn 6: Tilpass OSSEC

Standardkonfigurasjonen til OSSEC fungerer fint, men det er innstillinger du kan justere for å gjøre den beskytter serveren din bedre. Den første filen som skal tilpasses er hovedkonfigurasjonsfilen - ossec.conf, som du finner i /var/ossec/etckatalogen. Åpne filen:

nano /var/ossec/etc/ossec.conf

Det første elementet som skal bekreftes er en e-postinnstilling, som du finner i den globale delen av filen:

<global>
   <email_notification>yes</email_notification>
   <email_to>[email protected]</email_to>
   <smtp_server>mail.vivaldi.net.</smtp_server>
   <email_from>[email protected]</email_from>
</global>

Sørg for at email_from- adressen er en gyldig e-post. Ellers vil noen e-postleverandørs SMTP-servere merke varsler fra OSSEC som spam. Hvis FQDN til serveren ikke er angitt, er domenedelen av e-posten satt til vertsnavnet til serveren, så dette er en innstilling som du virkelig vil ha en gyldig e-postadresse.

En annen innstilling du ønsker å tilpasse, spesielt mens du tester systemet, er hvor ofte OSSEC kjører revisjonene sine. Den innstillingen er i syscheck- delen, og som standard kjøres den hver 22. time. For å teste OSSECs varslingsfunksjoner, vil du kanskje sette den til en lavere verdi, men tilbakestille den til standard etterpå.

<syscheck>
   <!-- Frequency that syscheck is executed - default to every 22 hours -->
   <frequency>79200</frequency>

Som standard varsler ikke OSSEC når en ny fil legges til serveren. For å endre det, legg til en ny tag rett under <frekvens> -taggen. Når den er fullført, skal delen nå inneholde:

<syscheck>
   <!-- Frequency that syscheck is executed - default to every 22 hours -->
   <frequency>79200</frequency>

   <alert_new_files>yes</alert_new_files>

En siste innstilling som er god å endre er i listen til kataloger som OSSEC bør sjekke. Du finner dem rett etter forrige innstilling. Som standard vises katalogene som:

<!-- Directories to check  (perform all possible verifications) -->
   <directories check_all="yes">/etc,/usr/bin,/usr/sbin</directories>
   <directories check_all="yes">/bin,/sbin</directories>

Endre begge linjene for å gjøre OSSEC-rapportendringer i sanntid. Når de er ferdige, bør de lese:

<directories report_changes="yes" realtime="yes" check_all="yes">/etc,/usr/bin,/usr/sbin</directories>
<directories report_changes="yes" realtime="yes" check_all="yes">/bin,/sbin</directories>

Lagre og lukk filen.

Den neste filen som vi må endre er local_rules.xmli /var/ossec/ruleskatalogen. Så cdinn i den katalogen:

cd /var/ossec/rules

Den katalogen inneholder OSSECs regelfiler, ingen av dem skal endres, bortsett fra local_rules.xmlfilen. I den filen legger vi til egendefinerte regler. Regelen vi må legge til er den som utløses når en ny fil legges til. Denne regelen, nummerert 554 , utløser ikke et varsel som standard. Det er fordi OSSEC ikke sender ut varsler når en regel med nivå satt til null utløses.

Slik ser regel 554 ut som standard.

 <rule id="554" level="0">
    <category>ossec</category>
    <decoded_as>syscheck_new_entry</decoded_as>
    <description>File added to the system.</description>
    <group>syscheck,</group>
 </rule>

Vi må legge til en modifisert versjon av den regelen i local_rules.xmlfilen. Den modifiserte versjonen er gitt i kodeblokken nedenfor. Kopier og legg den til nederst i filen rett før den avsluttende taggen.

 <rule id="554" level="7" overwrite="yes">
    <category>ossec</category>
    <decoded_as>syscheck_new_entry</decoded_as>
    <description>File added to the system.</description>
    <group>syscheck,</group>
 </rule>

Lagre og lukk filen, og start OSSEC på nytt.

/var/ossec/bin/ossec-control restart

Mer informasjon

OSSEC er et veldig kraftig stykke programvare, og denne artikkelen berørte bare det grunnleggende. Du finner flere tilpasningsinnstillinger i den offisielle dokumentasjonen .