كيفية تثبيت OSSEC HIDS على خادم CentOS 7

المقدمة

OSSEC هو نظام كشف التسلل مفتوح المصدر يعتمد على المضيف (HIDS) الذي يقوم بتحليل السجل ، والتحقق من التكامل ، ومراقبة تسجيل Windows ، واكتشاف الجذور الخفية ، والتنبيه القائم على الوقت ، والاستجابة النشطة. إنه تطبيق أمان لا بد منه على أي خادم.

يمكن تثبيت OSSEC لمراقبة الخادم المثبت عليه فقط (تثبيت محلي) ، أو يمكن تثبيته كخادم لمراقبة وكيل واحد أو أكثر. في هذا البرنامج التعليمي ، ستتعلم كيفية تثبيت OSSEC لمراقبة CentOS 7 كتثبيت محلي.

المتطلبات الأساسية

  • يفضل إعداد خادم CentOS 7 باستخدام مفاتيح SSH وتخصيصه باستخدام الإعداد الأولي لخادم CentOS 7 . قم بتسجيل الدخول إلى الخادم باستخدام حساب المستخدم القياسي. افترض أن اسم المستخدم هو جو .

    ssh -l joe server-ip-address
    

الخطوة 1: تثبيت الحزم المطلوبة

سيتم تجميع OSSEC من المصدر ، لذلك تحتاج إلى مترجم لجعل ذلك ممكنًا. يتطلب أيضًا حزمة إضافية للإشعارات. قم بتثبيتها عن طريق كتابة:

sudo yum install -y gcc inotify-tools

الخطوة 2 - تنزيل OSSEC والتحقق منه

يتم تقديم OSSEC ككرة مضغوطة يجب تنزيلها من موقع المشروع على الإنترنت. يجب أيضًا تنزيل ملف المجموع الاختباري ، والذي سيتم استخدامه للتحقق من عدم العبث بـ tarball. في وقت هذا المنشور ، كان أحدث إصدار من OSSEC هو 2.8.2. تحقق من صفحة تنزيل المشروع وقم بتنزيل أحدث إصدار.

لتنزيل ملف tarball ، اكتب:

wget -U ossec http://www.ossec.net/files/ossec-hids-2.8.2.tar.gz

لملف المجموع الاختباري ، اكتب:

wget -U ossec http://www.ossec.net/files/ossec-hids-2.8.2-checksum.txt

مع تنزيل كلا الملفين ، فإن الخطوة التالية هي التحقق من المجموع الاختباري MD5 و SHA1 للكرة. بالنسبة إلى MD5sum ، اكتب:

md5sum -c ossec-hids-2.8.2-checksum.txt

المخرجات المتوقعة هي:

ossec-hids-2.8.2.tar.gz: OK
md5sum: WARNING: 1 line is improperly formatted

للتحقق من تجزئة SHA1 ، اكتب:

sha1sum -c ossec-hids-2.8.2-checksum.txt

والناتج المتوقع هو:

ossec-hids-2.8.2.tar.gz: OK
sha1sum: WARNING: 1 line is improperly formatted

الخطوة 3: تحديد خادم SMTP الخاص بك

أثناء عملية تثبيت OSSEC ، ستتم مطالبتك بتحديد خادم SMTP لعنوان بريدك الإلكتروني. إذا كنت لا تعرف ما هي ، فإن أسهل طريقة لاكتشاف ذلك هي إصدار هذا الأمر من جهازك المحلي (استبدل عنوان البريد الإلكتروني المزيف بعنوانك الحقيقي):

dig -t mx you@example.com

يتم عرض القسم ذي الصلة في الإخراج في مقطع التعليمات البرمجية هذا. في نموذج الإخراج هذا ، يكون خادم SMTP لعنوان البريد الإلكتروني المستعلم عنه في نهاية السطر - mail.vivaldi.net. . لاحظ أنه تم تضمين النقطة في النهاية.

;; ANSWER SECTION:
vivaldi.net.        300 IN  MX  10 mail.vivaldi.net.

الخطوة 4: تثبيت OSSEC

لتثبيت OSSEC ، تحتاج أولاً إلى فك حزمة tarball ، التي تقوم بها بكتابة:

tar xf ossec-hids-2.8.2.tar.gz

سيتم تفريغها في دليل يحمل اسم البرنامج وإصداره. تغيير أو cdإلى ذلك. يحتوي الإصدار OSSEC 2.8.2 ، الإصدار المثبت لهذه المقالة ، على خطأ بسيط يجب إصلاحه قبل بدء التثبيت. في الوقت الذي يتم فيه إصدار الإصدار الثابت التالي ، والذي يجب أن يكون OSSEC 2.9 ، لن يكون هذا ضروريًا ، لأن الإصلاح موجود بالفعل في الفرع الرئيسي. إصلاحه لـ OSSEC 2.8.2 يعني فقط تحرير ملف واحد موجود في active-responseالدليل. الملف hosts-deny.sh، لذا افتحه باستخدام:

nano active-response/hosts-deny.sh

في نهاية الملف ، ابحث عن هذا الكود:

# Deleting from hosts.deny
elif [ "x$" = "xdelete" ]; then
   lock;
   TMP_FILE = `mktemp /var/ossec/ossec-hosts.XXXXXXXXXX`
   if [ "X$" = "X" ]; then
      # Cheap fake tmpfile, but should be harder then no random data
      TMP_FILE = "/var/ossec/ossec-hosts.`cat /dev/urandom | tr -dc 'a-zA-Z0-9' | fold -w 32 | head -1 `"
   fi

في الأسطر التي تبدأ بـ TMP_FILE ، احذف المسافات حول العلامة = . بعد إزالة المسافات ، يجب أن يكون هذا الجزء من الملف كما هو موضح في كتلة التعليمات البرمجية أدناه. أحفظ وأغلق الملف.

# Deleting from hosts.deny
elif [ "x$" = "xdelete" ]; then
   lock;
   TMP_FILE=`mktemp /var/ossec/ossec-hosts.XXXXXXXXXX`
   if [ "X$" = "X" ]; then
      # Cheap fake tmpfile, but should be harder then no random data
      TMP_FILE="/var/ossec/ossec-hosts.`cat /dev/urandom | tr -dc 'a-zA-Z0-9' | fold -w 32 | head -1 `"
   fi

الآن بعد أن تم إصلاح المشكلة ، يمكننا بدء عملية التثبيت ، والتي تقوم بها عن طريق كتابة:

sudo ./install.sh

خلال عملية التثبيت ، ستتم مطالبتك بتوفير بعض المدخلات. في معظم الحالات ، عليك فقط الضغط على ENTER لقبول الإعداد الافتراضي. أولاً ، ستتم مطالبتك بتحديد لغة التثبيت ، والتي تكون بشكل افتراضي هي الإنجليزية (en). لذا اضغط على ENTER إذا كانت هذه هي لغتك المفضلة. خلاف ذلك ، أدخل الحرفين من قائمة اللغات المدعومة. بعد ذلك ، اضغط ENTER مرة أخرى.

سيسألك السؤال الأول عن نوع التثبيت الذي تريده. هنا ، أدخل المحلية .

1- What kind of installation do you want (server, agent, local, hybrid or help)? local

بالنسبة للأسئلة اللاحقة ، اضغط على ENTER لقبول الإعداد الافتراضي. سيطالبك السؤال 3.1 بعنوان بريدك الإلكتروني ثم يطلب خادم SMTP الخاص بك. لهذا السؤال ، أدخل عنوان بريد إلكتروني صالحًا وخادم SMTP الذي حددته في الخطوة 3.

3- Configuring the OSSEC HIDS.

   3.1- Do you want e-mail notification? (y/n) [y]: 
      - What's your e-mail address? you@example.com
      - What's your SMTP server ip/host?

إذا كان التثبيت ناجحًا ، فسترى هذا الإخراج:

- Configuration finished properly.

...

    More information can be found at http://www.ossec.net

    ---  Press ENTER to finish (maybe more information below). ---

اضغط على ENTER لإنهاء التثبيت.

الخطوة 5: ابدأ OSSEC

تم تثبيت OSSEC ، ولكن لم يبدأ. لبدء تشغيله ، قم أولاً بالتبديل إلى الحساب الجذر.

sudo su

ثم ابدأ تشغيله بإصدار الأمر التالي.

/var/ossec/bin/ossec-control start

بعد ذلك ، تحقق من بريدك الوارد. يجب أن يكون هناك تنبيه من OSSEC يخبرك أنه قد بدأ. مع ذلك ، أنت تعرف الآن أن OSSEC مثبت وسيتم إرسال تنبيهات حسب الحاجة.

الخطوة 6: تخصيص OSSEC

يعمل التكوين الافتراضي لـ OSSEC بشكل جيد ، ولكن هناك إعدادات يمكنك تعديلها لجعلها تحمي خادمك بشكل أفضل. أول ملف يتم تخصيصه هو ملف التكوين الرئيسي - ossec.confوالذي ستجده في /var/ossec/etcالدليل. افتح الملف:

nano /var/ossec/etc/ossec.conf

العنصر الأول للتحقق من هو إعداد للبريد الإلكتروني، والتي ستجد في عالمي المقطع من الملف:

<global>
   <email_notification>yes</email_notification>
   <email_to>finid@vivaldi.net</email_to>
   <smtp_server>mail.vivaldi.net.</smtp_server>
   <email_from>ossecm@vultr.guest</email_from>
</global>

تأكد من أن عنوان email_from هو بريد إلكتروني صالح. خلاف ذلك ، سيقوم بعض خادم SMTP لموفر البريد الإلكتروني بوضع علامة على التنبيهات من OSSEC كرسائل غير مرغوب فيها. إذا لم يتم تعيين FQDN الخاص بالخادم ، فسيتم تعيين جزء المجال من البريد الإلكتروني على اسم مضيف الخادم ، لذلك هذا هو الإعداد الذي تريده حقًا للحصول على عنوان بريد إلكتروني صالح.

الإعداد الآخر الذي تريد تخصيصه ، خاصة أثناء اختبار النظام ، هو التردد الذي تقوم به OSSEC بتدقيقها. هذا الإعداد موجود في قسم فحص النظام ، ويتم تشغيله افتراضيًا كل 22 ساعة. لاختبار ميزات التنبيه OSSEC ، قد ترغب في تعيينه على قيمة أقل ، ولكن إعادة تعيينه إلى القيمة الافتراضية بعد ذلك.

<syscheck>
   <!-- Frequency that syscheck is executed - default to every 22 hours -->
   <frequency>79200</frequency>

بشكل افتراضي ، لا تنبه OSSEC عند إضافة ملف جديد إلى الخادم. لتغيير ذلك ، أضف علامة جديدة أسفل علامة <تكرار> مباشرةً. عند الانتهاء ، يجب أن يحتوي القسم الآن على:

<syscheck>
   <!-- Frequency that syscheck is executed - default to every 22 hours -->
   <frequency>79200</frequency>

   <alert_new_files>yes</alert_new_files>

أحد الإعدادات الأخيرة الجيدة للتغيير هو في القائمة إلى الدلائل التي يجب على OSSEC التحقق منها. ستجدهم مباشرة بعد الإعداد السابق. تكون افتراضية ، يتم عرض الدلائل كما يلي:

<!-- Directories to check  (perform all possible verifications) -->
   <directories check_all="yes">/etc,/usr/bin,/usr/sbin</directories>
   <directories check_all="yes">/bin,/sbin</directories>

تعديل كلا الخطين لإجراء تغييرات تقرير OSSEC في الوقت الحقيقي. عند الانتهاء ، يجب قراءة ما يلي:

<directories report_changes="yes" realtime="yes" check_all="yes">/etc,/usr/bin,/usr/sbin</directories>
<directories report_changes="yes" realtime="yes" check_all="yes">/bin,/sbin</directories>

أحفظ وأغلق الملف.

الملف التالي الذي سنحتاج إلى تعديله موجود local_rules.xmlفي /var/ossec/rulesالدليل. لذلك cdفي هذا الدليل:

cd /var/ossec/rules

يحتوي هذا الدليل على ملفات قواعد OSSEC ، ولا يجب تعديل أي منها ، باستثناء local_rules.xmlالملف. في هذا الملف ، نضيف قواعد مخصصة. القاعدة التي نحتاج إلى إضافتها هي القاعدة التي تنطلق عند إضافة ملف جديد. هذه القاعدة ، المرقمة 554 ، لا تشغل تنبيهًا افتراضيًا. ذلك لأن OSSEC لا يرسل تنبيهات عند تشغيل قاعدة ذات مستوى معين على الصفر.

إليك ما تبدو عليه القاعدة 554 بشكل افتراضي.

 <rule id="554" level="0">
    <category>ossec</category>
    <decoded_as>syscheck_new_entry</decoded_as>
    <description>File added to the system.</description>
    <group>syscheck,</group>
 </rule>

نحتاج إلى إضافة نسخة معدلة من هذه القاعدة في local_rules.xmlالملف. يتم تقديم هذه النسخة المعدلة في كتلة التعليمات البرمجية أدناه. انسخه وأضفه إلى أسفل الملف قبل علامة الإغلاق مباشرةً.

 <rule id="554" level="7" overwrite="yes">
    <category>ossec</category>
    <decoded_as>syscheck_new_entry</decoded_as>
    <description>File added to the system.</description>
    <group>syscheck,</group>
 </rule>

احفظ وأغلق الملف ثم أعد تشغيل OSSEC.

/var/ossec/bin/ossec-control restart

معلومات اكثر

OSSEC هو برنامج قوي جدًا ، وقد تطرق هذا المقال إلى الأساسيات. ستجد المزيد من إعدادات التخصيص في الوثائق الرسمية .

اترك تعليقاً

نظرة ثاقبة على 26 أسلوبًا لتحليل البيانات الضخمة: الجزء الأول

نظرة ثاقبة على 26 أسلوبًا لتحليل البيانات الضخمة: الجزء الأول

نظرة ثاقبة على 26 أسلوبًا لتحليل البيانات الضخمة: الجزء الأول

وظائف طبقات معمارية مرجعية للبيانات الضخمة

وظائف طبقات معمارية مرجعية للبيانات الضخمة

اقرأ المدونة لمعرفة الطبقات المختلفة في بنية البيانات الضخمة ووظائفها بأبسط طريقة.

6 أشياء شديدة الجنون حول نينتندو سويتش

6 أشياء شديدة الجنون حول نينتندو سويتش

يعرف الكثير منكم أن Switch سيصدر في مارس 2017 وميزاته الجديدة. بالنسبة لأولئك الذين لا يعرفون ، قمنا بإعداد قائمة بالميزات التي تجعل "التبديل" "أداة لا غنى عنها".

وعود التكنولوجيا التي لم يتم الوفاء بها بعد

وعود التكنولوجيا التي لم يتم الوفاء بها بعد

هل تنتظر عمالقة التكنولوجيا للوفاء بوعودهم؟ تحقق من ما تبقى دون تسليم.

كيف يمكن للذكاء الاصطناعي نقل أتمتة العمليات إلى المستوى التالي؟

كيف يمكن للذكاء الاصطناعي نقل أتمتة العمليات إلى المستوى التالي؟

اقرأ هذا لمعرفة مدى انتشار الذكاء الاصطناعي بين الشركات الصغيرة وكيف أنه يزيد من احتمالات نموها ومنح منافسيها القدرة على التفوق.

التفرد التكنولوجي: مستقبل بعيد للحضارة الإنسانية؟

التفرد التكنولوجي: مستقبل بعيد للحضارة الإنسانية؟

مع تطور العلم بمعدل سريع ، واستلام الكثير من جهودنا ، تزداد أيضًا مخاطر تعريض أنفسنا إلى تفرد غير قابل للتفسير. اقرأ ، ماذا يمكن أن يعني التفرد بالنسبة لنا.

CAPTCHA: ما هي المدة التي يمكن أن تظل تقنية قابلة للتطبيق للتميز بين الإنسان والذكاء الاصطناعي؟

CAPTCHA: ما هي المدة التي يمكن أن تظل تقنية قابلة للتطبيق للتميز بين الإنسان والذكاء الاصطناعي؟

لقد أصبح حل CAPTCHA صعبًا جدًا على المستخدمين في السنوات القليلة الماضية. هل ستكون قادرة على أن تظل فعالة في اكتشاف البريد العشوائي والروبوتات في المستقبل القريب؟

التطبيب عن بعد والرعاية الصحية عن بعد: المستقبل هنا

التطبيب عن بعد والرعاية الصحية عن بعد: المستقبل هنا

ما هو التطبيب عن بعد والرعاية الصحية عن بعد وأثره على الأجيال القادمة؟ هل هو مكان جيد أم لا في حالة الوباء؟ اقرأ المدونة لتجد طريقة عرض!

هل تساءلت يومًا كيف يربح المتسللون الأموال؟

هل تساءلت يومًا كيف يربح المتسللون الأموال؟

ربما سمعت أن المتسللين يكسبون الكثير من المال ، لكن هل تساءلت يومًا كيف يجنون هذا النوع من المال؟ دعنا نناقش.

يتسبب التحديث الإضافي لنظام macOS Catalina 10.15.4 في حدوث مشكلات أكثر من حلها

يتسبب التحديث الإضافي لنظام macOS Catalina 10.15.4 في حدوث مشكلات أكثر من حلها

أصدرت Apple مؤخرًا macOS Catalina 10.15.4 تحديثًا تكميليًا لإصلاح المشكلات ولكن يبدو أن التحديث يتسبب في المزيد من المشكلات التي تؤدي إلى إنشاء أجهزة macOS. قراءة هذه المادة لمعرفة المزيد