Як встановити OSSEC HIDS на сервері CentOS 7

Вступ

OSSEC — це система виявлення вторгнень (HIDS) з відкритим вихідним кодом, яка виконує аналіз журналів, перевірку цілісності, моніторинг реєстру Windows, виявлення руткітів, попередження на основі часу та активну відповідь. Це обов’язкова програма безпеки на будь-якому сервері.

OSSEC можна встановити для моніторингу лише сервера, на якому він встановлений (локальна інсталяція), або встановити як сервер для моніторингу одного або кількох агентів. У цьому підручнику ви дізнаєтеся, як встановити OSSEC для моніторингу CentOS 7 як локальну інсталяцію.

Передумови

• Сервер CentOS 7 бажано налаштувати з ключами SSH та налаштувати за допомогою початкового налаштування сервера CentOS 7 . Увійдіть на сервер за допомогою стандартного облікового запису користувача. Припустимо, що це ім'я користувача joe .

  ssh -l joe server-ip-address
  

Крок 1. Установіть необхідні пакети

OSSEC буде скомпільовано з вихідного коду, тому вам потрібен компілятор, щоб зробити це можливим. Для цього також потрібен додатковий пакет для сповіщень. Встановіть їх, ввівши:

sudo yum install -y gcc inotify-tools

Крок 2 - Завантажте та перевірте OSSEC

OSSEC постачається у вигляді стиснутого tar-архіву, який потрібно завантажити з веб-сайту проекту. Також необхідно завантажити файл контрольної суми, який буде використовуватися для перевірки того, що tar-архів не було підроблено. На момент публікації останньою версією OSSEC є 2.8.2. Перевірте сторінку завантаження проекту та завантажте останню версію.

Щоб завантажити tar-архів, введіть:

wget -U ossec http://www.ossec.net/files/ossec-hids-2.8.2.tar.gz

Для файлу контрольної суми введіть:

wget -U ossec http://www.ossec.net/files/ossec-hids-2.8.2-checksum.txt

Після завантаження обох файлів наступним кроком є ​​перевірка контрольних сум MD5 і SHA1 архіву. Для суми MD5 введіть:

md5sum -c ossec-hids-2.8.2-checksum.txt

Очікуваний вихід:

ossec-hids-2.8.2.tar.gz: OK
md5sum: WARNING: 1 line is improperly formatted

Щоб перевірити хеш SHA1, введіть:

sha1sum -c ossec-hids-2.8.2-checksum.txt

І його очікуваний результат:

ossec-hids-2.8.2.tar.gz: OK
sha1sum: WARNING: 1 line is improperly formatted

Крок 3. Визначте свій SMTP-сервер

Під час процесу встановлення OSSEC вам буде запропоновано вказати SMTP-сервер для вашої адреси електронної пошти. Якщо ви не знаєте, що це таке, найпростіший спосіб дізнатися це, видавши цю команду з вашого локального комп’ютера (замініть фальшиву адресу електронної пошти своєю справжньою):

dig -t mx you@example.com

Відповідний розділ у виводі показано в цьому блоці коду. У цьому прикладі виводу SMTP-сервер для запитаної адреси електронної пошти знаходиться в кінці рядка - mail.vivaldi.net. . Зверніть увагу, що в кінці є точка.

;; ANSWER SECTION:
vivaldi.net.        300 IN  MX  10 mail.vivaldi.net.

Крок 4: Установіть OSSEC

Щоб встановити OSSEC, спочатку потрібно розпакувати tar-архів, що ви робите, ввівши:

tar xf ossec-hids-2.8.2.tar.gz

Він буде розпакований в каталог, який несе назву та версію програми. Зміни або cdв нього. Версія OSSEC 2.8.2, встановлена ​​для цієї статті, має незначну помилку, яку потрібно виправити перед початком встановлення. На момент випуску наступної стабільної версії, яка має бути OSSEC 2.9, це не повинно бути необхідно, оскільки виправлення вже є в головній гілці. Виправити це для OSSEC 2.8.2 означає лише редагувати один файл, який знаходиться в active-responseкаталозі. Файл hosts-deny.sh, тому відкрийте його за допомогою:

nano active-response/hosts-deny.sh

Ближче до кінця файлу знайдіть цей блок коду:

# Deleting from hosts.deny
elif [ "x$" = "xdelete" ]; then
   lock;
   TMP_FILE = `mktemp /var/ossec/ossec-hosts.XXXXXXXXXX`
   if [ "X$" = "X" ]; then
      # Cheap fake tmpfile, but should be harder then no random data
      TMP_FILE = "/var/ossec/ossec-hosts.`cat /dev/urandom | tr -dc 'a-zA-Z0-9' | fold -w 32 | head -1 `"
   fi

У рядках, які починаються з TMP_FILE , видаліть пробіли навколо знака = . Після видалення пробілів ця частина файлу має виглядати так, як показано в блоці коду нижче. Збережіть і закрийте файл.

# Deleting from hosts.deny
elif [ "x$" = "xdelete" ]; then
   lock;
   TMP_FILE=`mktemp /var/ossec/ossec-hosts.XXXXXXXXXX`
   if [ "X$" = "X" ]; then
      # Cheap fake tmpfile, but should be harder then no random data
      TMP_FILE="/var/ossec/ossec-hosts.`cat /dev/urandom | tr -dc 'a-zA-Z0-9' | fold -w 32 | head -1 `"
   fi

Тепер, коли виправлення внесено, ми можемо почати процес встановлення, який ви робите, ввівши:

sudo ./install.sh

Протягом процесу встановлення вам буде запропоновано внести певні дані. У більшості випадків вам потрібно лише натиснути ENTER, щоб прийняти значення за замовчуванням. Спочатку вам буде запропоновано вибрати мову встановлення, яка за замовчуванням є англійською (en). Тому натисніть ENTER, якщо це ваша мова. В іншому випадку введіть 2 літери зі списку підтримуваних мов. Після цього знову натисніть ENTER .

Перше запитання запитає вас, який тип установки ви хочете. Тут введіть local .

1- What kind of installation do you want (server, agent, local, hybrid or help)? local

Для наступних запитань натисніть ENTER, щоб прийняти значення за замовчуванням. У питанні 3.1 вам буде запропоновано ввести вашу адресу електронної пошти, а потім запит на ваш SMTP-сервер. Для цього запитання введіть дійсну адресу електронної пошти та SMTP-сервер, який ви визначили на кроці 3.

3- Configuring the OSSEC HIDS.

   3.1- Do you want e-mail notification? (y/n) [y]: 
      - What's your e-mail address? you@example.com
      - What's your SMTP server ip/host?

Якщо інсталяція пройшла успішно, ви повинні побачити цей результат:

- Configuration finished properly.

...

    More information can be found at http://www.ossec.net

    ---  Press ENTER to finish (maybe more information below). ---

Натисніть ENTER, щоб завершити встановлення.

Крок 5: Запустіть OSSEC

OSSEC встановлено, але не запущено. Щоб запустити його, спочатку перейдіть на кореневий обліковий запис.

sudo su

Потім запустіть його, виконавши таку команду.

/var/ossec/bin/ossec-control start

Після цього перевірте папку "Вхідні". Від OSSEC має бути сповіщення про те, що воно розпочато. Тепер ви знаєте, що OSSEC встановлено і буде надсилати сповіщення за потреби.

Крок 6: Налаштуйте OSSEC

Конфігурація OSSEC за замовчуванням працює нормально, але є параметри, які ви можете налаштувати, щоб він краще захищав ваш сервер. Першим файлом, який потрібно налаштувати, є основний файл конфігурації - ossec.conf, який ви знайдете в /var/ossec/etcкаталозі. Відкрийте файл:

nano /var/ossec/etc/ossec.conf

Перший елемент, який потрібно перевірити, це налаштування електронної пошти, яке ви знайдете в глобальному розділі файлу:

<global>
   <email_notification>yes</email_notification>
   <email_to>finid@vivaldi.net</email_to>
   <smtp_server>mail.vivaldi.net.</smtp_server>
   <email_from>ossecm@vultr.guest</email_from>
</global>

Переконайтеся, що адреса email_from є дійсною електронною поштою. В іншому випадку SMTP-сервер деяких постачальників електронної пошти позначатиме сповіщення від OSSEC як спам. Якщо FQDN сервера не встановлено, для домену електронної пошти встановлюється ім’я хоста сервера, тому це налаштування, яке ви дійсно хочете мати дійсну адресу електронної пошти.

Іншим параметром, який ви хочете налаштувати, особливо під час тестування системи, є частота, з якою OSSEC проводить аудит. Це налаштування знаходиться в розділі syscheck , і за замовчуванням воно запускається кожні 22 години. Щоб перевірити функції оповіщення OSSEC, ви можете встановити для нього нижче значення, але потім скинути його до значення за замовчуванням.

<syscheck>
   <!-- Frequency that syscheck is executed - default to every 22 hours -->
   <frequency>79200</frequency>

За замовчуванням OSSEC не повідомляє, коли на сервер додається новий файл. Щоб змінити це, додайте новий тег під тег < частота > . Після завершення розділ тепер має містити:

<syscheck>
   <!-- Frequency that syscheck is executed - default to every 22 hours -->
   <frequency>79200</frequency>

   <alert_new_files>yes</alert_new_files>

Останнє налаштування, яке добре змінити, — це список каталогів, які OSSEC має перевірити. Ви знайдете їх одразу після попереднього налаштування. За замовчуванням каталоги відображаються як:

<!-- Directories to check  (perform all possible verifications) -->
   <directories check_all="yes">/etc,/usr/bin,/usr/sbin</directories>
   <directories check_all="yes">/bin,/sbin</directories>

Змініть обидва рядки, щоб вносити зміни до звітів OSSEC в режимі реального часу. Після завершення вони повинні прочитати:

<directories report_changes="yes" realtime="yes" check_all="yes">/etc,/usr/bin,/usr/sbin</directories>
<directories report_changes="yes" realtime="yes" check_all="yes">/bin,/sbin</directories>

Збережіть і закрийте файл.

Наступний файл, який нам потрібно буде змінити, знаходиться local_rules.xmlв /var/ossec/rulesкаталозі. Отже, cdу цей каталог:

cd /var/ossec/rules

У цьому каталозі зберігаються файли правил OSSEC, жоден з яких не слід змінювати, крім local_rules.xmlфайлу. У цей файл ми додаємо спеціальні правила. Правило, яке нам потрібно додати, — це правило, яке запускається, коли додається новий файл. Це правило під номером 554 не викликає сповіщення за замовчуванням. Це тому, що OSSEC не надсилає сповіщення, коли спрацьовує правило з нульовим рівнем.

Ось як виглядає правило 554 за замовчуванням.

 <rule id="554" level="0">
    <category>ossec</category>
    <decoded_as>syscheck_new_entry</decoded_as>
    <description>File added to the system.</description>
    <group>syscheck,</group>
 </rule>

Нам потрібно додати змінену версію цього правила у local_rules.xmlфайл. Ця модифікована версія наведена в блоці коду нижче. Скопіюйте та додайте його в нижню частину файлу безпосередньо перед закриваючим тегом.

 <rule id="554" level="7" overwrite="yes">
    <category>ossec</category>
    <decoded_as>syscheck_new_entry</decoded_as>
    <description>File added to the system.</description>
    <group>syscheck,</group>
 </rule>

Збережіть і закрийте файл, а потім перезапустіть OSSEC.

/var/ossec/bin/ossec-control restart

Більше інформації

OSSEC є дуже потужним програмним забезпеченням, і ця стаття торкнулася лише основ. Більше налаштувань можна знайти в офіційній документації .