Kako namestiti OSSEC HIDS na strežnik CentOS 7

Uvod

OSSEC je odprtokodni sistem za odkrivanje vdorov, ki temelji na gostitelju (HIDS), ki izvaja analizo dnevnika, preverjanje integritete, spremljanje registra Windows, odkrivanje rootkitov, časovno temeljio opozorilo in aktivni odziv. To je varnostna aplikacija, ki jo morate imeti na katerem koli strežniku.

OSSEC je mogoče namestiti za spremljanje samo strežnika, na katerem je nameščen (lokalna namestitev), ali pa ga namestite kot strežnik za spremljanje enega ali več agentov. V tej vadnici se boste naučili, kako namestiti OSSEC za spremljanje CentOS 7 kot lokalno namestitev.

Predpogoji

• Strežnik CentOS 7 je po možnosti nastavljen s ključi SSH in prilagojen z uporabo začetne nastavitve strežnika CentOS 7 . Prijavite se v strežnik s standardnim uporabniškim računom. Predpostavimo, da je uporabniško ime joe .

  ssh -l joe server-ip-address
  

1. korak: Namestite zahtevane pakete

OSSEC bo preveden iz vira, zato potrebujete prevajalnik, da to omogočite. Potrebuje tudi dodaten paket za obvestila. Namestite jih tako, da vnesete:

sudo yum install -y gcc inotify-tools

2. korak - Prenesite in preverite OSSEC

OSSEC je na voljo kot stisnjena arhivska datoteka, ki jo je treba prenesti s spletne strani projekta. Prenesti je treba tudi datoteko kontrolne vsote, ki bo uporabljena za preverjanje, da tarball ni bil spremenjen. V času te objave je najnovejša različica OSSEC 2.8.2. Preverite stran za prenos projekta in prenesite najnovejšo različico.

Če želite prenesti tarball, vnesite:

wget -U ossec http://www.ossec.net/files/ossec-hids-2.8.2.tar.gz

Za datoteko kontrolne vsote vnesite:

wget -U ossec http://www.ossec.net/files/ossec-hids-2.8.2-checksum.txt

Ko prenesete obe datoteki, je naslednji korak preverjanje kontrolnih vsot MD5 in SHA1 arhivske datoteke. Za vsoto MD5 vnesite:

md5sum -c ossec-hids-2.8.2-checksum.txt

Pričakovani rezultat je:

ossec-hids-2.8.2.tar.gz: OK
md5sum: WARNING: 1 line is improperly formatted

Če želite preveriti hash SHA1, vnesite:

sha1sum -c ossec-hids-2.8.2-checksum.txt

In njegov pričakovani rezultat je:

ossec-hids-2.8.2.tar.gz: OK
sha1sum: WARNING: 1 line is improperly formatted

3. korak: določite svoj strežnik SMTP

Med postopkom namestitve OSSEC boste pozvani, da za svoj e-poštni naslov določite strežnik SMTP. Če ne veste, kaj je to, je najlažji način, da ugotovite, tako da izdate ta ukaz iz lokalnega računalnika (zamenjajte lažni e-poštni naslov s svojim pravim):

dig -t mx [email protected]

Ustrezen odsek v izhodu je prikazan v tem kodnem bloku. V tem vzorčnem izpisu je strežnik SMTP za poizvedovani e-poštni naslov na koncu vrstice - mail.vivaldi.net. . Upoštevajte, da je pika na koncu vključena.

;; ANSWER SECTION:
vivaldi.net.        300 IN  MX  10 mail.vivaldi.net.

4. korak: Namestite OSSEC

Če želite namestiti OSSEC, morate najprej razpakirati tarball, kar naredite tako, da vnesete:

tar xf ossec-hids-2.8.2.tar.gz

Razpakiran bo v imenik, ki nosi ime in različico programa. Spremenite ali cdv to. OSSEC 2.8.2, različica, nameščena za ta članek, ima manjšo napako, ki jo je treba odpraviti pred začetkom namestitve. Ko bo izdana naslednja stabilna različica, ki bi morala biti OSSEC 2.9, to ne bi smelo biti potrebno, ker je popravek že v glavni veji. Popravljanje za OSSEC 2.8.2 pomeni samo urejanje ene datoteke, ki se nahaja v active-responseimeniku. Datoteka je hosts-deny.sh, zato jo odprite z:

nano active-response/hosts-deny.sh

Proti koncu datoteke poiščite ta blok kode:

# Deleting from hosts.deny
elif [ "x$" = "xdelete" ]; then
   lock;
   TMP_FILE = `mktemp /var/ossec/ossec-hosts.XXXXXXXXXX`
   if [ "X$" = "X" ]; then
      # Cheap fake tmpfile, but should be harder then no random data
      TMP_FILE = "/var/ossec/ossec-hosts.`cat /dev/urandom | tr -dc 'a-zA-Z0-9' | fold -w 32 | head -1 `"
   fi

V vrsticah, ki se začnejo s TMP_FILE , izbrišite presledke okoli znaka = . Ko odstranite presledke, mora biti ta del datoteke, kot je prikazano v spodnjem bloku kode. Shranite in zaprite datoteko.

# Deleting from hosts.deny
elif [ "x$" = "xdelete" ]; then
   lock;
   TMP_FILE=`mktemp /var/ossec/ossec-hosts.XXXXXXXXXX`
   if [ "X$" = "X" ]; then
      # Cheap fake tmpfile, but should be harder then no random data
      TMP_FILE="/var/ossec/ossec-hosts.`cat /dev/urandom | tr -dc 'a-zA-Z0-9' | fold -w 32 | head -1 `"
   fi

Zdaj, ko je popravek vstavljen, lahko začnemo postopek namestitve, ki ga naredite tako, da vnesete:

sudo ./install.sh

Med postopkom namestitve boste pozvani, da vnesete nekaj vnosa. V večini primerov morate samo pritisniti ENTER, da sprejmete privzeto. Najprej boste pozvani, da izberete jezik namestitve, ki je privzeto angleščina (en). Zato pritisnite ENTER, če je to vaš najljubši jezik. V nasprotnem primeru vnesite 2 črki s seznama podprtih jezikov. Nato znova pritisnite ENTER .

Prvo vprašanje vas bo vprašalo, kakšno vrsto namestitve želite. Tukaj vnesite lokalno .

1- What kind of installation do you want (server, agent, local, hybrid or help)? local

Za nadaljnja vprašanja pritisnite ENTER, da sprejmete privzeto. Vprašanje 3.1 vas bo pozvalo k vnosu vašega e-poštnega naslova in nato zahtevalo vaš strežnik SMTP. Za to vprašanje vnesite veljaven e-poštni naslov in strežnik SMTP, ki ste ga določili v 3. koraku.

3- Configuring the OSSEC HIDS.

   3.1- Do you want e-mail notification? (y/n) [y]: 
      - What's your e-mail address? [email protected]
      - What's your SMTP server ip/host?

Če je namestitev uspešna, bi morali videti ta izhod:

- Configuration finished properly.

...

    More information can be found at http://www.ossec.net

    ---  Press ENTER to finish (maybe more information below). ---

Pritisnite ENTER, da dokončate namestitev.

5. korak: Zaženite OSSEC

OSSEC je bil nameščen, vendar se ni zagnal. Če ga želite zagnati, najprej preklopite na korenski račun.

sudo su

Nato ga zaženite z naslednjim ukazom.

/var/ossec/bin/ossec-control start

Nato preverite svojo mapo »Prejeto«. OSSEC vas mora opozoriti, da se je začelo. S tem zdaj veste, da je OSSEC nameščen in bo po potrebi pošiljal opozorila.

6. korak: prilagodite OSSEC

Privzeta konfiguracija OSSEC deluje dobro, vendar obstajajo nastavitve, ki jih lahko prilagodite, da bolje zaščiti vaš strežnik. Prva datoteka, ki jo želite prilagoditi, je glavna konfiguracijska datoteka - ossec.conf, ki jo boste našli v /var/ossec/etcimeniku. Odprite datoteko:

nano /var/ossec/etc/ossec.conf

Prvi element, ki ga morate preveriti, je nastavitev e-pošte, ki jo boste našli v globalnem razdelku datoteke:

<global>
   <email_notification>yes</email_notification>
   <email_to>[email protected]</email_to>
   <smtp_server>mail.vivaldi.net.</smtp_server>
   <email_from>[email protected]</email_from>
</global>

Prepričajte se, da je naslov email_from veljaven e-poštni naslov. V nasprotnem primeru bodo SMTP strežniki nekaterih ponudnikov e-pošte opozorila iz OSSEC označili kot vsiljeno pošto. Če FQDN strežnika ni nastavljen, je del domene e-pošte nastavljen na ime gostitelja strežnika, zato je to nastavitev, za katero resnično želite imeti veljaven e-poštni naslov.

Druga nastavitev, ki jo želite prilagoditi, zlasti med preizkušanjem sistema, je pogostost, s katero OSSEC izvaja svoje revizije. Ta nastavitev je v razdelku syscheck in se privzeto zažene vsakih 22 ur. Če želite preizkusiti opozorilne funkcije OSSEC, jo boste morda želeli nastaviti na nižjo vrednost, vendar jo nato ponastavite na privzeto.

<syscheck>
   <!-- Frequency that syscheck is executed - default to every 22 hours -->
   <frequency>79200</frequency>

OSSEC privzeto ne opozori, ko je na strežnik dodana nova datoteka. Če želite to spremeniti, dodajte novo oznako tik pod oznako < frekvenca > . Ko je končan, mora razdelek vsebovati:

<syscheck>
   <!-- Frequency that syscheck is executed - default to every 22 hours -->
   <frequency>79200</frequency>

   <alert_new_files>yes</alert_new_files>

Zadnja nastavitev, ki jo je dobro spremeniti, je na seznamu imenikov, ki jih mora OSSEC preveriti. Najdete jih takoj po prejšnji nastavitvi. Privzeto so imeniki prikazani kot:

<!-- Directories to check  (perform all possible verifications) -->
   <directories check_all="yes">/etc,/usr/bin,/usr/sbin</directories>
   <directories check_all="yes">/bin,/sbin</directories>

Spremenite obe vrstici, da spremenite poročilo OSSEC v realnem času. Ko končajo, naj preberejo:

<directories report_changes="yes" realtime="yes" check_all="yes">/etc,/usr/bin,/usr/sbin</directories>
<directories report_changes="yes" realtime="yes" check_all="yes">/bin,/sbin</directories>

Shranite in zaprite datoteko.

Naslednja datoteka, ki jo bomo morali spremeniti, je local_rules.xmlv /var/ossec/rulesimeniku. Torej cdv ta imenik:

cd /var/ossec/rules

Ta imenik vsebuje datoteke pravil OSSEC, od katerih se nobena ne sme spreminjati, razen local_rules.xmldatoteke. V to datoteko dodamo pravila po meri. Pravilo, ki ga moramo dodati, je tisto, ki se sproži, ko je dodana nova datoteka. To pravilo, oštevilčeno 554 , privzeto ne sproži opozorila. To je zato, ker OSSEC ne pošilja opozoril, ko se sproži pravilo s stopnjo, nastavljeno na nič.

Tukaj je privzeto videti pravilo 554.

 <rule id="554" level="0">
    <category>ossec</category>
    <decoded_as>syscheck_new_entry</decoded_as>
    <description>File added to the system.</description>
    <group>syscheck,</group>
 </rule>

V local_rules.xmldatoteko moramo dodati spremenjeno različico tega pravila . Ta spremenjena različica je navedena v spodnjem bloku kode. Kopirajte in dodajte na dno datoteke tik pred zaključno oznako.

 <rule id="554" level="7" overwrite="yes">
    <category>ossec</category>
    <decoded_as>syscheck_new_entry</decoded_as>
    <description>File added to the system.</description>
    <group>syscheck,</group>
 </rule>

Shranite in zaprite datoteko, nato znova zaženite OSSEC.

/var/ossec/bin/ossec-control restart

Več informacij

OSSEC je zelo zmogljiva programska oprema in ta članek se je dotaknil le osnov. Več nastavitev za prilagajanje najdete v uradni dokumentaciji .