نحوه نصب HSS OSSEC در سرور CentOS 7

• معرفی
• پیش نیازها
• مرحله 1: بسته های لازم را نصب کنید
• مرحله 2 - OSSEC را بارگیری و تأیید کنید
• مرحله 3: سرور SMTP خود را تعیین کنید
• مرحله 4: نصب OSSEC
• مرحله 5: OSSEC را شروع کنید
• مرحله ششم: OSSEC را شخصی سازی کنید
• اطلاعات بیشتر

معرفی

OSSEC یک سیستم آشکارساز نفوذی مبتنی بر میزبان منبع باز (HIDS) است که تجزیه و تحلیل ورود به سیستم ، بررسی یکپارچگی ، نظارت بر رجیستری ویندوز ، تشخیص rootkit ، هشدار مبتنی بر زمان و واکنش فعال را انجام می دهد. این یک برنامه امنیتی ضروری در هر سرور است.

OSSEC می تواند برای نظارت بر سرور نصب شده روی آن (یک نصب محلی) نصب شود ، یا به عنوان سرور برای نظارت بر یک یا چند عامل نصب شود. در این آموزش ، نحوه نصب OSSEC را برای نظارت بر CentOS 7 به عنوان یک نصب محلی یاد خواهید گرفت.

پیش نیازها

• سرور CentOS 7 ترجیحاً با کلیدهای SSH راه اندازی شده و با استفاده از راه اندازی اولیه سرور CentOS 7 سفارشی می شود . با استفاده از حساب کاربری استاندارد وارد سرور شوید. فرض کنید نام کاربری joe است .

  ssh -l joe server-ip-address
  

مرحله 1: بسته های لازم را نصب کنید

OSSEC از منبع وارد خواهد شد ، بنابراین شما به یک کامپایلر احتیاج دارید. همچنین برای اعلان ها به یک بسته اضافی دیگر نیاز دارد. آنها را با تایپ کردن نصب کنید:

sudo yum install -y gcc inotify-tools

مرحله 2 - OSSEC را بارگیری و تأیید کنید

OSSEC به عنوان یک تاربل فشرده ارائه می شود که باید از وب سایت پروژه بارگیری شود. فایل checksum که برای تأیید عدم استفاده از تاربال ، مورد استفاده قرار می گیرد ، نیز باید بارگیری شود. در زمان انتشار ، آخرین نسخه OSSEC 2.8.2 است. صفحه بارگیری پروژه را بررسی کنید و نسخه جدید آن را بارگیری کنید.

برای بارگیری تاربال ، نوع:

wget -U ossec http://www.ossec.net/files/ossec-hids-2.8.2.tar.gz

برای پرونده چک ، نوع:

wget -U ossec http://www.ossec.net/files/ossec-hids-2.8.2-checksum.txt

با بارگیری هر دو پرونده ، مرحله بعدی بررسی چک های MD5 و SHA1 تاربل است. برای MD5sum ، نوع:

md5sum -c ossec-hids-2.8.2-checksum.txt

خروجی مورد انتظار:

ossec-hids-2.8.2.tar.gz: OK
md5sum: WARNING: 1 line is improperly formatted

برای تأیید هش SHA1 ، نوع:

sha1sum -c ossec-hids-2.8.2-checksum.txt

و بازده مورد انتظار آن است:

ossec-hids-2.8.2.tar.gz: OK
sha1sum: WARNING: 1 line is improperly formatted

مرحله 3: سرور SMTP خود را تعیین کنید

در طی مراحل نصب OSSEC ، از شما خواسته می شود یک سرور SMTP را برای آدرس ایمیل خود تعیین کنید. اگر نمی دانید چیست ، ساده ترین روش برای صدور این دستور از دستگاه محلی شماست (آدرس ایمیل جعلی را جایگزین آن کنید):

dig -t mx you@example.com

بخش مربوط به خروجی در این بلاک کد نشان داده شده است. در این خروجی نمونه ، سرور SMTP برای آدرس ایمیل پرسیده شده در انتهای خط - mail.vivaldi.net است. . توجه داشته باشید که نقطه در انتها درج شده است.

;; ANSWER SECTION:
vivaldi.net.        300 IN  MX  10 mail.vivaldi.net.

مرحله 4: نصب OSSEC

برای نصب OSSEC ، ابتدا لازم است تاربال را باز کنید ، که با تایپ کردن آن را انجام می دهید:

tar xf ossec-hids-2.8.2.tar.gz

در پوشه ای قرار می گیرد که نام و نسخه برنامه را در خود جای دهد. تغییر دهید یا cdوارد آن شوید. OSSEC 2.8.2 ، نسخه نصب شده برای این مقاله ، دارای یک اشکال جزئی است که باید قبل از شروع نصب برطرف شود. تا زمان انتشار نسخه پایدار بعدی ، که باید OSSEC 2.9 باشد ، این کار لازم نیست ، زیرا این تعمیر در حال حاضر در شاخه کارشناسی ارشد است. رفع آن برای OSSEC 2.8.2 فقط به معنای ویرایش یک پرونده است ، که در active-responseفهرست قرار دارد. پرونده این است hosts-deny.sh، بنابراین با استفاده از آن باز کنید:

nano active-response/hosts-deny.sh

در انتهای پرونده ، به دنبال این بلوک کد باشید:

# Deleting from hosts.deny
elif [ "x$" = "xdelete" ]; then
   lock;
   TMP_FILE = `mktemp /var/ossec/ossec-hosts.XXXXXXXXXX`
   if [ "X$" = "X" ]; then
      # Cheap fake tmpfile, but should be harder then no random data
      TMP_FILE = "/var/ossec/ossec-hosts.`cat /dev/urandom | tr -dc 'a-zA-Z0-9' | fold -w 32 | head -1 `"
   fi

در خطوطی که با TMP_FILE شروع می شود ، فضاهای اطراف علامت = را حذف کنید . پس از برداشتن فاصله ها ، آن بخش از پرونده باید همانند بلوک کد زیر نشان داده شود. ذخیره کنید و فایل را ببندید.

# Deleting from hosts.deny
elif [ "x$" = "xdelete" ]; then
   lock;
   TMP_FILE=`mktemp /var/ossec/ossec-hosts.XXXXXXXXXX`
   if [ "X$" = "X" ]; then
      # Cheap fake tmpfile, but should be harder then no random data
      TMP_FILE="/var/ossec/ossec-hosts.`cat /dev/urandom | tr -dc 'a-zA-Z0-9' | fold -w 32 | head -1 `"
   fi

اکنون که تعمیر موجود است ، می توانیم مراحل نصب را شروع کنیم ، که شما با تایپ کردن آن را انجام می دهید:

sudo ./install.sh

در طی مراحل نصب ، از شما خواسته می شود تا ورودی را وارد کنید. در بیشتر موارد ، شما فقط باید ENTER را فشار دهید تا پیش فرض را بپذیرد. ابتدا از شما خواسته می شود که زبان نصب را انتخاب کنید ، که به طور پیش فرض ، انگلیسی است (en). اگر این زبان مورد علاقه شماست ، ENTER را فشار دهید . در غیر این صورت ، 2 حرف را از لیست زبانهای پشتیبانی شده وارد کنید. پس از آن ، دوباره ENTER را فشار دهید .

سوال اول از شما می پرسد که چه نوع نصب را می خواهید. در اینجا ، محلی را وارد کنید .

1- What kind of installation do you want (server, agent, local, hybrid or help)? local

برای سؤالات بعدی ، ENTER را فشار دهید تا پیش فرض را بپذیرد. سوال 3.1 شما را برای آدرس ایمیل شما فوراً می کند و سپس از سرور SMTP می پرسید. برای این سوال ، یک آدرس ایمیل معتبر و سرور SMTP که در مرحله 3 تعیین کرده اید وارد کنید.

3- Configuring the OSSEC HIDS.

   3.1- Do you want e-mail notification? (y/n) [y]: 
      - What's your e-mail address? you@example.com
      - What's your SMTP server ip/host?

اگر نصب موفقیت آمیز باشد ، باید این خروجی را مشاهده کنید:

- Configuration finished properly.

...

    More information can be found at http://www.ossec.net

    ---  Press ENTER to finish (maybe more information below). ---

برای اتمام نصب ، ENTER را فشار دهید .

مرحله 5: OSSEC را شروع کنید

OSSEC نصب شده است ، اما شروع نشده است. برای شروع آن ، ابتدا به حساب root بروید.

sudo su

سپس با صدور دستور زیر آن را شروع کنید.

/var/ossec/bin/ossec-control start

پس از آن ، صندوق ورودی خود را بررسی کنید. باید OSSEC یک هشدار به شما اطلاع دهد که شروع به کار کرده است. با این کار ، اکنون می دانید که OSSEC نصب شده است و در صورت نیاز هشدارهایی را ارسال می کنید.

مرحله ششم: OSSEC را شخصی سازی کنید

پیکربندی پیش فرض OSSEC خوب عمل می کند ، اما تنظیماتی وجود دارد که می توانید برای محافظت از سرور خود از آن استفاده کنید. اولین پرونده برای شخصی سازی ، فایل پیکربندی اصلی است - ossec.confکه در /var/ossec/etcفهرست قرار خواهید یافت. پرونده را باز کنید:

nano /var/ossec/etc/ossec.conf

اولین مورد برای تأیید تنظیمات ایمیل است که در بخش جهانی پرونده مشاهده خواهید کرد:

<global>
   <email_notification>yes</email_notification>
   <email_to>finid@vivaldi.net</email_to>
   <smtp_server>mail.vivaldi.net.</smtp_server>
   <email_from>ossecm@vultr.guest</email_from>
</global>

اطمینان حاصل کنید که آدرس email_from یک ایمیل معتبر است. در غیر این صورت ، برخی از سرورهای SMTP ارائه دهنده ایمیل هشدارهایی را از طرف OSSEC به عنوان Spam علامت گذاری می کنند. اگر FQDN سرور تنظیم نشده باشد ، قسمت دامنه ایمیل روی نام میزبان سرور تنظیم می شود ، بنابراین این تنظیماتی است که شما واقعاً می خواهید یک آدرس ایمیل معتبر داشته باشید.

یکی دیگر از تنظیماتی که می خواهید سفارشی سازی کنید ، به خصوص هنگام آزمایش سیستم ، فرکانس اجرای OSSEC ممیزی های خود است. این تنظیمات در قسمت syscheck قرار دارد و به طور پیش فرض ، هر 22 ساعت یک بار اجرا می شود. برای آزمایش ویژگیهای هشدار دهنده OSSEC ، ممکن است بخواهید آن را به مقدار کمتری تنظیم کنید ، اما بعد از آن دوباره آن را به صورت پیش فرض تنظیم کنید.

<syscheck>
   <!-- Frequency that syscheck is executed - default to every 22 hours -->
   <frequency>79200</frequency>

به طور پیش فرض ، OSSEC هنگام اضافه شدن پرونده جدید به سرور هشدار نمی دهد. برای تغییر آن ، یک برچسب جدید درست در زیر برچسب <فرکانس> اضافه کنید . پس از اتمام ، این بخش باید حاوی موارد زیر باشد:

<syscheck>
   <!-- Frequency that syscheck is executed - default to every 22 hours -->
   <frequency>79200</frequency>

   <alert_new_files>yes</alert_new_files>

آخرین تنظیم خوب برای تغییر در لیست فهرست هایی است که باید OSSEC آنها را بررسی کند. آنها را درست بعد از تنظیم قبلی پیدا خواهید کرد. پیش فرض باشید ، دایرکتوری ها به صورت زیر نشان داده می شوند:

<!-- Directories to check  (perform all possible verifications) -->
   <directories check_all="yes">/etc,/usr/bin,/usr/sbin</directories>
   <directories check_all="yes">/bin,/sbin</directories>

هر دو خط را اصلاح کنید تا گزارش OSSEC در زمان واقعی تغییر کند. پس از اتمام ، آنها باید بخوانند:

<directories report_changes="yes" realtime="yes" check_all="yes">/etc,/usr/bin,/usr/sbin</directories>
<directories report_changes="yes" realtime="yes" check_all="yes">/bin,/sbin</directories>

ذخیره کنید و فایل را ببندید.

پرونده بعدی که باید اصلاح کنیم local_rules.xmlدر /var/ossec/rulesفهرست قرار دارد. بنابراین cdبه آن فهرست:

cd /var/ossec/rules

این دایرکتوری پرونده های قاعده OSSEC را نگه می دارد ، که هیچ یک از آنها به جز local_rules.xmlپرونده نباید اصلاح شوند . در آن پرونده ، قوانین سفارشی را اضافه می کنیم. قانونی که باید اضافه کنیم ، قانونی است که با افزودن پرونده جدید ، آتش می گیرد. این قانون ، با شماره 554 ، به طور پیش فرض هشدار دهنده را ایجاد نمی کند. دلیل این است که وقتی یک قاعده با سطح تنظیم شده بر صفر شروع شود ، OSSEC هشدار ارسال نمی کند.

در اینجا به نظر می رسد که قانون 554 به طور پیش فرض به نظر می رسد.

 <rule id="554" level="0">
    <category>ossec</category>
    <decoded_as>syscheck_new_entry</decoded_as>
    <description>File added to the system.</description>
    <group>syscheck,</group>
 </rule>

ما باید یک نسخه اصلاح شده از آن قانون را در local_rules.xmlپرونده اضافه کنیم. آن نسخه اصلاح شده در بلاک کد زیر آورده شده است. درست قبل از برچسب بسته شدن ، آن را در پایین فایل کپی کرده و اضافه کنید.

 <rule id="554" level="7" overwrite="yes">
    <category>ossec</category>
    <decoded_as>syscheck_new_entry</decoded_as>
    <description>File added to the system.</description>
    <group>syscheck,</group>
 </rule>

پرونده را ذخیره کرده و ببندید ، سپس OSSEC را مجدداً راه اندازی کنید.

/var/ossec/bin/ossec-control restart

اطلاعات بیشتر

OSSEC یک نرم افزار بسیار قدرتمند است و این مقاله فقط به اصول اولیه آن می پردازد. تنظیمات شخصی سازی بیشتری را در اسناد رسمی پیدا خواهید کرد .