OSSEC es un sistema de detección de intrusos (HIDS) de código abierto que realiza análisis de registros, verificación de integridad, monitoreo de registro de Windows, detección de rootkits, alertas basadas en tiempo y respuesta activa. Es una aplicación de seguridad imprescindible en cualquier servidor.
OSSEC puede instalarse para monitorear solo el servidor en el que está instalado (una instalación local), o instalarse como un servidor para monitorear uno o más agentes. En este tutorial, aprenderá cómo instalar OSSEC para monitorear CentOS 7 como una instalación local.
Un servidor CentOS 7 configurado preferiblemente con claves SSH y personalizado mediante la configuración inicial de un servidor CentOS 7 . Inicie sesión en el servidor utilizando la cuenta de usuario estándar. Suponga que el nombre de usuario es joe .
ssh -l joe server-ip-address
OSSEC se compilará desde la fuente, por lo que necesita un compilador para que eso sea posible. También requiere un paquete adicional para notificaciones. Instálelos escribiendo:
sudo yum install -y gcc inotify-tools
OSSEC se entrega como un tarball comprimido que debe descargarse del sitio web del proyecto. El archivo de suma de comprobación, que se utilizará para verificar que el tarball no ha sido alterado, también debe descargarse. En el momento de esta publicación, la última versión de OSSEC es 2.8.2. Consulte la página de descarga del proyecto y descargue la versión más reciente.
Para descargar el tarball, escriba:
wget -U ossec http://www.ossec.net/files/ossec-hids-2.8.2.tar.gz
Para el archivo de suma de comprobación, escriba:
wget -U ossec http://www.ossec.net/files/ossec-hids-2.8.2-checksum.txt
Con ambos archivos descargados, el siguiente paso es verificar las sumas de verificación MD5 y SHA1 del tarball. Para MD5sum, escriba:
md5sum -c ossec-hids-2.8.2-checksum.txt
El resultado esperado es:
ossec-hids-2.8.2.tar.gz: OK
md5sum: WARNING: 1 line is improperly formatted
Para verificar el hash SHA1, escriba:
sha1sum -c ossec-hids-2.8.2-checksum.txt
Y su salida esperada es:
ossec-hids-2.8.2.tar.gz: OK
sha1sum: WARNING: 1 line is improperly formatted
Durante el proceso de instalación de OSSEC, se le solicitará que especifique un servidor SMTP para su dirección de correo electrónico. Si no sabe qué es, el método más fácil de averiguar es emitir este comando desde su máquina local (reemplace la dirección de correo electrónico falsa por la real):
dig -t mx [email protected]
La sección relevante en la salida se muestra en este bloque de código. En este resultado de muestra, el servidor SMTP para la dirección de correo electrónico consultada se encuentra al final de la línea: mail.vivaldi.net. . Tenga en cuenta que el punto al final está incluido.
;; ANSWER SECTION:
vivaldi.net. 300 IN MX 10 mail.vivaldi.net.
Para instalar OSSEC, primero debes descomprimir el tarball, lo que haces escribiendo:
tar xf ossec-hids-2.8.2.tar.gz
Se desempaquetará en un directorio que lleve el nombre y la versión del programa. Cambiar o cden ello. OSSEC 2.8.2, la versión instalada para este artículo, tiene un error menor que debe corregirse antes de comenzar la instalación. Para cuando se lance la próxima versión estable, que debería ser OSSEC 2.9, esto no debería ser necesario, porque la solución ya está en la rama maestra. Arreglarlo para OSSEC 2.8.2 solo significa editar un archivo, que se encuentra en el active-responsedirectorio. El archivo es hosts-deny.sh, así que ábralo usando:
nano active-response/hosts-deny.sh
Hacia el final del archivo, busque este bloque de código:
# Deleting from hosts.deny
elif [ "x$" = "xdelete" ]; then
lock;
TMP_FILE = `mktemp /var/ossec/ossec-hosts.XXXXXXXXXX`
if [ "X$" = "X" ]; then
# Cheap fake tmpfile, but should be harder then no random data
TMP_FILE = "/var/ossec/ossec-hosts.`cat /dev/urandom | tr -dc 'a-zA-Z0-9' | fold -w 32 | head -1 `"
fi
En las líneas que comienzan con TMP_FILE , elimine los espacios alrededor del signo = . Después de eliminar los espacios, esa parte del archivo debe ser como se muestra en el bloque de código a continuación. Guarde y cierre el archivo.
# Deleting from hosts.deny
elif [ "x$" = "xdelete" ]; then
lock;
TMP_FILE=`mktemp /var/ossec/ossec-hosts.XXXXXXXXXX`
if [ "X$" = "X" ]; then
# Cheap fake tmpfile, but should be harder then no random data
TMP_FILE="/var/ossec/ossec-hosts.`cat /dev/urandom | tr -dc 'a-zA-Z0-9' | fold -w 32 | head -1 `"
fi
Ahora que la solución está activa, podemos comenzar el proceso de instalación, lo que debe hacer escribiendo:
sudo ./install.sh
A lo largo del proceso de instalación, se le pedirá que proporcione alguna información. En la mayoría de los casos, solo tiene que presionar ENTRAR para aceptar el valor predeterminado. Primero, se le pedirá que seleccione el idioma de instalación, que de forma predeterminada es el inglés (en). Entonces presione ENTER si ese es su idioma preferido. De lo contrario, ingrese las 2 letras de la lista de idiomas admitidos. Luego, presione ENTER nuevamente.
La primera pregunta le preguntará qué tipo de instalación desea. Aquí, ingrese local .
1- What kind of installation do you want (server, agent, local, hybrid or help)? local
Para preguntas posteriores, presione ENTRAR para aceptar el valor predeterminado. La pregunta 3.1 le pedirá su dirección de correo electrónico y luego le pedirá su servidor SMTP. Para esa pregunta, ingrese una dirección de correo electrónico válida y el servidor SMTP que determinó en el Paso 3.
3- Configuring the OSSEC HIDS.
3.1- Do you want e-mail notification? (y/n) [y]:
- What's your e-mail address? [email protected]
- What's your SMTP server ip/host?
Si la instalación se realiza correctamente, debería ver esta salida:
- Configuration finished properly.
...
More information can be found at http://www.ossec.net
--- Press ENTER to finish (maybe more information below). ---
Presione ENTER para finalizar la instalación.
OSSEC se ha instalado, pero no se ha iniciado. Para iniciarlo, primero cambie a la cuenta raíz.
sudo su
Luego, comience emitiendo el siguiente comando.
/var/ossec/bin/ossec-control start
Luego, revise su Bandeja de entrada. Debería haber una alerta de OSSEC informándole que se ha iniciado. Con eso, ahora sabe que OSSEC está instalado y enviará alertas según sea necesario.
La configuración predeterminada de OSSEC funciona bien, pero hay configuraciones que puede ajustar para proteger mejor su servidor. El primer archivo a personalizar es el archivo de configuración principal ossec.conf, que encontrará en el /var/ossec/etcdirectorio. Abre el archivo:
nano /var/ossec/etc/ossec.conf
El primer elemento para verificar es una configuración de correo electrónico, que encontrará en la sección global del archivo:
<global>
<email_notification>yes</email_notification>
<email_to>[email protected]</email_to>
<smtp_server>mail.vivaldi.net.</smtp_server>
<email_from>[email protected]</email_from>
</global>
Asegúrese de que la dirección email_from sea válida. De lo contrario, algunos servidores SMTP del proveedor de correo electrónico marcarán alertas de OSSEC como Spam. Si el FQDN del servidor no está configurado, la parte del dominio del correo electrónico se configura con el nombre de host del servidor, por lo que esta es una configuración en la que realmente desea tener una dirección de correo electrónico válida.
Otra configuración que desea personalizar, especialmente al probar el sistema, es la frecuencia con la que OSSEC ejecuta sus auditorías. Esa configuración está en la sección syscheck y, de forma predeterminada, se ejecuta cada 22 horas. Para probar las funciones de alerta de OSSEC, es posible que desee establecerlo en un valor más bajo, pero luego restablecerlo al valor predeterminado.
<syscheck>
<!-- Frequency that syscheck is executed - default to every 22 hours -->
<frequency>79200</frequency>
De manera predeterminada, OSSEC no alerta cuando se agrega un nuevo archivo al servidor. Para cambiar eso, agregue una nueva etiqueta justo debajo de la etiqueta <frecuencia> . Cuando se complete, la sección ahora debe contener:
<syscheck>
<!-- Frequency that syscheck is executed - default to every 22 hours -->
<frequency>79200</frequency>
<alert_new_files>yes</alert_new_files>
Una última configuración que es buena para cambiar está en la lista de directorios que OSSEC debe verificar. Los encontrará justo después de la configuración anterior. Por defecto, los directorios se muestran como:
<!-- Directories to check (perform all possible verifications) -->
<directories check_all="yes">/etc,/usr/bin,/usr/sbin</directories>
<directories check_all="yes">/bin,/sbin</directories>
Modifique ambas líneas para que OSSEC informe los cambios en tiempo real. Cuando terminen, deberían leer:
<directories report_changes="yes" realtime="yes" check_all="yes">/etc,/usr/bin,/usr/sbin</directories>
<directories report_changes="yes" realtime="yes" check_all="yes">/bin,/sbin</directories>
Guarde y cierre el archivo.
El siguiente archivo que necesitaremos modificar está local_rules.xmlen el /var/ossec/rulesdirectorio. Entonces cden ese directorio:
cd /var/ossec/rules
Ese directorio contiene los archivos de reglas de OSSEC, ninguno de los cuales debe modificarse, excepto el local_rules.xmlarchivo. En ese archivo, agregamos reglas personalizadas. La regla que necesitamos agregar es la que se activa cuando se agrega un nuevo archivo. Esa regla, numerada 554 , no activa una alerta por defecto. Esto se debe a que OSSEC no envía alertas cuando se activa una regla con el nivel establecido en cero.
Así es como se ve la regla 554 por defecto.
<rule id="554" level="0">
<category>ossec</category>
<decoded_as>syscheck_new_entry</decoded_as>
<description>File added to the system.</description>
<group>syscheck,</group>
</rule>
Necesitamos agregar una versión modificada de esa regla en el local_rules.xmlarchivo. Esa versión modificada se da en el bloque de código a continuación. Copie y agréguelo al final del archivo justo antes de la etiqueta de cierre.
<rule id="554" level="7" overwrite="yes">
<category>ossec</category>
<decoded_as>syscheck_new_entry</decoded_as>
<description>File added to the system.</description>
<group>syscheck,</group>
</rule>
Guarde y cierre el archivo, luego reinicie OSSEC.
/var/ossec/bin/ossec-control restart
OSSEC es una pieza de software muy poderosa, y este artículo acaba de tocar los conceptos básicos. Encontrará más configuraciones de personalización en la documentación oficial .
¿Usando un sistema diferente? MODX Revolution es un sistema de gestión de contenido (CMS) de nivel empresarial rápido, flexible, escalable, gratuito y de código abierto escrito i
Vultr le ofrece una increíble conectividad de red privada para servidores que se ejecutan en la misma ubicación. Pero a veces quieres dos servidores en diferentes países.
Using a Different System? Introduction CyberPanel is one of the first control panels on the market that is both open source and uses OpenLiteSpeed. What thi
Using a Different System? ESpeak can generate text-to-speech (TTS) audio files. These can be useful for many reasons, such as creating your own Turin
¿Usando un sistema diferente? Thelia es una herramienta de código abierto para crear sitios web de comercio electrónico y administrar contenido en línea, escrito en PHP. Código fuente de Thelia i
¿Usando un sistema diferente? LibreNMS es un completo sistema de monitoreo de red de código abierto. Utiliza SNMP para obtener los datos de diferentes dispositivos. Una variedad
Cacti es una herramienta de gráficos y monitoreo de red de código abierto y libre escrita en PHP. Con la ayuda de RRDtool (herramienta de base de datos Round-Robin), Cacti se puede usar t
Usar un usuario sudo para acceder a un servidor y ejecutar comandos a nivel raíz es una práctica muy común entre Linux y Unix Systems Administrator. El uso de un sud
¿Usando un sistema diferente? Zabbix es un software gratuito y de código abierto listo para empresas que se utiliza para monitorear la disponibilidad de sistemas y componentes de red.
MODX es un sistema de gestión de contenido gratuito y de código abierto escrito en PHP. Utiliza MySQL o MariaDB para almacenar su base de datos. MODX está diseñado para el negocio i
YOURLS (Your Own URL Shortener) es una aplicación de análisis de datos y acortamiento de URL de código abierto. En este artículo, cubriremos el proceso de instalación
Using a Different System? RTMP is great for serving live content. When RTMP is paired with FFmpeg, streams can be converted into various qualities. Vultr i
LimeSurvey es una herramienta de encuestas en línea gratuita y de código abierto que se utiliza ampliamente para publicar encuestas en línea y para recopilar comentarios de encuestas. En este artículo, voy a
¿Usando un sistema diferente? Vanilla forum es una aplicación de foro de código abierto escrita en PHP. Es totalmente personalizable, fácil de usar y admite dispositivos externos.
¿Usando un sistema diferente? Netdata es una estrella en ascenso en el campo del monitoreo de métricas del sistema en tiempo real. En comparación con otras herramientas del mismo tipo, Netdata:
En este tutorial, aprende bien cómo configurar un servidor multijugador Just Cause 2. Requisitos previos Asegúrese de que el sistema esté completamente actualizado antes de comenzar
¿Usando un sistema diferente? En este tutorial, explicaré cómo configurar un servidor Starbound en CentOS 7. Requisitos previos Necesitas tener este juego contigo
ZNC es un enlace IRC gratuito y de código abierto que permanece permanentemente conectado a una red para que los clientes puedan recibir mensajes enviados mientras están desconectados. Thi
Django es un marco de Python popular para escribir aplicaciones web. Con Django, puede crear aplicaciones más rápido, sin reinventar la rueda. Si tu quieres
ionCube Loader es una extensión PHP que permite que un servidor web ejecute archivos PHP que han sido codificados usando ionCube Encoder y es necesario para ejecutar
Los ataques de ransomware van en aumento, pero ¿puede la IA ayudar a lidiar con el último virus informático? ¿Es la IA la respuesta? Lea aquí, sepa que la IA es una bendición o una perdición
ReactOS, un sistema operativo de código abierto y gratuito, está aquí con la última versión. ¿Puede satisfacer las necesidades de los usuarios de Windows de hoy en día y acabar con Microsoft? Averigüemos más sobre este estilo antiguo, pero una experiencia de sistema operativo más nueva.
Whatsapp finalmente lanzó la aplicación de escritorio para usuarios de Mac y Windows. Ahora puede acceder a Whatsapp desde Windows o Mac fácilmente. Disponible para Windows 8+ y Mac OS 10.9+
Lea esto para saber cómo la Inteligencia Artificial se está volviendo popular entre las empresas de pequeña escala y cómo está aumentando las probabilidades de hacerlas crecer y dar ventaja a sus competidores.
Recientemente, Apple lanzó macOS Catalina 10.15.4, una actualización complementaria para solucionar problemas, pero parece que la actualización está causando más problemas que conducen al bloqueo de las máquinas Mac. Lee este artículo para obtener más información
13 Herramientas comerciales de extracción de datos de Big Data
Nuestra computadora almacena todos los datos de una manera organizada conocida como sistema de archivos de diario. Es un método eficiente que permite a la computadora buscar y mostrar archivos tan pronto como presiona buscar.
A medida que la ciencia evoluciona a un ritmo rápido, asumiendo muchos de nuestros esfuerzos, también aumentan los riesgos de someternos a una singularidad inexplicable. Lea, lo que la singularidad podría significar para nosotros.
Una mirada a 26 técnicas analíticas de Big Data: Parte 1
La IA en la salud ha dado grandes pasos desde las últimas décadas. Por tanto, el futuro de la IA en el sector sanitario sigue creciendo día a día.
