Како инсталирати ОССЕЦ ХИДС на ЦентОС 7 сервер

Увод

ОССЕЦ је систем за откривање упада отвореног кода заснован на хосту (ХИДС) који врши анализу дневника, проверу интегритета, надгледање Виндовс регистратора, откривање рооткита, упозорење засновано на времену и активни одговор. То је обавезна безбедносна апликација на било ком серверу.

ОССЕЦ се може инсталирати да надгледа само сервер на којем је инсталиран (локална инсталација) или да се инсталира као сервер за надгледање једног или више агената. У овом водичу ћете научити како да инсталирате ОССЕЦ да надгледате ЦентОС 7 као локалну инсталацију.

Предуслови

• По могућности ЦентОС 7 сервер је подешен са ССХ кључевима и прилагођен коришћењем Почетног подешавања ЦентОС 7 сервера . Пријавите се на сервер користећи стандардни кориснички налог. Претпоставимо да је корисничко име јое .

  ssh -l joe server-ip-address
  

Корак 1: Инсталирајте потребне пакете

ОССЕЦ ће бити преведен из извора, тако да ва�� је потребан компајлер да бисте то омогућили. Такође је потребан додатни пакет за обавештења. Инсталирајте их тако што ћете уписати:

sudo yum install -y gcc inotify-tools

Корак 2 - Преузмите и потврдите ОССЕЦ

ОССЕЦ се испоручује као компримовани тарбалл који се мора преузети са веб локације пројекта. Датотека контролне суме, која ће се користити за проверу да тарбалл није манипулисана, такође мора да се преузме. У време објављивања ове публикације, најновија верзија ОССЕЦ-а је 2.8.2. Проверите страницу за преузимање пројекта и преузмите било коју најновију верзију.

Да бисте преузели тарбалл, откуцајте:

wget -U ossec http://www.ossec.net/files/ossec-hids-2.8.2.tar.gz

За датотеку контролне суме откуцајте:

wget -U ossec http://www.ossec.net/files/ossec-hids-2.8.2-checksum.txt

Када су преузете обе датотеке, следећи корак је провера МД5 и СХА1 контролних сума тарбалл-а. За МД5 збир, откуцајте:

md5sum -c ossec-hids-2.8.2-checksum.txt

Очекивани излаз је:

ossec-hids-2.8.2.tar.gz: OK
md5sum: WARNING: 1 line is improperly formatted

Да бисте верификовали СХА1 хеш, откуцајте:

sha1sum -c ossec-hids-2.8.2-checksum.txt

А његов очекивани излаз је:

ossec-hids-2.8.2.tar.gz: OK
sha1sum: WARNING: 1 line is improperly formatted

Корак 3: Одредите свој СМТП сервер

Током процеса инсталације ОССЕЦ-а, од вас ће бити затражено да наведете СМТП сервер за вашу адресу е-поште. Ако не знате шта је то, најлакши начин да сазнате је издавањем ове команде са вашег локалног рачунара (замените лажну адресу е-поште својом правом):

dig -t mx you@example.com

Релевантни одељак у излазу је приказан у овом блоку кода. У овом узорку излаза, СМТП сервер за тражену адресу е-поште налази се на крају реда - маил.вивалди.нет. . Имајте на уму да је тачка на крају укључена.

;; ANSWER SECTION:
vivaldi.net.        300 IN  MX  10 mail.vivaldi.net.

Корак 4: Инсталирајте ОССЕЦ

Да бисте инсталирали ОССЕЦ, прво морате да распакујете тарбалл, што ћете урадити тако што ћете откуцати:

tar xf ossec-hids-2.8.2.tar.gz

Биће распакован у директоријум који носи назив и верзију програма. Промени или cdу њега. ОССЕЦ 2.8.2, верзија инсталирана за овај чланак, има мању грешку коју треба исправити пре почетка инсталације. Када буде објављена следећа стабилна верзија, која би требало да буде ОССЕЦ 2.9, ово не би требало да буде потребно, јер је поправка већ у главној грани. Исправљање за ОССЕЦ 2.8.2 само значи уређивање једне датотеке која се налази у active-responseдиректоријуму. Датотека је hosts-deny.sh, па је отворите користећи:

nano active-response/hosts-deny.sh

Пред крај датотеке потражите овај блок кода:

# Deleting from hosts.deny
elif [ "x$" = "xdelete" ]; then
   lock;
   TMP_FILE = `mktemp /var/ossec/ossec-hosts.XXXXXXXXXX`
   if [ "X$" = "X" ]; then
      # Cheap fake tmpfile, but should be harder then no random data
      TMP_FILE = "/var/ossec/ossec-hosts.`cat /dev/urandom | tr -dc 'a-zA-Z0-9' | fold -w 32 | head -1 `"
   fi

На редовима који почињу са ТМП_ФИЛЕ , обришите размаке око знака = . Након уклањања размака, тај део датотеке треба да буде као што је приказано у блоку кода испод. Сачувајте и затворите датотеку.

# Deleting from hosts.deny
elif [ "x$" = "xdelete" ]; then
   lock;
   TMP_FILE=`mktemp /var/ossec/ossec-hosts.XXXXXXXXXX`
   if [ "X$" = "X" ]; then
      # Cheap fake tmpfile, but should be harder then no random data
      TMP_FILE="/var/ossec/ossec-hosts.`cat /dev/urandom | tr -dc 'a-zA-Z0-9' | fold -w 32 | head -1 `"
   fi

Сада када је поправка уврштена, можемо започети процес инсталације, што ћете урадити тако што ћете укуцати:

sudo ./install.sh

Током процеса инсталације, од вас ће бити затражено да унесете неке податке. У већини случајева, морате само да притиснете ЕНТЕР да бисте прихватили подразумевано. Прво, од вас ће бити затражено да изаберете језик за инсталацију, који је подразумевано енглески (ен). Зато притисните ЕНТЕР ако је то ваш жељени језик. У супротном, унесите 2 слова са листе подржаних језика. Након тога поново притисните ЕНТЕР .

Прво питање ће вас питати коју врсту инсталације желите. Овде унесите локални .

1- What kind of installation do you want (server, agent, local, hybrid or help)? local

За наредна питања притисните ЕНТЕР да бисте прихватили подразумевано. Питање 3.1 ће од вас тражити вашу адресу е-поште, а затим ће тражити ваш СМТП сервер. За то питање унесите важећу адресу е-поште и СМТП сервер који сте одредили у кораку 3.

3- Configuring the OSSEC HIDS.

   3.1- Do you want e-mail notification? (y/n) [y]: 
      - What's your e-mail address? you@example.com
      - What's your SMTP server ip/host?

Ако је инсталација успешна, требало би да видите овај излаз:

- Configuration finished properly.

...

    More information can be found at http://www.ossec.net

    ---  Press ENTER to finish (maybe more information below). ---

Притисните ЕНТЕР да завршите инсталацију.

Корак 5: Покрените ОССЕЦ

ОССЕЦ је инсталиран, али није покренут. Да бисте га покренули, прво пређите на роот налог.

sudo su

Затим га покрените издавањем следеће команде.

/var/ossec/bin/ossec-control start

Након тога, проверите пријемно сандуче. Требало би да постоји упозорење од ОССЕЦ-а које вас обавештава да је почело. Уз то, сада знате да је ОССЕЦ инсталиран и да ће слати упозорења по потреби.

Корак 6: Прилагодите ОССЕЦ

Подразумевана конфигурација ОССЕЦ-а ради добро, али постоје подешавања која можете подесити да бисте боље заштитили ваш сервер. Прва датотека за прилагођавање је главна конфигурациона датотека - ossec.conf, коју ћете пронаћи у /var/ossec/etcдиректоријуму. Отворите датотеку:

nano /var/ossec/etc/ossec.conf

Прва ставка коју треба верификовати је подешавање е-поште, које ћете пронаћи у глобалном делу датотеке:

<global>
   <email_notification>yes</email_notification>
   <email_to>finid@vivaldi.net</email_to>
   <smtp_server>mail.vivaldi.net.</smtp_server>
   <email_from>ossecm@vultr.guest</email_from>
</global>

Уверите се да је емаил_фром адреса важећа е-пошта. У супротном, СМТП сервер неког провајдера е-поште ће означити упозорења са ОССЕЦ-а као нежељену пошту. Ако ФКДН сервера није подешен, део домена е-поште је подешен на име хоста сервера, тако да је ово подешавање за које заиста желите да имате исправну адресу е-поште.

Још једно подешавање које желите да прилагодите, посебно током тестирања система, јесте учесталост којом ОССЕЦ спроводи своје ревизије. То подешавање је у одељку сисцхецк и, подразумевано, покреће се свака 22 сата. Да бисте тестирали ОССЕЦ-ове функције упозорења, можда ћете желети да је поставите на нижу вредност, али да је након тога вратите на подразумеване вредности.

<syscheck>
   <!-- Frequency that syscheck is executed - default to every 22 hours -->
   <frequency>79200</frequency>

Подразумевано, ОССЕЦ не упозорава када се нова датотека дода на сервер. Да бисте то променили, додајте нову ознаку одмах испод ознаке <фреквенција > . Када је завршен, одељак сада треба да садржи:

<syscheck>
   <!-- Frequency that syscheck is executed - default to every 22 hours -->
   <frequency>79200</frequency>

   <alert_new_files>yes</alert_new_files>

Последње подешавање које је добро променити је на листи директоријума које ОССЕЦ треба да провери. Наћи ћете их одмах након претходног подешавања. Подразумевано, директоријуми су приказани као:

<!-- Directories to check  (perform all possible verifications) -->
   <directories check_all="yes">/etc,/usr/bin,/usr/sbin</directories>
   <directories check_all="yes">/bin,/sbin</directories>

Измените оба реда да бисте извршили промене извештаја ОССЕЦ-а у реалном времену. Када заврше, требало би да прочитају:

<directories report_changes="yes" realtime="yes" check_all="yes">/etc,/usr/bin,/usr/sbin</directories>
<directories report_changes="yes" realtime="yes" check_all="yes">/bin,/sbin</directories>

Сачувајте и затворите датотеку.

Следећа датотека коју ћемо морати да изменимо је local_rules.xmlу /var/ossec/rulesдиректоријуму. Дакле cdу тај директоријум:

cd /var/ossec/rules

Тај директоријум садржи датотеке правила ОССЕЦ-а, од којих ниједна не треба да се мења, осим local_rules.xmlдатотеке. У ту датотеку додајемо прилагођена правила. Правило које треба да додамо је оно које се покреће када се дода нова датотека. То правило, означено бројем 554 , подразумевано не покреће упозорење. То је зато што ОССЕЦ не шаље упозорења када се покрене правило са нивоом постављеним на нулу.

Ево како правило 554 изгледа подразумевано.

 <rule id="554" level="0">
    <category>ossec</category>
    <decoded_as>syscheck_new_entry</decoded_as>
    <description>File added to the system.</description>
    <group>syscheck,</group>
 </rule>

Морамо да додамо измењену верзију тог правила у local_rules.xmlдатотеку. Та модификована верзија је дата у блоку кода испод. Копирајте и додајте је на дно датотеке непосредно пре завршне ознаке.

 <rule id="554" level="7" overwrite="yes">
    <category>ossec</category>
    <decoded_as>syscheck_new_entry</decoded_as>
    <description>File added to the system.</description>
    <group>syscheck,</group>
 </rule>

Сачувајте и затворите датотеку, а затим поново покрените ОССЕЦ.

/var/ossec/bin/ossec-control restart

Више информација

ОССЕЦ је веома моћан комад софтвера, а овај чланак је само дотакао основе. Више подешавања за прилагођавање наћи ћете у званичној документацији .