OSSEC ist ein Open-Source-Host-basiertes Intrusion Detection-System (HIDS), das Protokollanalysen, Integritätsprüfungen, Windows-Registrierungsüberwachung, Rootkit-Erkennung, zeitbasierte Warnungen und aktive Antworten durchführt. Es ist eine unverzichtbare Sicherheitsanwendung auf jedem Server.
OSSEC kann installiert werden, um nur den Server zu überwachen, auf dem es installiert ist (eine lokale Installation), oder als Server installiert werden, um einen oder mehrere Agenten zu überwachen. In diesem Tutorial erfahren Sie, wie Sie OSSEC installieren, um CentOS 7 als lokale Installation zu überwachen.
Ein CentOS 7-Server wird vorzugsweise mit SSH-Schlüsseln eingerichtet und mithilfe der Ersteinrichtung eines CentOS 7-Servers angepasst . Melden Sie sich mit dem Standardbenutzerkonto beim Server an. Angenommen, der Benutzername ist Joe .
ssh -l joe server-ip-address
OSSEC wird aus dem Quellcode kompiliert, daher benötigen Sie einen Compiler, um dies zu ermöglichen. Für Benachrichtigungen ist außerdem ein zusätzliches Paket erforderlich. Installieren Sie sie, indem Sie Folgendes eingeben:
sudo yum install -y gcc inotify-tools
OSSEC wird als komprimierter Tarball geliefert, der von der Projektwebsite heruntergeladen werden muss. Die Prüfsummen-Datei, mit der überprüft wird, ob der Tarball nicht manipuliert wurde, muss ebenfalls heruntergeladen werden. Zum Zeitpunkt dieser Veröffentlichung ist die neueste Version von OSSEC 2.8.2. Überprüfen Sie die Download-Seite des Projekts und laden Sie die neueste Version herunter.
Geben Sie Folgendes ein, um den Tarball herunterzuladen:
wget -U ossec http://www.ossec.net/files/ossec-hids-2.8.2.tar.gz
Geben Sie für die Prüfsummendatei Folgendes ein:
wget -U ossec http://www.ossec.net/files/ossec-hids-2.8.2-checksum.txt
Nachdem beide Dateien heruntergeladen wurden, besteht der nächste Schritt darin, die MD5- und SHA1-Prüfsummen des Tarballs zu überprüfen. Geben Sie für die MD5sum Folgendes ein:
md5sum -c ossec-hids-2.8.2-checksum.txt
Die erwartete Ausgabe ist:
ossec-hids-2.8.2.tar.gz: OK
md5sum: WARNING: 1 line is improperly formatted
Geben Sie Folgendes ein, um den SHA1-Hash zu überprüfen:
sha1sum -c ossec-hids-2.8.2-checksum.txt
Und seine erwartete Leistung ist:
ossec-hids-2.8.2.tar.gz: OK
sha1sum: WARNING: 1 line is improperly formatted
Während des Installationsprozesses von OSSEC werden Sie aufgefordert, einen SMTP-Server für Ihre E-Mail-Adresse anzugeben. Wenn Sie nicht wissen, was es ist, können Sie dies am einfachsten herausfinden, indem Sie diesen Befehl von Ihrem lokalen Computer aus eingeben (ersetzen Sie die gefälschte E-Mail-Adresse durch Ihre echte):
dig -t mx you@example.com
Der entsprechende Abschnitt in der Ausgabe wird in diesem Codeblock angezeigt. In dieser Beispielausgabe befindet sich der SMTP-Server für die abgefragte E-Mail-Adresse am Ende der Zeile - mail.vivaldi.net. . Beachten Sie, dass der Punkt am Ende enthalten ist.
;; ANSWER SECTION:
vivaldi.net. 300 IN MX 10 mail.vivaldi.net.
Um OSSEC zu installieren, müssen Sie zuerst den Tarball entpacken, indem Sie Folgendes eingeben:
tar xf ossec-hids-2.8.2.tar.gz
Es wird in ein Verzeichnis entpackt, das den Namen und die Version des Programms trägt. Ändern oder cdhinein. OSSEC 2.8.2, die für diesen Artikel installierte Version, weist einen kleinen Fehler auf, der vor dem Start der Installation behoben werden muss. Zum Zeitpunkt der Veröffentlichung der nächsten stabilen Version, die OSSEC 2.9 sein sollte, sollte dies nicht erforderlich sein, da sich das Update bereits im Hauptzweig befindet. Wenn Sie es für OSSEC 2.8.2 reparieren, müssen Sie nur eine Datei bearbeiten, die sich im active-responseVerzeichnis befindet. Die Datei ist hosts-deny.sh, also öffnen Sie sie mit:
nano active-response/hosts-deny.sh
Suchen Sie gegen Ende der Datei nach diesem Codeblock:
# Deleting from hosts.deny
elif [ "x$" = "xdelete" ]; then
lock;
TMP_FILE = `mktemp /var/ossec/ossec-hosts.XXXXXXXXXX`
if [ "X$" = "X" ]; then
# Cheap fake tmpfile, but should be harder then no random data
TMP_FILE = "/var/ossec/ossec-hosts.`cat /dev/urandom | tr -dc 'a-zA-Z0-9' | fold -w 32 | head -1 `"
fi
Löschen Sie in den Zeilen, die mit TMP_FILE beginnen , die Leerzeichen um das Zeichen = . Nach dem Entfernen der Leerzeichen sollte dieser Teil der Datei wie im folgenden Codeblock gezeigt sein. Speichern und schließen Sie die Datei.
# Deleting from hosts.deny
elif [ "x$" = "xdelete" ]; then
lock;
TMP_FILE=`mktemp /var/ossec/ossec-hosts.XXXXXXXXXX`
if [ "X$" = "X" ]; then
# Cheap fake tmpfile, but should be harder then no random data
TMP_FILE="/var/ossec/ossec-hosts.`cat /dev/urandom | tr -dc 'a-zA-Z0-9' | fold -w 32 | head -1 `"
fi
Nachdem das Update abgeschlossen ist, können wir den Installationsvorgang starten, indem Sie Folgendes eingeben:
sudo ./install.sh
Während des gesamten Installationsvorgangs werden Sie aufgefordert, Eingaben zu machen. In den meisten Fällen müssen Sie nur die EINGABETASTE drücken , um die Standardeinstellung zu übernehmen. Zunächst werden Sie aufgefordert, die Installationssprache auszuwählen, die standardmäßig Englisch (en) ist. Drücken Sie also die EINGABETASTE, wenn dies Ihre bevorzugte Sprache ist. Andernfalls geben Sie die 2 Buchstaben aus der Liste der unterstützten Sprachen ein. Drücken Sie anschließend erneut die EINGABETASTE .
In der ersten Frage werden Sie gefragt, welche Art von Installation Sie wünschen. Geben Sie hier local ein .
1- What kind of installation do you want (server, agent, local, hybrid or help)? local
Drücken Sie bei nachfolgenden Fragen die EINGABETASTE , um die Standardeinstellung zu übernehmen. In Frage 3.1 werden Sie zur Eingabe Ihrer E-Mail-Adresse aufgefordert und anschließend nach Ihrem SMTP-Server gefragt. Geben Sie für diese Frage eine gültige E-Mail-Adresse und den SMTP-Server ein, den Sie in Schritt 3 ermittelt haben.
3- Configuring the OSSEC HIDS.
3.1- Do you want e-mail notification? (y/n) [y]:
- What's your e-mail address? you@example.com
- What's your SMTP server ip/host?
Wenn die Installation erfolgreich ist, sollte diese Ausgabe angezeigt werden:
- Configuration finished properly.
...
More information can be found at http://www.ossec.net
--- Press ENTER to finish (maybe more information below). ---
Drücken Sie ENTER um die Installation abzuschließen.
OSSEC wurde installiert, aber nicht gestartet. Um es zu starten, wechseln Sie zuerst zum Root-Konto.
sudo su
Starten Sie es dann mit dem folgenden Befehl.
/var/ossec/bin/ossec-control start
Überprüfen Sie anschließend Ihren Posteingang. Es sollte eine Warnung von OSSEC angezeigt werden, die Sie darüber informiert, dass es gestartet wurde. Damit wissen Sie jetzt, dass OSSEC installiert ist und bei Bedarf Warnungen sendet.
Die Standardkonfiguration von OSSEC funktioniert einwandfrei, es gibt jedoch Einstellungen, die Sie anpassen können, um Ihren Server besser zu schützen. Die erste Datei, die angepasst werden muss, ist die Hauptkonfigurationsdatei - ossec.conf, die Sie im /var/ossec/etcVerzeichnis finden. Öffne die Datei:
nano /var/ossec/etc/ossec.conf
Das erste zu überprüfende Element ist eine E-Mail-Einstellung, die Sie im globalen Abschnitt der Datei finden:
<global>
<email_notification>yes</email_notification>
<email_to>finid@vivaldi.net</email_to>
<smtp_server>mail.vivaldi.net.</smtp_server>
<email_from>ossecm@vultr.guest</email_from>
</global>
Stellen Sie sicher, dass die Adresse email_from eine gültige E-Mail ist. Andernfalls markieren die SMTP-Server einiger E-Mail-Anbieter Warnungen von OSSEC als Spam. Wenn der FQDN des Servers nicht festgelegt ist, wird der Domänenteil der E-Mail auf den Hostnamen des Servers festgelegt. Dies ist also eine Einstellung, für die Sie wirklich eine gültige E-Mail-Adresse haben möchten.
Eine weitere Einstellung, die Sie anpassen möchten, insbesondere beim Testen des Systems, ist die Häufigkeit, mit der OSSEC seine Audits ausführt. Diese Einstellung befindet sich im Abschnitt syscheck und wird standardmäßig alle 22 Stunden ausgeführt. Um die Warnfunktionen von OSSEC zu testen, möchten Sie möglicherweise einen niedrigeren Wert festlegen, diesen jedoch später auf den Standardwert zurücksetzen.
<syscheck>
<!-- Frequency that syscheck is executed - default to every 22 hours -->
<frequency>79200</frequency>
Standardmäßig warnt OSSEC nicht, wenn dem Server eine neue Datei hinzugefügt wird. Um dies zu ändern, fügen Sie ein neues Tag direkt unter dem <Frequenz> -Tag hinzu. Nach Abschluss sollte der Abschnitt nun Folgendes enthalten:
<syscheck>
<!-- Frequency that syscheck is executed - default to every 22 hours -->
<frequency>79200</frequency>
<alert_new_files>yes</alert_new_files>
Eine letzte Einstellung, die geändert werden sollte, befindet sich in der Liste der Verzeichnisse, die OSSEC überprüfen sollte. Sie finden sie direkt nach der vorherigen Einstellung. Standardmäßig werden die Verzeichnisse wie folgt angezeigt:
<!-- Directories to check (perform all possible verifications) -->
<directories check_all="yes">/etc,/usr/bin,/usr/sbin</directories>
<directories check_all="yes">/bin,/sbin</directories>
Ändern Sie beide Zeilen, damit OSSEC Änderungen in Echtzeit meldet. Wenn sie fertig sind, sollten sie lesen:
<directories report_changes="yes" realtime="yes" check_all="yes">/etc,/usr/bin,/usr/sbin</directories>
<directories report_changes="yes" realtime="yes" check_all="yes">/bin,/sbin</directories>
Speichern und schließen Sie die Datei.
Die nächste Datei, die wir ändern müssen, befindet sich local_rules.xmlim /var/ossec/rulesVerzeichnis. Also cdin dieses Verzeichnis:
cd /var/ossec/rules
Dieses Verzeichnis enthält die Regeldateien von OSSEC, von denen außer der local_rules.xmlDatei keine geändert werden sollte . In dieser Datei fügen wir benutzerdefinierte Regeln hinzu. Die Regel, die wir hinzufügen müssen, wird ausgelöst, wenn eine neue Datei hinzugefügt wird. Diese Regel mit der Nummer 554 löst standardmäßig keine Warnung aus. Dies liegt daran, dass OSSEC keine Warnungen sendet, wenn eine Regel mit der Stufe Null ausgelöst wird.
So sieht Regel 554 standardmäßig aus.
<rule id="554" level="0">
<category>ossec</category>
<decoded_as>syscheck_new_entry</decoded_as>
<description>File added to the system.</description>
<group>syscheck,</group>
</rule>
Wir müssen der local_rules.xmlDatei eine geänderte Version dieser Regel hinzufügen . Diese geänderte Version finden Sie im folgenden Codeblock. Kopieren Sie es und fügen Sie es am Ende der Datei kurz vor dem schließenden Tag hinzu.
<rule id="554" level="7" overwrite="yes">
<category>ossec</category>
<decoded_as>syscheck_new_entry</decoded_as>
<description>File added to the system.</description>
<group>syscheck,</group>
</rule>
Speichern und schließen Sie die Datei und starten Sie OSSEC neu.
/var/ossec/bin/ossec-control restart
OSSEC ist eine sehr leistungsfähige Software, und dieser Artikel hat nur die Grundlagen angesprochen. Weitere Anpassungseinstellungen finden Sie in der offiziellen Dokumentation .
Ransomware-Angriffe nehmen zu, aber kann KI helfen, den neuesten Computervirus zu bekämpfen? Ist KI die Antwort? Lesen Sie hier, ob KI boone oder bane ist
ReactOS, ein quelloffenes und kostenloses Betriebssystem, ist hier mit der neuesten Version. Kann es den Anforderungen moderner Windows-Benutzer genügen und Microsoft zu Fall bringen? Lassen Sie uns mehr über dieses alte, aber neuere Betriebssystem erfahren.
Whatsapp hat endlich die Desktop-App für Mac- und Windows-Benutzer auf den Markt gebracht. Jetzt können Sie ganz einfach von Windows oder Mac auf WhatsApp zugreifen. Verfügbar für Windows 8+ und Mac OS 10.9+
Lesen Sie dies, um zu erfahren, wie Künstliche Intelligenz bei kleinen Unternehmen beliebt wird und wie sie die Wahrscheinlichkeit erhöht, sie wachsen zu lassen und ihren Konkurrenten einen Vorsprung zu verschaffen.
Vor kurzem hat Apple macOS Catalina 10.15.4 als Ergänzungsupdate veröffentlicht, um Probleme zu beheben, aber es scheint, dass das Update mehr Probleme verursacht, die zum Bricking von Mac-Computern führen. Lesen Sie diesen Artikel, um mehr zu erfahren
13 Tools zur kommerziellen Datenextraktion von Big Data
Unser Computer speichert alle Daten in einer organisierten Weise, die als Journaling-Dateisystem bekannt ist. Es ist eine effiziente Methode, die es dem Computer ermöglicht, Dateien zu suchen und anzuzeigen, sobald Sie auf die Suche klicken.https://wethegeek.com/?p=94116&preview=true
Da sich die Wissenschaft schnell weiterentwickelt und einen Großteil unserer Bemühungen übernimmt, steigt auch das Risiko, uns einer unerklärlichen Singularität auszusetzen. Lesen Sie, was Singularität für uns bedeuten könnte.
Ein Einblick in 26 Big-Data-Analysetechniken: Teil 1
KI im Gesundheitswesen hat in den letzten Jahrzehnten große Fortschritte gemacht. Somit wächst die Zukunft der KI im Gesundheitswesen immer noch von Tag zu Tag.
