Ako nainštalovať OSSEC HIDS na server CentOS 7

Úvod

OSSEC je open source hostiteľský systém detekcie narušenia bezpečnosti (HIDS), ktorý vykonáva analýzu protokolov, kontrolu integrity, monitorovanie registrov Windows, detekciu rootkitov, včasné upozornenia a aktívnu reakciu. Je to nevyhnutná bezpečnostná aplikácia na akomkoľvek serveri.

OSSEC môže byť nainštalovaný na monitorovanie iba servera, na ktorom je nainštalovaný (lokálna inštalácia), alebo môže byť nainštalovaný ako server na monitorovanie jedného alebo viacerých agentov. V tomto návode sa naučíte, ako nainštalovať OSSEC na monitorovanie CentOS 7 ako lokálnu inštaláciu.

Predpoklady

• Server CentOS 7 najlepšie nastavený pomocou kľúčov SSH a prispôsobený pomocou úvodného nastavenia servera CentOS 7 . Prihláste sa na server pomocou štandardného používateľského účtu. Predpokladajme, že používateľské meno je joe .

  ssh -l joe server-ip-address
  

Krok 1: Nainštalujte požadované balíky

OSSEC bude kompilovaný zo zdrojového kódu, takže na to potrebujete kompilátor. Vyžaduje si to aj ďalší balík pre upozornenia. Nainštalujte ich zadaním:

sudo yum install -y gcc inotify-tools

Krok 2 – Stiahnite si a overte OSSEC

OSSEC sa dodáva ako komprimovaný tarball, ktorý je potrebné stiahnuť z webovej stránky projektu. Je potrebné stiahnuť aj súbor kontrolného súčtu, ktorý sa použije na overenie, či s tarballom nebolo manipulované. V čase tejto publikácie je najnovšia verzia OSSEC 2.8.2. Skontrolujte stránku na stiahnutie projektu a stiahnite si najnovšiu verziu.

Ak chcete stiahnuť tarball, zadajte:

wget -U ossec http://www.ossec.net/files/ossec-hids-2.8.2.tar.gz

Pre súbor kontrolného súčtu zadajte:

wget -U ossec http://www.ossec.net/files/ossec-hids-2.8.2-checksum.txt

Po stiahnutí oboch súborov je ďalším krokom overenie kontrolných súčtov MD5 a SHA1 tarballu. Pre súčet MD5 zadajte:

md5sum -c ossec-hids-2.8.2-checksum.txt

Očakávaný výstup je:

ossec-hids-2.8.2.tar.gz: OK
md5sum: WARNING: 1 line is improperly formatted

Ak chcete overiť hodnotu hash SHA1, zadajte:

sha1sum -c ossec-hids-2.8.2-checksum.txt

A jeho očakávaný výstup je:

ossec-hids-2.8.2.tar.gz: OK
sha1sum: WARNING: 1 line is improperly formatted

Krok 3: Určite váš server SMTP

Počas procesu inštalácie OSSEC budete vyzvaní na zadanie servera SMTP pre vašu e-mailovú adresu. Ak neviete, čo to je, najjednoduchší spôsob, ako to zistiť, je zadať tento príkaz z vášho lokálneho počítača (nahraďte falošnú e-mailovú adresu svojou skutočnou):

dig -t mx [email protected]

Príslušná sekcia vo výstupe je zobrazená v tomto bloku kódu. V tomto vzorovom výstupe je server SMTP pre požadovanú e-mailovú adresu na konci riadku - mail.vivaldi.net. . Všimnite si, že bodka na konci je zahrnutá.

;; ANSWER SECTION:
vivaldi.net.        300 IN  MX  10 mail.vivaldi.net.

Krok 4: Nainštalujte OSSEC

Ak chcete nainštalovať OSSEC, musíte najprv rozbaliť tarball, čo urobíte zadaním:

tar xf ossec-hids-2.8.2.tar.gz

Rozbalí sa do adresára, ktorý nesie názov a verziu programu. Zmeňte sa alebo cddo toho. OSSEC 2.8.2, verzia nainštalovaná pre tento článok, má menšiu chybu, ktorú je potrebné opraviť pred spustením inštalácie. V čase vydania ďalšej stabilnej verzie, ktorou by mal byť OSSEC 2.9, by to už nemalo byť potrebné, pretože oprava je už v hlavnej vetve. Oprava pre OSSEC 2.8.2 znamená iba úpravu jedného súboru, ktorý sa nachádza v active-responseadresári. Súbor je hosts-deny.sh, takže ho otvorte pomocou:

nano active-response/hosts-deny.sh

Na konci súboru vyhľadajte tento blok kódu:

# Deleting from hosts.deny
elif [ "x$" = "xdelete" ]; then
   lock;
   TMP_FILE = `mktemp /var/ossec/ossec-hosts.XXXXXXXXXX`
   if [ "X$" = "X" ]; then
      # Cheap fake tmpfile, but should be harder then no random data
      TMP_FILE = "/var/ossec/ossec-hosts.`cat /dev/urandom | tr -dc 'a-zA-Z0-9' | fold -w 32 | head -1 `"
   fi

Na riadkoch, ktoré začínajú TMP_FILE , odstráňte medzery okolo znaku = . Po odstránení medzier by mala byť táto časť súboru taká, ako je znázornené v bloku kódu nižšie. Uložte a zatvorte súbor.

# Deleting from hosts.deny
elif [ "x$" = "xdelete" ]; then
   lock;
   TMP_FILE=`mktemp /var/ossec/ossec-hosts.XXXXXXXXXX`
   if [ "X$" = "X" ]; then
      # Cheap fake tmpfile, but should be harder then no random data
      TMP_FILE="/var/ossec/ossec-hosts.`cat /dev/urandom | tr -dc 'a-zA-Z0-9' | fold -w 32 | head -1 `"
   fi

Teraz, keď je oprava hotová, môžeme spustiť proces inštalácie, ktorý vykonáte zadaním:

sudo ./install.sh

Počas procesu inštalácie budete vyzvaní, aby ste zadali nejaké údaje. Vo väčšine prípadov stačí stlačiť ENTER, aby ste prijali predvolené nastavenie. Najprv sa zobrazí výzva na výber inštalačného jazyka, ktorý je predvolene angličtina (en). Takže stlačte ENTER, ak je to váš preferovaný jazyk. V opačnom prípade zadajte 2 písmená zo zoznamu podporovaných jazykov. Potom znova stlačte ENTER .

Prvá otázka sa vás opýta, aký typ inštalácie chcete. Tu zadajte miestne .

1- What kind of installation do you want (server, agent, local, hybrid or help)? local

Pre ďalšie otázky stlačte ENTER, aby ste prijali predvolené nastavenie. Otázka 3.1 vás vyzve na zadanie vašej e-mailovej adresy a potom na váš server SMTP. Pre túto otázku zadajte platnú e-mailovú adresu a server SMTP, ktorý ste určili v kroku 3.

3- Configuring the OSSEC HIDS.

   3.1- Do you want e-mail notification? (y/n) [y]: 
      - What's your e-mail address? [email protected]
      - What's your SMTP server ip/host?

Ak je inštalácia úspešná, mali by ste vidieť tento výstup:

- Configuration finished properly.

...

    More information can be found at http://www.ossec.net

    ---  Press ENTER to finish (maybe more information below). ---

Stlačte ENTER na dokončenie inštalácie.

Krok 5: Spustite OSSEC

OSSEC bol nainštalovaný, ale nebol spustený. Ak ho chcete spustiť, najprv prepnite na účet root.

sudo su

Potom ho spustite zadaním nasledujúceho príkazu.

/var/ossec/bin/ossec-control start

Afterwards, check your Inbox. There should be an alert from OSSEC informing you that it has been started. With that, you now know that OSSEC is installed and will be sending alerts as needed.

Step 6: Customize OSSEC

The default configuration of OSSEC works fine, but there are settings you can tweak to make it protect your server better. The first file to customize is the main configuration file - ossec.conf, which you'll find in the /var/ossec/etc directory. Open the file:

nano /var/ossec/etc/ossec.conf

The first item to verify is an email setting, which you'll find in the global section of the file:

<global>
   <email_notification>yes</email_notification>
   <email_to>[email protected]</email_to>
   <smtp_server>mail.vivaldi.net.</smtp_server>
   <email_from>[email protected]</email_from>
</global>

Uistite sa, že adresa email_from je platná e-mailová adresa. V opačnom prípade SMTP server niektorého poskytovateľa e-mailu označí upozornenia z OSSEC ako spam. Ak FQDN servera nie je nastavené, doménová časť e-mailu je nastavená na názov hostiteľa servera, takže toto je nastavenie, pri ktorom naozaj chcete mať platnú e-mailovú adresu.

Ďalším nastavením, ktoré chcete prispôsobiť, najmä počas testovania systému, je frekvencia, s akou OSSEC vykonáva svoje audity. Toto nastavenie je v sekcii syscheck a štandardne sa spúšťa každých 22 hodín. Ak chcete otestovať funkcie varovania OSSEC, možno budete chcieť nastaviť nižšiu hodnotu, ale potom ju resetovať na predvolenú hodnotu.

<syscheck>
   <!-- Frequency that syscheck is executed - default to every 22 hours -->
   <frequency>79200</frequency>

V predvolenom nastavení OSSEC neupozorňuje, keď sa na server pridá nový súbor. Ak to chcete zmeniť, pridajte novú značku priamo pod značku < frekvencia > . Po dokončení by mala sekcia teraz obsahovať:

<syscheck>
   <!-- Frequency that syscheck is executed - default to every 22 hours -->
   <frequency>79200</frequency>

   <alert_new_files>yes</alert_new_files>

Posledné nastavenie, ktoré je dobré zmeniť, je v zozname adresárov, ktoré by OSSEC mal kontrolovať. Nájdete ich hneď po predchádzajúcom nastavení. V predvolenom nastavení sú adresáre zobrazené ako:

<!-- Directories to check  (perform all possible verifications) -->
   <directories check_all="yes">/etc,/usr/bin,/usr/sbin</directories>
   <directories check_all="yes">/bin,/sbin</directories>

Upravte oba riadky, aby sa zmeny správ OSSEC vykonávali v reálnom čase. Po dokončení by si mali prečítať:

<directories report_changes="yes" realtime="yes" check_all="yes">/etc,/usr/bin,/usr/sbin</directories>
<directories report_changes="yes" realtime="yes" check_all="yes">/bin,/sbin</directories>

Uložte a zatvorte súbor.

Ďalší súbor, ktorý budeme musieť upraviť, je local_rules.xmlv /var/ossec/rulesadresári. Takže cddo toho adresára:

cd /var/ossec/rules

Tento adresár obsahuje súbory pravidiel OSSEC, z ktorých žiadny by nemal byť upravený, okrem local_rules.xmlsúboru. Do tohto súboru pridáme vlastné pravidlá. Pravidlo, ktoré musíme pridať, je pravidlo, ktoré sa spustí pri pridaní nového súboru. Toto pravidlo s číslom 554 štandardne nespúšťa výstrahu. Je to preto, že OSSEC neposiela upozornenia, keď sa spustí pravidlo s úrovňou nastavenou na nulu.

Takto vyzerá pravidlo 554 v predvolenom nastavení.

 <rule id="554" level="0">
    <category>ossec</category>
    <decoded_as>syscheck_new_entry</decoded_as>
    <description>File added to the system.</description>
    <group>syscheck,</group>
 </rule>

Musíme do súboru pridať upravenú verziu tohto pravidla local_rules.xml. Táto upravená verzia je uvedená v bloku kódu nižšie. Skopírujte a pridajte ho na koniec súboru tesne pred uzatváraciu značku.

 <rule id="554" level="7" overwrite="yes">
    <category>ossec</category>
    <decoded_as>syscheck_new_entry</decoded_as>
    <description>File added to the system.</description>
    <group>syscheck,</group>
 </rule>

Uložte a zatvorte súbor, potom reštartujte OSSEC.

/var/ossec/bin/ossec-control restart

Viac informácií

OSSEC je veľmi výkonný softvér a tento článok sa dotkol len základov. Ďalšie nastavenia prispôsobenia nájdete v oficiálnej dokumentácii .