Hur man installerar OSSEC HIDS på en CentOS 7-server

Introduktion

OSSEC är ett värdbaserat intrångsdetekteringssystem (HIDS) med öppen källkod som utför logganalys, integritetskontroll, Windows-registerövervakning, rootkit-detektering, tidsbaserad varning och aktivt svar. Det är ett måste-ha säkerhetsprogram på vilken server som helst.

OSSEC kan installeras för att bara övervaka servern den är installerad på (en lokal installation), eller installeras som en server för att övervaka en eller flera agenter. I den här handledningen får du lära dig hur du installerar OSSEC för att övervaka CentOS 7 som en lokal installation.

Förutsättningar

• En CentOS 7-server konfigureras helst med SSH-nycklar och anpassad med Initial installation av en CentOS 7-server . Logga in på servern med standardanvändarkontot. Anta att användarnamnet är joe .

  ssh -l joe server-ip-address
  

Steg 1: Installera nödvändiga paket

OSSEC kommer att kompileras från källkod, så du behöver en kompilator för att göra det möjligt. Det kräver också ett extra paket för aviseringar. Installera dem genom att skriva:

sudo yum install -y gcc inotify-tools

Steg 2 - Ladda ner och verifiera OSSEC

OSSEC levereras som en komprimerad tarball som måste laddas ner från projektets hemsida. Kontrollsummafilen, som kommer att användas för att verifiera att tarballen inte har manipulerats, måste också laddas ner. Vid tidpunkten för denna publikation är den senaste versionen av OSSEC 2.8.2. Kontrollera projektets nedladdningssida och ladda ner den senaste versionen.

För att ladda ner tarballen, skriv:

wget -U ossec http://www.ossec.net/files/ossec-hids-2.8.2.tar.gz

För checksum-filen, skriv:

wget -U ossec http://www.ossec.net/files/ossec-hids-2.8.2-checksum.txt

Med båda filerna nedladdade är nästa steg att verifiera MD5- och SHA1-kontrollsummorna för tarballen. För MD5summen skriver du:

md5sum -c ossec-hids-2.8.2-checksum.txt

Den förväntade produktionen är:

ossec-hids-2.8.2.tar.gz: OK
md5sum: WARNING: 1 line is improperly formatted

För att verifiera SHA1-hash, skriv:

sha1sum -c ossec-hids-2.8.2-checksum.txt

Och dess förväntade produktion är:

ossec-hids-2.8.2.tar.gz: OK
sha1sum: WARNING: 1 line is improperly formatted

Steg 3: Bestäm din SMTP-server

Under OSSEC:s installationsprocess kommer du att bli ombedd att ange en SMTP-server för din e-postadress. Om du inte vet vad det är, är den enklaste metoden att ta reda på genom att utfärda det här kommandot från din lokala dator (ersätt den falska e-postadressen med din riktiga):

dig -t mx [email protected]

Det relevanta avsnittet i utgången visas i detta kodblock. I denna exempelutdata finns SMTP-servern för den efterfrågade e-postadressen i slutet av raden - mail.vivaldi.net. . Observera att pricken i slutet ingår.

;; ANSWER SECTION:
vivaldi.net.        300 IN  MX  10 mail.vivaldi.net.

Steg 4: Installera OSSEC

För att installera OSSEC måste du först packa upp tarballen, vilket du gör genom att skriva:

tar xf ossec-hids-2.8.2.tar.gz

Det kommer att packas upp i en katalog som bär namnet och versionen av programmet. Ändra eller cdin i det. OSSEC 2.8.2, versionen installerad för den här artikeln, har en mindre bugg som måste åtgärdas innan installationen påbörjas. När nästa stabila version släpps, som borde vara OSSEC 2.9, borde detta inte vara nödvändigt, eftersom korrigeringen redan finns i mastergrenen. Att fixa det för OSSEC 2.8.2 innebär bara att redigera en fil, som finns i active-responsekatalogen. Filen är hosts-deny.sh, så öppna den med:

nano active-response/hosts-deny.sh

Mot slutet av filen letar du efter detta kodblock:

# Deleting from hosts.deny
elif [ "x$" = "xdelete" ]; then
   lock;
   TMP_FILE = `mktemp /var/ossec/ossec-hosts.XXXXXXXXXX`
   if [ "X$" = "X" ]; then
      # Cheap fake tmpfile, but should be harder then no random data
      TMP_FILE = "/var/ossec/ossec-hosts.`cat /dev/urandom | tr -dc 'a-zA-Z0-9' | fold -w 32 | head -1 `"
   fi

På raderna som börjar med TMP_FILE , ta bort mellanslagen runt tecknet = . När du har tagit bort mellanslagen ska den delen av filen vara som visas i kodblocket nedan. Spara och stäng filen.

# Deleting from hosts.deny
elif [ "x$" = "xdelete" ]; then
   lock;
   TMP_FILE=`mktemp /var/ossec/ossec-hosts.XXXXXXXXXX`
   if [ "X$" = "X" ]; then
      # Cheap fake tmpfile, but should be harder then no random data
      TMP_FILE="/var/ossec/ossec-hosts.`cat /dev/urandom | tr -dc 'a-zA-Z0-9' | fold -w 32 | head -1 `"
   fi

Nu när korrigeringen är inne kan vi starta installationsprocessen, vilket du gör genom att skriva:

sudo ./install.sh

Under hela installationsprocessen kommer du att bli ombedd att ge lite input. I de flesta fall behöver du bara trycka på ENTER för att acceptera standardinställningen. Först kommer du att bli ombedd att välja installationsspråk, som som standard är engelska (en). Så tryck på ENTER om det är ditt föredragna språk. Annars matar du in de två bokstäverna från listan över språk som stöds. Tryck sedan på ENTER igen.

Den första frågan kommer att fråga dig vilken typ av installation du vill ha. Här anger du lokal .

1- What kind of installation do you want (server, agent, local, hybrid or help)? local

För efterföljande frågor, tryck på ENTER för att acceptera standardinställningen. Fråga 3.1 kommer att uppmana dig att ange din e-postadress och sedan fråga efter din SMTP-server. För den frågan anger du en giltig e-postadress och den SMTP-server som du angav i steg 3.

3- Configuring the OSSEC HIDS.

   3.1- Do you want e-mail notification? (y/n) [y]: 
      - What's your e-mail address? [email protected]
      - What's your SMTP server ip/host?

Om installationen lyckas bör du se denna utdata:

- Configuration finished properly.

...

    More information can be found at http://www.ossec.net

    ---  Press ENTER to finish (maybe more information below). ---

Tryck på ENTER för att avsluta installationen.

Steg 5: Starta OSSEC

OSSEC har installerats men inte startat. För att starta det, byt först till root-kontot.

sudo su

Starta sedan det genom att utfärda följande kommando.

/var/ossec/bin/ossec-control start

Kontrollera efteråt din inkorg. Det bör finnas en varning från OSSEC som informerar dig om att den har startats. Med det vet du nu att OSSEC är installerat och kommer att skicka varningar efter behov.

Steg 6: Anpassa OSSEC

Standardkonfigurationen för OSSEC fungerar bra, men det finns inställningar du kan justera för att skydda din server bättre. Den första filen att anpassa är huvudkonfigurationsfilen - ossec.conf, som du hittar i /var/ossec/etckatalogen. Öppna filen:

nano /var/ossec/etc/ossec.conf

Det första objektet att verifiera är en e-postinställning, som du hittar i den globala delen av filen:

<global>
   <email_notification>yes</email_notification>
   <email_to>[email protected]</email_to>
   <smtp_server>mail.vivaldi.net.</smtp_server>
   <email_from>[email protected]</email_from>
</global>

Se till att email_from- adressen är en giltig e-postadress. Annars kommer vissa e-postleverantörers SMTP-server att markera varningar från OSSEC som skräppost. Om FQDN för servern inte är inställt, ställs domändelen av e-postmeddelandet in på serverns värdnamn, så detta är en inställning som du verkligen vill ha en giltig e-postadress.

En annan inställning som du vill anpassa, särskilt när du testar systemet, är frekvensen med vilken OSSEC kör sina revisioner. Den inställningen finns i syscheck- sektionen, och som standard körs den var 22:e timme. För att testa OSSEC:s varningsfunktioner kanske du vill ställa in det på ett lägre värde, men återställ det till standard efteråt.

<syscheck>
   <!-- Frequency that syscheck is executed - default to every 22 hours -->
   <frequency>79200</frequency>

Som standard varnar OSSEC inte när en ny fil läggs till på servern. För att ändra det, lägg till en ny tagg precis under taggen < frekvens > . När det är klart bör avsnittet nu innehålla:

<syscheck>
   <!-- Frequency that syscheck is executed - default to every 22 hours -->
   <frequency>79200</frequency>

   <alert_new_files>yes</alert_new_files>

En sista inställning som är bra att ändra är i listan till kataloger som OSSEC bör kontrollera. Du hittar dem direkt efter föregående inställning. Som standard visas katalogerna som:

<!-- Directories to check  (perform all possible verifications) -->
   <directories check_all="yes">/etc,/usr/bin,/usr/sbin</directories>
   <directories check_all="yes">/bin,/sbin</directories>

Ändra båda raderna för att göra OSSEC-rapportändringar i realtid. När de är klara ska de läsa:

<directories report_changes="yes" realtime="yes" check_all="yes">/etc,/usr/bin,/usr/sbin</directories>
<directories report_changes="yes" realtime="yes" check_all="yes">/bin,/sbin</directories>

Spara och stäng filen.

Nästa fil som vi måste ändra finns local_rules.xmli /var/ossec/ruleskatalogen. Så cdin i den katalogen:

cd /var/ossec/rules

Den katalogen innehåller OSSEC:s regelfiler, av vilka ingen ska ändras, förutom local_rules.xmlfilen. I den filen lägger vi till anpassade regler. Regeln vi behöver lägga till är den som aktiveras när en ny fil läggs till. Den regeln, numrerad 554 , utlöser inte en varning som standard. Det beror på att OSSEC inte skickar ut varningar när en regel med nivå inställd på noll utlöses.

Så här ser regel 554 ut som standard.

 <rule id="554" level="0">
    <category>ossec</category>
    <decoded_as>syscheck_new_entry</decoded_as>
    <description>File added to the system.</description>
    <group>syscheck,</group>
 </rule>

Vi måste lägga till en modifierad version av den regeln i local_rules.xmlfilen. Den modifierade versionen finns i kodblocket nedan. Kopiera och lägg till den längst ned i filen precis före den avslutande taggen.

 <rule id="554" level="7" overwrite="yes">
    <category>ossec</category>
    <decoded_as>syscheck_new_entry</decoded_as>
    <description>File added to the system.</description>
    <group>syscheck,</group>
 </rule>

Spara och stäng filen och starta sedan om OSSEC.

/var/ossec/bin/ossec-control restart

Mer information

OSSEC är en mycket kraftfull mjukvara, och den här artikeln berörde bara grunderna. Du hittar fler anpassningsinställningar i den officiella dokumentationen .