كيفية تثبيت OSSEC HIDS على خادم CentOS 7

• المقدمة
• المتطلبات الأساسية
• الخطوة 1: تثبيت الحزم المطلوبة
• الخطوة 2 - تنزيل OSSEC والتحقق منه
• الخطوة 3: تحديد خادم SMTP الخاص بك
• الخطوة 4: تثبيت OSSEC
• الخطوة 5: ابدأ OSSEC
• الخطوة 6: تخصيص OSSEC
• معلومات اكثر

المقدمة

OSSEC هو نظام كشف التسلل مفتوح المصدر يعتمد على المضيف (HIDS) الذي يقوم بتحليل السجل ، والتحقق من التكامل ، ومراقبة تسجيل Windows ، واكتشاف الجذور الخفية ، والتنبيه القائم على الوقت ، والاستجابة النشطة. إنه تطبيق أمان لا بد منه على أي خادم.

يمكن تثبيت OSSEC لمراقبة الخادم المثبت عليه فقط (تثبيت محلي) ، أو يمكن تثبيته كخادم لمراقبة وكيل واحد أو أكثر. في هذا البرنامج التعليمي ، ستتعلم كيفية تثبيت OSSEC لمراقبة CentOS 7 كتثبيت محلي.

المتطلبات الأساسية

• يفضل إعداد خادم CentOS 7 باستخدام مفاتيح SSH وتخصيصه باستخدام الإعداد الأولي لخادم CentOS 7 . قم بتسجيل الدخول إلى الخادم باستخدام حساب المستخدم القياسي. افترض أن اسم المستخدم هو جو .

  ssh -l joe server-ip-address
  

الخطوة 1: تثبيت الحزم المطلوبة

سيتم تجميع OSSEC من المصدر ، لذلك تحتاج إلى مترجم لجعل ذلك ممكنًا. يتطلب أيضًا حزمة إضافية للإشعارات. قم بتثبيتها عن طريق كتابة:

sudo yum install -y gcc inotify-tools

الخطوة 2 - تنزيل OSSEC والتحقق منه

يتم تقديم OSSEC ككرة مضغوطة يجب تنزيلها من موقع المشروع على الإنترنت. يجب أيضًا تنزيل ملف المجموع الاختباري ، والذي سيتم استخدامه للتحقق من عدم العبث بـ tarball. في وقت هذا المنشور ، كان أحدث إصدار من OSSEC هو 2.8.2. تحقق من صفحة تنزيل المشروع وقم بتنزيل أحدث إصدار.

لتنزيل ملف tarball ، اكتب:

wget -U ossec http://www.ossec.net/files/ossec-hids-2.8.2.tar.gz

لملف المجموع الاختباري ، اكتب:

wget -U ossec http://www.ossec.net/files/ossec-hids-2.8.2-checksum.txt

مع تنزيل كلا الملفين ، فإن الخطوة التالية هي التحقق من المجموع الاختباري MD5 و SHA1 للكرة. بالنسبة إلى MD5sum ، اكتب:

md5sum -c ossec-hids-2.8.2-checksum.txt

المخرجات المتوقعة هي:

ossec-hids-2.8.2.tar.gz: OK
md5sum: WARNING: 1 line is improperly formatted

للتحقق من تجزئة SHA1 ، اكتب:

sha1sum -c ossec-hids-2.8.2-checksum.txt

والناتج المتوقع هو:

ossec-hids-2.8.2.tar.gz: OK
sha1sum: WARNING: 1 line is improperly formatted

الخطوة 3: تحديد خادم SMTP الخاص بك

أثناء عملية تثبيت OSSEC ، ستتم مطالبتك بتحديد خادم SMTP لعنوان بريدك الإلكتروني. إذا كنت لا تعرف ما هي ، فإن أسهل طريقة لاكتشاف ذلك هي إصدار هذا الأمر من جهازك المحلي (استبدل عنوان البريد الإلكتروني المزيف بعنوانك الحقيقي):

dig -t mx [email protected]

يتم عرض القسم ذي الصلة في الإخراج في مقطع التعليمات البرمجية هذا. في نموذج الإخراج هذا ، يكون خادم SMTP لعنوان البريد الإلكتروني المستعلم عنه في نهاية السطر - mail.vivaldi.net. . لاحظ أنه تم تضمين النقطة في النهاية.

;; ANSWER SECTION:
vivaldi.net.        300 IN  MX  10 mail.vivaldi.net.

الخطوة 4: تثبيت OSSEC

لتثبيت OSSEC ، تحتاج أولاً إلى فك حزمة tarball ، التي تقوم بها بكتابة:

tar xf ossec-hids-2.8.2.tar.gz

سيتم تفريغها في دليل يحمل اسم البرنامج وإصداره. تغيير أو cdإلى ذلك. يحتوي الإصدار OSSEC 2.8.2 ، الإصدار المثبت لهذه المقالة ، على خطأ بسيط يجب إصلاحه قبل بدء التثبيت. في الوقت الذي يتم فيه إصدار الإصدار الثابت التالي ، والذي يجب أن يكون OSSEC 2.9 ، لن يكون هذا ضروريًا ، لأن الإصلاح موجود بالفعل في الفرع الرئيسي. إصلاحه لـ OSSEC 2.8.2 يعني فقط تحرير ملف واحد موجود في active-responseالدليل. الملف hosts-deny.sh، لذا افتحه باستخدام:

nano active-response/hosts-deny.sh

في نهاية الملف ، ابحث عن هذا الكود:

# Deleting from hosts.deny
elif [ "x$" = "xdelete" ]; then
   lock;
   TMP_FILE = `mktemp /var/ossec/ossec-hosts.XXXXXXXXXX`
   if [ "X$" = "X" ]; then
      # Cheap fake tmpfile, but should be harder then no random data
      TMP_FILE = "/var/ossec/ossec-hosts.`cat /dev/urandom | tr -dc 'a-zA-Z0-9' | fold -w 32 | head -1 `"
   fi

في الأسطر التي تبدأ بـ TMP_FILE ، احذف المسافات حول العلامة = . بعد إزالة المسافات ، يجب أن يكون هذا الجزء من الملف كما هو موضح في كتلة التعليمات البرمجية أدناه. أحفظ وأغلق الملف.

# Deleting from hosts.deny
elif [ "x$" = "xdelete" ]; then
   lock;
   TMP_FILE=`mktemp /var/ossec/ossec-hosts.XXXXXXXXXX`
   if [ "X$" = "X" ]; then
      # Cheap fake tmpfile, but should be harder then no random data
      TMP_FILE="/var/ossec/ossec-hosts.`cat /dev/urandom | tr -dc 'a-zA-Z0-9' | fold -w 32 | head -1 `"
   fi

الآن بعد أن تم إصلاح المشكلة ، يمكننا بدء عملية التثبيت ، والتي تقوم بها عن طريق كتابة:

sudo ./install.sh

خلال عملية التثبيت ، ستتم مطالبتك بتوفير بعض المدخلات. في معظم الحالات ، عليك فقط الضغط على ENTER لقبول الإعداد الافتراضي. أولاً ، ستتم مطالبتك بتحديد لغة التثبيت ، والتي تكون بشكل افتراضي هي الإنجليزية (en). لذا اضغط على ENTER إذا كانت هذه هي لغتك المفضلة. خلاف ذلك ، أدخل الحرفين من قائمة اللغات المدعومة. بعد ذلك ، اضغط ENTER مرة أخرى.

سيسألك السؤال الأول عن نوع التثبيت الذي تريده. هنا ، أدخل المحلية .

1- What kind of installation do you want (server, agent, local, hybrid or help)? local

بالنسبة للأسئلة اللاحقة ، اضغط على ENTER لقبول الإعداد الافتراضي. سيطالبك السؤال 3.1 بعنوان بريدك الإلكتروني ثم يطلب خادم SMTP الخاص بك. لهذا السؤال ، أدخل عنوان بريد إلكتروني صالحًا وخادم SMTP الذي حددته في الخطوة 3.

3- Configuring the OSSEC HIDS.

   3.1- Do you want e-mail notification? (y/n) [y]: 
      - What's your e-mail address? [email protected]
      - What's your SMTP server ip/host?

إذا كان التثبيت ناجحًا ، فسترى هذا الإخراج:

- Configuration finished properly.

...

    More information can be found at http://www.ossec.net

    ---  Press ENTER to finish (maybe more information below). ---

اضغط على ENTER لإنهاء التثبيت.

الخطوة 5: ابدأ OSSEC

تم تثبيت OSSEC ، ولكن لم يبدأ. لبدء تشغيله ، قم أولاً بالتبديل إلى الحساب الجذر.

sudo su

ثم ابدأ تشغيله بإصدار الأمر التالي.

/var/ossec/bin/ossec-control start

بعد ذلك ، تحقق من بريدك الوارد. يجب أن يكون هناك تنبيه من OSSEC يخبرك أنه قد بدأ. مع ذلك ، أنت تعرف الآن أن OSSEC مثبت وسيتم إرسال تنبيهات حسب الحاجة.

الخطوة 6: تخصيص OSSEC

يعمل التكوين الافتراضي لـ OSSEC بشكل جيد ، ولكن هناك إعدادات يمكنك تعديلها لجعلها تحمي خادمك بشكل أفضل. أول ملف يتم تخصيصه هو ملف التكوين الرئيسي - ossec.confوالذي ستجده في /var/ossec/etcالدليل. افتح الملف:

nano /var/ossec/etc/ossec.conf

العنصر الأول للتحقق من هو إعداد للبريد الإلكتروني، والتي ستجد في عالمي المقطع من الملف:

<global>
   <email_notification>yes</email_notification>
   <email_to>[email protected]</email_to>
   <smtp_server>mail.vivaldi.net.</smtp_server>
   <email_from>[email protected]</email_from>
</global>

تأكد من أن عنوان email_from هو بريد إلكتروني صالح. خلاف ذلك ، سيقوم بعض خادم SMTP لموفر البريد الإلكتروني بوضع علامة على التنبيهات من OSSEC كرسائل غير مرغوب فيها. إذا لم يتم تعيين FQDN الخاص بالخادم ، فسيتم تعيين جزء المجال من البريد الإلكتروني على اسم مضيف الخادم ، لذلك هذا هو الإعداد الذي تريده حقًا للحصول على عنوان بريد إلكتروني صالح.

الإعداد الآخر الذي تريد تخصيصه ، خاصة أثناء اختبار النظام ، هو التردد الذي تقوم به OSSEC بتدقيقها. هذا الإعداد موجود في قسم فحص النظام ، ويتم تشغيله افتراضيًا كل 22 ساعة. لاختبار ميزات التنبيه OSSEC ، قد ترغب في تعيينه على قيمة أقل ، ولكن إعادة تعيينه إلى القيمة الافتراضية بعد ذلك.

<syscheck>
   <!-- Frequency that syscheck is executed - default to every 22 hours -->
   <frequency>79200</frequency>

بشكل افتراضي ، لا تنبه OSSEC عند إضافة ملف جديد إلى الخادم. لتغيير ذلك ، أضف علامة جديدة أسفل علامة <تكرار> مباشرةً. عند الانتهاء ، يجب أن يحتوي القسم الآن على:

<syscheck>
   <!-- Frequency that syscheck is executed - default to every 22 hours -->
   <frequency>79200</frequency>

   <alert_new_files>yes</alert_new_files>

أحد الإعدادات الأخيرة الجيدة للتغيير هو في القائمة إلى الدلائل التي يجب على OSSEC التحقق منها. ستجدهم مباشرة بعد الإعداد السابق. تكون افتراضية ، يتم عرض الدلائل كما يلي:

<!-- Directories to check  (perform all possible verifications) -->
   <directories check_all="yes">/etc,/usr/bin,/usr/sbin</directories>
   <directories check_all="yes">/bin,/sbin</directories>

تعديل كلا الخطين لإجراء تغييرات تقرير OSSEC في الوقت الحقيقي. عند الانتهاء ، يجب قراءة ما يلي:

<directories report_changes="yes" realtime="yes" check_all="yes">/etc,/usr/bin,/usr/sbin</directories>
<directories report_changes="yes" realtime="yes" check_all="yes">/bin,/sbin</directories>

أحفظ وأغلق الملف.

الملف التالي الذي سنحتاج إلى تعديله موجود local_rules.xmlفي /var/ossec/rulesالدليل. لذلك cdفي هذا الدليل:

cd /var/ossec/rules

يحتوي هذا الدليل على ملفات قواعد OSSEC ، ولا يجب تعديل أي منها ، باستثناء local_rules.xmlالملف. في هذا الملف ، نضيف قواعد مخصصة. القاعدة التي نحتاج إلى إضافتها هي القاعدة التي تنطلق عند إضافة ملف جديد. هذه القاعدة ، المرقمة 554 ، لا تشغل تنبيهًا افتراضيًا. ذلك لأن OSSEC لا يرسل تنبيهات عند تشغيل قاعدة ذات مستوى معين على الصفر.

إليك ما تبدو عليه القاعدة 554 بشكل افتراضي.

 <rule id="554" level="0">
    <category>ossec</category>
    <decoded_as>syscheck_new_entry</decoded_as>
    <description>File added to the system.</description>
    <group>syscheck,</group>
 </rule>

نحتاج إلى إضافة نسخة معدلة من هذه القاعدة في local_rules.xmlالملف. يتم تقديم هذه النسخة المعدلة في كتلة التعليمات البرمجية أدناه. انسخه وأضفه إلى أسفل الملف قبل علامة الإغلاق مباشرةً.

 <rule id="554" level="7" overwrite="yes">
    <category>ossec</category>
    <decoded_as>syscheck_new_entry</decoded_as>
    <description>File added to the system.</description>
    <group>syscheck,</group>
 </rule>

احفظ وأغلق الملف ثم أعد تشغيل OSSEC.

/var/ossec/bin/ossec-control restart

معلومات اكثر

OSSEC هو برنامج قوي جدًا ، وقد تطرق هذا المقال إلى الأساسيات. ستجد المزيد من إعدادات التخصيص في الوثائق الرسمية .