So installieren Sie OSSEC HIDS auf einem CentOS 7-Server

Einführung

OSSEC ist ein Open-Source-Host-basiertes Intrusion Detection-System (HIDS), das Protokollanalysen, Integritätsprüfungen, Windows-Registrierungsüberwachung, Rootkit-Erkennung, zeitbasierte Warnungen und aktive Antworten durchführt. Es ist eine unverzichtbare Sicherheitsanwendung auf jedem Server.

OSSEC kann installiert werden, um nur den Server zu überwachen, auf dem es installiert ist (eine lokale Installation), oder als Server installiert werden, um einen oder mehrere Agenten zu überwachen. In diesem Tutorial erfahren Sie, wie Sie OSSEC installieren, um CentOS 7 als lokale Installation zu überwachen.

Voraussetzungen

  • Ein CentOS 7-Server wird vorzugsweise mit SSH-Schlüsseln eingerichtet und mithilfe der Ersteinrichtung eines CentOS 7-Servers angepasst . Melden Sie sich mit dem Standardbenutzerkonto beim Server an. Angenommen, der Benutzername ist Joe .

    ssh -l joe server-ip-address
    

Schritt 1: Installieren Sie die erforderlichen Pakete

OSSEC wird aus dem Quellcode kompiliert, daher benötigen Sie einen Compiler, um dies zu ermöglichen. Für Benachrichtigungen ist außerdem ein zusätzliches Paket erforderlich. Installieren Sie sie, indem Sie Folgendes eingeben:

sudo yum install -y gcc inotify-tools

Schritt 2 - OSSEC herunterladen und überprüfen

OSSEC wird als komprimierter Tarball geliefert, der von der Projektwebsite heruntergeladen werden muss. Die Prüfsummen-Datei, mit der überprüft wird, ob der Tarball nicht manipuliert wurde, muss ebenfalls heruntergeladen werden. Zum Zeitpunkt dieser Veröffentlichung ist die neueste Version von OSSEC 2.8.2. Überprüfen Sie die Download-Seite des Projekts und laden Sie die neueste Version herunter.

Geben Sie Folgendes ein, um den Tarball herunterzuladen:

wget -U ossec http://www.ossec.net/files/ossec-hids-2.8.2.tar.gz

Geben Sie für die Prüfsummendatei Folgendes ein:

wget -U ossec http://www.ossec.net/files/ossec-hids-2.8.2-checksum.txt

Nachdem beide Dateien heruntergeladen wurden, besteht der nächste Schritt darin, die MD5- und SHA1-Prüfsummen des Tarballs zu überprüfen. Geben Sie für die MD5sum Folgendes ein:

md5sum -c ossec-hids-2.8.2-checksum.txt

Die erwartete Ausgabe ist:

ossec-hids-2.8.2.tar.gz: OK
md5sum: WARNING: 1 line is improperly formatted

Geben Sie Folgendes ein, um den SHA1-Hash zu überprüfen:

sha1sum -c ossec-hids-2.8.2-checksum.txt

Und seine erwartete Leistung ist:

ossec-hids-2.8.2.tar.gz: OK
sha1sum: WARNING: 1 line is improperly formatted

Schritt 3: Bestimmen Sie Ihren SMTP-Server

Während des Installationsprozesses von OSSEC werden Sie aufgefordert, einen SMTP-Server für Ihre E-Mail-Adresse anzugeben. Wenn Sie nicht wissen, was es ist, können Sie dies am einfachsten herausfinden, indem Sie diesen Befehl von Ihrem lokalen Computer aus eingeben (ersetzen Sie die gefälschte E-Mail-Adresse durch Ihre echte):

dig -t mx [email protected]

Der entsprechende Abschnitt in der Ausgabe wird in diesem Codeblock angezeigt. In dieser Beispielausgabe befindet sich der SMTP-Server für die abgefragte E-Mail-Adresse am Ende der Zeile - mail.vivaldi.net. . Beachten Sie, dass der Punkt am Ende enthalten ist.

;; ANSWER SECTION:
vivaldi.net.        300 IN  MX  10 mail.vivaldi.net.

Schritt 4: Installieren Sie OSSEC

Um OSSEC zu installieren, müssen Sie zuerst den Tarball entpacken, indem Sie Folgendes eingeben:

tar xf ossec-hids-2.8.2.tar.gz

Es wird in ein Verzeichnis entpackt, das den Namen und die Version des Programms trägt. Ändern oder cdhinein. OSSEC 2.8.2, die für diesen Artikel installierte Version, weist einen kleinen Fehler auf, der vor dem Start der Installation behoben werden muss. Zum Zeitpunkt der Veröffentlichung der nächsten stabilen Version, die OSSEC 2.9 sein sollte, sollte dies nicht erforderlich sein, da sich das Update bereits im Hauptzweig befindet. Wenn Sie es für OSSEC 2.8.2 reparieren, müssen Sie nur eine Datei bearbeiten, die sich im active-responseVerzeichnis befindet. Die Datei ist hosts-deny.sh, also öffnen Sie sie mit:

nano active-response/hosts-deny.sh

Suchen Sie gegen Ende der Datei nach diesem Codeblock:

# Deleting from hosts.deny
elif [ "x$" = "xdelete" ]; then
   lock;
   TMP_FILE = `mktemp /var/ossec/ossec-hosts.XXXXXXXXXX`
   if [ "X$" = "X" ]; then
      # Cheap fake tmpfile, but should be harder then no random data
      TMP_FILE = "/var/ossec/ossec-hosts.`cat /dev/urandom | tr -dc 'a-zA-Z0-9' | fold -w 32 | head -1 `"
   fi

Löschen Sie in den Zeilen, die mit TMP_FILE beginnen , die Leerzeichen um das Zeichen = . Nach dem Entfernen der Leerzeichen sollte dieser Teil der Datei wie im folgenden Codeblock gezeigt sein. Speichern und schließen Sie die Datei.

# Deleting from hosts.deny
elif [ "x$" = "xdelete" ]; then
   lock;
   TMP_FILE=`mktemp /var/ossec/ossec-hosts.XXXXXXXXXX`
   if [ "X$" = "X" ]; then
      # Cheap fake tmpfile, but should be harder then no random data
      TMP_FILE="/var/ossec/ossec-hosts.`cat /dev/urandom | tr -dc 'a-zA-Z0-9' | fold -w 32 | head -1 `"
   fi

Nachdem das Update abgeschlossen ist, können wir den Installationsvorgang starten, indem Sie Folgendes eingeben:

sudo ./install.sh

Während des gesamten Installationsvorgangs werden Sie aufgefordert, Eingaben zu machen. In den meisten Fällen müssen Sie nur die EINGABETASTE drücken , um die Standardeinstellung zu übernehmen. Zunächst werden Sie aufgefordert, die Installationssprache auszuwählen, die standardmäßig Englisch (en) ist. Drücken Sie also die EINGABETASTE, wenn dies Ihre bevorzugte Sprache ist. Andernfalls geben Sie die 2 Buchstaben aus der Liste der unterstützten Sprachen ein. Drücken Sie anschließend erneut die EINGABETASTE .

In der ersten Frage werden Sie gefragt, welche Art von Installation Sie wünschen. Geben Sie hier local ein .

1- What kind of installation do you want (server, agent, local, hybrid or help)? local

Drücken Sie bei nachfolgenden Fragen die EINGABETASTE , um die Standardeinstellung zu übernehmen. In Frage 3.1 werden Sie zur Eingabe Ihrer E-Mail-Adresse aufgefordert und anschließend nach Ihrem SMTP-Server gefragt. Geben Sie für diese Frage eine gültige E-Mail-Adresse und den SMTP-Server ein, den Sie in Schritt 3 ermittelt haben.

3- Configuring the OSSEC HIDS.

   3.1- Do you want e-mail notification? (y/n) [y]: 
      - What's your e-mail address? [email protected]
      - What's your SMTP server ip/host?

Wenn die Installation erfolgreich ist, sollte diese Ausgabe angezeigt werden:

- Configuration finished properly.

...

    More information can be found at http://www.ossec.net

    ---  Press ENTER to finish (maybe more information below). ---

Drücken Sie ENTER um die Installation abzuschließen.

Schritt 5: Starten Sie OSSEC

OSSEC wurde installiert, aber nicht gestartet. Um es zu starten, wechseln Sie zuerst zum Root-Konto.

sudo su

Starten Sie es dann mit dem folgenden Befehl.

/var/ossec/bin/ossec-control start

Überprüfen Sie anschließend Ihren Posteingang. Es sollte eine Warnung von OSSEC angezeigt werden, die Sie darüber informiert, dass es gestartet wurde. Damit wissen Sie jetzt, dass OSSEC installiert ist und bei Bedarf Warnungen sendet.

Schritt 6: Passen Sie OSSEC an

Die Standardkonfiguration von OSSEC funktioniert einwandfrei, es gibt jedoch Einstellungen, die Sie anpassen können, um Ihren Server besser zu schützen. Die erste Datei, die angepasst werden muss, ist die Hauptkonfigurationsdatei - ossec.conf, die Sie im /var/ossec/etcVerzeichnis finden. Öffne die Datei:

nano /var/ossec/etc/ossec.conf

Das erste zu überprüfende Element ist eine E-Mail-Einstellung, die Sie im globalen Abschnitt der Datei finden:

<global>
   <email_notification>yes</email_notification>
   <email_to>[email protected]</email_to>
   <smtp_server>mail.vivaldi.net.</smtp_server>
   <email_from>[email protected]</email_from>
</global>

Stellen Sie sicher, dass die Adresse email_from eine gültige E-Mail ist. Andernfalls markieren die SMTP-Server einiger E-Mail-Anbieter Warnungen von OSSEC als Spam. Wenn der FQDN des Servers nicht festgelegt ist, wird der Domänenteil der E-Mail auf den Hostnamen des Servers festgelegt. Dies ist also eine Einstellung, für die Sie wirklich eine gültige E-Mail-Adresse haben möchten.

Eine weitere Einstellung, die Sie anpassen möchten, insbesondere beim Testen des Systems, ist die Häufigkeit, mit der OSSEC seine Audits ausführt. Diese Einstellung befindet sich im Abschnitt syscheck und wird standardmäßig alle 22 Stunden ausgeführt. Um die Warnfunktionen von OSSEC zu testen, möchten Sie möglicherweise einen niedrigeren Wert festlegen, diesen jedoch später auf den Standardwert zurücksetzen.

<syscheck>
   <!-- Frequency that syscheck is executed - default to every 22 hours -->
   <frequency>79200</frequency>

Standardmäßig warnt OSSEC nicht, wenn dem Server eine neue Datei hinzugefügt wird. Um dies zu ändern, fügen Sie ein neues Tag direkt unter dem <Frequenz> -Tag hinzu. Nach Abschluss sollte der Abschnitt nun Folgendes enthalten:

<syscheck>
   <!-- Frequency that syscheck is executed - default to every 22 hours -->
   <frequency>79200</frequency>

   <alert_new_files>yes</alert_new_files>

Eine letzte Einstellung, die geändert werden sollte, befindet sich in der Liste der Verzeichnisse, die OSSEC überprüfen sollte. Sie finden sie direkt nach der vorherigen Einstellung. Standardmäßig werden die Verzeichnisse wie folgt angezeigt:

<!-- Directories to check  (perform all possible verifications) -->
   <directories check_all="yes">/etc,/usr/bin,/usr/sbin</directories>
   <directories check_all="yes">/bin,/sbin</directories>

Ändern Sie beide Zeilen, damit OSSEC Änderungen in Echtzeit meldet. Wenn sie fertig sind, sollten sie lesen:

<directories report_changes="yes" realtime="yes" check_all="yes">/etc,/usr/bin,/usr/sbin</directories>
<directories report_changes="yes" realtime="yes" check_all="yes">/bin,/sbin</directories>

Speichern und schließen Sie die Datei.

Die nächste Datei, die wir ändern müssen, befindet sich local_rules.xmlim /var/ossec/rulesVerzeichnis. Also cdin dieses Verzeichnis:

cd /var/ossec/rules

Dieses Verzeichnis enthält die Regeldateien von OSSEC, von denen außer der local_rules.xmlDatei keine geändert werden sollte . In dieser Datei fügen wir benutzerdefinierte Regeln hinzu. Die Regel, die wir hinzufügen müssen, wird ausgelöst, wenn eine neue Datei hinzugefügt wird. Diese Regel mit der Nummer 554 löst standardmäßig keine Warnung aus. Dies liegt daran, dass OSSEC keine Warnungen sendet, wenn eine Regel mit der Stufe Null ausgelöst wird.

So sieht Regel 554 standardmäßig aus.

 <rule id="554" level="0">
    <category>ossec</category>
    <decoded_as>syscheck_new_entry</decoded_as>
    <description>File added to the system.</description>
    <group>syscheck,</group>
 </rule>

Wir müssen der local_rules.xmlDatei eine geänderte Version dieser Regel hinzufügen . Diese geänderte Version finden Sie im folgenden Codeblock. Kopieren Sie es und fügen Sie es am Ende der Datei kurz vor dem schließenden Tag hinzu.

 <rule id="554" level="7" overwrite="yes">
    <category>ossec</category>
    <decoded_as>syscheck_new_entry</decoded_as>
    <description>File added to the system.</description>
    <group>syscheck,</group>
 </rule>

Speichern und schließen Sie die Datei und starten Sie OSSEC neu.

/var/ossec/bin/ossec-control restart

Mehr Informationen

OSSEC ist eine sehr leistungsfähige Software, und dieser Artikel hat nur die Grundlagen angesprochen. Weitere Anpassungseinstellungen finden Sie in der offiziellen Dokumentation .



Leave a Comment

So installieren Sie MODX Revolution auf einem CentOS 7 LAMP VPS

So installieren Sie MODX Revolution auf einem CentOS 7 LAMP VPS

Verwenden Sie ein anderes System? MODX Revolution ist ein schnelles, flexibles, skalierbares, kostenloses und Open-Source-Content-Management-System (CMS) für Unternehmen, das i

Richten Sie mit OpenVPN Ihr eigenes privates Netzwerk ein

Richten Sie mit OpenVPN Ihr eigenes privates Netzwerk ein

Vultr bietet Ihnen eine hervorragende Konnektivität für private Netzwerke für Server, die am selben Standort ausgeführt werden. Aber manchmal möchten Sie zwei Server in verschiedenen Ländern

So installieren und konfigurieren Sie CyberPanel auf Ihrem CentOS 7-Server

So installieren und konfigurieren Sie CyberPanel auf Ihrem CentOS 7-Server

Verwenden Sie ein anderes System? Einführung CyberPanel ist eines der ersten Control Panels auf dem Markt, das sowohl Open Source als auch OpenLiteSpeed ​​verwendet. Was ist das?

Installieren Sie eSpeak unter CentOS 7

Installieren Sie eSpeak unter CentOS 7

Verwenden Sie ein anderes System? ESpeak kann TTS-Audiodateien (Text-to-Speech) generieren. Diese können aus vielen Gründen nützlich sein, z. B. um Ihr eigenes Turin zu erstellen

So installieren Sie Thelia 2.3 unter CentOS 7

So installieren Sie Thelia 2.3 unter CentOS 7

Verwenden Sie ein anderes System? Thelia ist ein Open-Source-Tool zum Erstellen von E-Business-Websites und zum Verwalten von Online-Inhalten, die in PHP geschrieben wurden. Thelia Quellcode i

So installieren Sie Cockpit unter CentOS 7

So installieren Sie Cockpit unter CentOS 7

Cockpit ist ein kostenloses Open Source-Programm für die Linux-Serververwaltung. Es ist sehr leicht und hat eine schöne, einfach zu bedienende Weboberfläche. Es erlaubt System

So richten Sie ein GitHub Style Wiki mit Gollum unter CentOS 7 ein

So richten Sie ein GitHub Style Wiki mit Gollum unter CentOS 7 ein

Gollum ist die Git-basierte Wiki-Software, die als Backend des GitHub-Wikis verwendet wird. Durch die Bereitstellung von Gollum können Sie ein GitHub-ähnliches Wiki-System auf Ihnen hosten

So stellen Sie Google BBR unter CentOS 7 bereit

So stellen Sie Google BBR unter CentOS 7 bereit

BBR (Bottleneck Bandwidth and RTT) ist ein neuer Algorithmus zur Überlastungskontrolle, der von Google zum Linux-Kernel-TCP-Stack hinzugefügt wird. Mit BBR an Ort und Stelle,

So installieren Sie YOURLS unter CentOS 7

So installieren Sie YOURLS unter CentOS 7

YOURLS (Your Own URL Shortener) ist eine Open-Source-Anwendung zur URL-Verkürzung und Datenanalyse. In diesem Artikel werden wir den Installationsprozess behandeln

Richten Sie Nginx-RTMP unter CentOS 7 ein

Richten Sie Nginx-RTMP unter CentOS 7 ein

Verwenden Sie ein anderes System? RTMP eignet sich hervorragend für die Bereitstellung von Live-Inhalten. Wenn RTMP mit FFmpeg gekoppelt ist, können Streams in verschiedene Qualitäten konvertiert werden. Vultr i

So installieren Sie LimeSurvey unter CentOS 7

So installieren Sie LimeSurvey unter CentOS 7

LimeSurvey ist ein kostenloses und Open-Source-Online-Umfragetool, das häufig zum Veröffentlichen von Online-Umfragen und zum Sammeln von Umfrage-Feedback verwendet wird. In diesem Artikel werde ich

Installieren Sie Java SE unter CentOS

Installieren Sie Java SE unter CentOS

Einführung Java ist eine beliebte Softwareplattform, mit der Sie Java-Anwendungen und -Applets in verschiedenen Hardwareumgebungen entwickeln und ausführen können. Es gibt

Installieren von Netdata unter CentOS 7

Installieren von Netdata unter CentOS 7

Verwenden Sie ein anderes System? Netdata ist ein aufstrebender Stern im Bereich der Echtzeitüberwachung von Systemmetriken. Im Vergleich zu anderen Tools der gleichen Art bietet Netdata:

So installieren Sie Just Cause 2 (JC2-MP) Server unter CentOS 7

So installieren Sie Just Cause 2 (JC2-MP) Server unter CentOS 7

In diesem Tutorial erfahren Sie, wie Sie einen Just Cause 2-Multiplayer-Server einrichten. Voraussetzungen Bitte stellen Sie sicher, dass das System vollständig aktualisiert ist, bevor Sie beginnen

So installieren Sie Starbound Server unter CentOS 7

So installieren Sie Starbound Server unter CentOS 7

Verwenden Sie ein anderes System? In diesem Tutorial werde ich erklären, wie ein Starbound-Server unter CentOS 7 eingerichtet wird. Voraussetzungen Sie müssen dieses Spiel besitzen

Installieren und Konfigurieren von ZNC unter CentOS 7

Installieren und Konfigurieren von ZNC unter CentOS 7

ZNC ist ein kostenloser Open-Source-IRC-Bouncer, der permanent mit einem Netzwerk verbunden bleibt, sodass Clients Nachrichten empfangen können, die gesendet werden, während sie offline sind. Thi

So installieren Sie Django unter CentOS 7

So installieren Sie Django unter CentOS 7

Django ist ein beliebtes Python-Framework zum Schreiben von Webanwendungen. Mit Django können Sie Anwendungen schneller erstellen, ohne das Rad neu zu erfinden. Wenn du willst

So richten Sie den ionCube Loader unter CentOS 7 ein

So richten Sie den ionCube Loader unter CentOS 7 ein

ionCube Loader ist eine PHP-Erweiterung, mit der ein Webserver PHP-Dateien ausführen kann, die mit ionCube Encoder codiert wurden und für deren Ausführung erforderlich sind

So installieren Sie PufferPanel (kostenlose Minecraft-Systemsteuerung) unter CentOS 7

So installieren Sie PufferPanel (kostenlose Minecraft-Systemsteuerung) unter CentOS 7

Einführung Installieren Sie in diesem Tutorial PufferPanel auf unserem Vultr VPS. PufferPanel ist ein Open Source-Bedienfeld, das Sie kostenlos verwalten können

So installieren Sie BoltWire CMS unter CentOS 7

So installieren Sie BoltWire CMS unter CentOS 7

Verwenden Sie ein anderes System? Einführung BoltWire ist ein kostenloses und leichtes Content-Management-System, das in PHP geschrieben wurde. Im Vergleich zu den meisten anderen Content Managern

Kann KI mit zunehmender Anzahl von Ransomware-Angriffen kämpfen?

Kann KI mit zunehmender Anzahl von Ransomware-Angriffen kämpfen?

Ransomware-Angriffe nehmen zu, aber kann KI helfen, den neuesten Computervirus zu bekämpfen? Ist KI die Antwort? Lesen Sie hier, ob KI boone oder bane ist

ReactOS: Ist das die Zukunft von Windows?

ReactOS: Ist das die Zukunft von Windows?

ReactOS, ein quelloffenes und kostenloses Betriebssystem, ist hier mit der neuesten Version. Kann es den Anforderungen moderner Windows-Benutzer genügen und Microsoft zu Fall bringen? Lassen Sie uns mehr über dieses alte, aber neuere Betriebssystem erfahren.

Bleiben Sie in Verbindung über die WhatsApp Desktop App 24*7

Bleiben Sie in Verbindung über die WhatsApp Desktop App 24*7

Whatsapp hat endlich die Desktop-App für Mac- und Windows-Benutzer auf den Markt gebracht. Jetzt können Sie ganz einfach von Windows oder Mac auf WhatsApp zugreifen. Verfügbar für Windows 8+ und Mac OS 10.9+

Wie kann KI die Prozessautomatisierung auf die nächste Stufe heben?

Wie kann KI die Prozessautomatisierung auf die nächste Stufe heben?

Lesen Sie dies, um zu erfahren, wie Künstliche Intelligenz bei kleinen Unternehmen beliebt wird und wie sie die Wahrscheinlichkeit erhöht, sie wachsen zu lassen und ihren Konkurrenten einen Vorsprung zu verschaffen.

macOS Catalina 10.15.4 Supplement Update verursacht mehr Probleme als sie zu lösen

macOS Catalina 10.15.4 Supplement Update verursacht mehr Probleme als sie zu lösen

Vor kurzem hat Apple macOS Catalina 10.15.4 als Ergänzungsupdate veröffentlicht, um Probleme zu beheben, aber es scheint, dass das Update mehr Probleme verursacht, die zum Bricking von Mac-Computern führen. Lesen Sie diesen Artikel, um mehr zu erfahren

13 Tools zur kommerziellen Datenextraktion von Big Data

13 Tools zur kommerziellen Datenextraktion von Big Data

13 Tools zur kommerziellen Datenextraktion von Big Data

Was ist ein Journaling-Dateisystem und wie funktioniert es?

Was ist ein Journaling-Dateisystem und wie funktioniert es?

Unser Computer speichert alle Daten in einer organisierten Weise, die als Journaling-Dateisystem bekannt ist. Es ist eine effiziente Methode, die es dem Computer ermöglicht, Dateien zu suchen und anzuzeigen, sobald Sie auf die Suche klicken.https://wethegeek.com/?p=94116&preview=true

Technologische Singularität: Eine ferne Zukunft der menschlichen Zivilisation?

Technologische Singularität: Eine ferne Zukunft der menschlichen Zivilisation?

Da sich die Wissenschaft schnell weiterentwickelt und einen Großteil unserer Bemühungen übernimmt, steigt auch das Risiko, uns einer unerklärlichen Singularität auszusetzen. Lesen Sie, was Singularität für uns bedeuten könnte.

Ein Einblick in 26 Big-Data-Analysetechniken: Teil 1

Ein Einblick in 26 Big-Data-Analysetechniken: Teil 1

Ein Einblick in 26 Big-Data-Analysetechniken: Teil 1

Der Einfluss künstlicher Intelligenz im Gesundheitswesen 2021

Der Einfluss künstlicher Intelligenz im Gesundheitswesen 2021

KI im Gesundheitswesen hat in den letzten Jahrzehnten große Fortschritte gemacht. Somit wächst die Zukunft der KI im Gesundheitswesen immer noch von Tag zu Tag.