कैसे एक CentOS 7 सर्वर पर OSSEC HIDS स्थापित करने के लिए

• परिचय
• आवश्यक शर्तें
• चरण 1: आवश्यक पैकेज स्थापित करें
• चरण 2 - OSSEC डाउनलोड और सत्यापित करें
• चरण 3: अपना SMTP सर्वर निर्धारित करें
• चरण 4: OSSEC स्थापित करें
• चरण 5: OSSEC प्रारंभ करें
• चरण 6: OSSEC को अनुकूलित करें
• अधिक जानकारी

परिचय

OSSEC एक ओपन-सोर्स, होस्ट-बेस्ड इंट्रस्टिंग डिटेक्शन सिस्टम (HIDS) है जो लॉग एनालिसिस, इंटीग्रिटी चेकिंग, विंडोज रजिस्ट्री मॉनिटरिंग, रूटकिट डिटेक्शन, टाइम-बेस्ड अलर्टिंग और एक्टिव रिस्पॉन्स करता है। यह किसी भी सर्वर पर एक सुरक्षा अनुप्रयोग होना चाहिए।

OSSEC को केवल उस सर्वर (जिसे स्थानीय संस्थापन) पर स्थापित किया गया है, की निगरानी के लिए स्थापित किया जा सकता है या एक या अधिक एजेंटों की निगरानी के लिए सर्वर के रूप में स्थापित किया जा सकता है। इस ट्यूटोरियल में, आप सीखेंगे कि CentOS 7 को स्थानीय इंस्टालेशन के रूप में मॉनिटर करने के लिए OSSEC कैसे स्थापित करें।

आवश्यक शर्तें

• एक CentOS 7 सर्वर अधिमानतः SSH कुंजी के साथ सेटअप और एक CentOS 7 सर्वर के प्रारंभिक सेटअप का उपयोग करके अनुकूलित । मानक उपयोगकर्ता खाते का उपयोग करके सर्वर में प्रवेश करें। मान लें कि उपयोगकर्ता नाम joe है ।

  ssh -l joe server-ip-address
  

चरण 1: आवश्यक पैकेज स्थापित करें

OSSEC को स्रोत से संकलित किया जाएगा, इसलिए आपको इसे संभव बनाने के लिए एक कंपाइलर की आवश्यकता होगी। इसमें नोटिफिकेशन के लिए एक अतिरिक्त पैकेज की भी आवश्यकता होती है। उन्हें टाइप करके इंस्टॉल करें:

sudo yum install -y gcc inotify-tools

चरण 2 - OSSEC डाउनलोड और सत्यापित करें

OSSEC को एक संकुचित टारबॉल के रूप में दिया जाता है जिसे परियोजना की वेबसाइट से डाउनलोड किया जाना है। चेकसम फाइल, जिसका उपयोग यह सत्यापित करने के लिए किया जाएगा कि टारबॉल के साथ छेड़छाड़ नहीं की गई है, को भी डाउनलोड करना होगा। इस प्रकाशन के समय, OSSEC का नवीनतम संस्करण 2.8.2 है। प्रोजेक्ट का डाउनलोड पृष्ठ देखें और जो भी नवीनतम संस्करण है उसे डाउनलोड करें।

टारबॉल डाउनलोड करने के लिए, टाइप करें:

wget -U ossec http://www.ossec.net/files/ossec-hids-2.8.2.tar.gz

चेकसम फ़ाइल के लिए, टाइप करें:

wget -U ossec http://www.ossec.net/files/ossec-hids-2.8.2-checksum.txt

डाउनलोड की गई दोनों फाइलों के साथ, अगला चरण टारबॉल के MD5 और SHA1 चेकसमों को सत्यापित करना है। MD5sum के लिए, टाइप करें:

md5sum -c ossec-hids-2.8.2-checksum.txt

अपेक्षित आउटपुट है:

ossec-hids-2.8.2.tar.gz: OK
md5sum: WARNING: 1 line is improperly formatted

SHA1 हैश को सत्यापित करने के लिए, टाइप करें:

sha1sum -c ossec-hids-2.8.2-checksum.txt

और इसका अपेक्षित उत्पादन है:

ossec-hids-2.8.2.tar.gz: OK
sha1sum: WARNING: 1 line is improperly formatted

चरण 3: अपना SMTP सर्वर निर्धारित करें

OSSEC की स्थापना प्रक्रिया के दौरान, आपको अपने ईमेल पते के लिए एक SMTP सर्वर निर्दिष्ट करने के लिए कहा जाएगा। यदि आप नहीं जानते कि यह क्या है, तो यह पता लगाने की सबसे आसान विधि आपके स्थानीय मशीन से इस आदेश को जारी करके है (नकली ईमेल पते को अपने असली के साथ बदलें):

dig -t mx [email protected]

आउटपुट में संबंधित अनुभाग इस कोड ब्लॉक में दिखाया गया है। इस नमूना आउटपुट में, क्वेरी ईमेल पते के लिए SMTP सर्वर लाइन के अंत में है - mail.vivaldi.net। । ध्यान दें कि अंत में डॉट शामिल है।

;; ANSWER SECTION:
vivaldi.net.        300 IN  MX  10 mail.vivaldi.net.

चरण 4: OSSEC स्थापित करें

OSSEC स्थापित करने के लिए, आपको पहले टारबॉल को अनपैक करना होगा, जिसे आप टाइप करके करते हैं:

tar xf ossec-hids-2.8.2.tar.gz

यह एक निर्देशिका में अनपैक किया जाएगा जो प्रोग्राम का नाम और संस्करण बताता है। cdइसे बदलें या इसमें OSSEC 2.8.2, इस लेख के लिए स्थापित संस्करण में एक मामूली बग है जिसे स्थापना शुरू करने से पहले ठीक करने की आवश्यकता है। जब तक अगला स्थिर संस्करण जारी नहीं हो जाता, तब तक ओएसएसईसी 2.9 होना चाहिए, यह आवश्यक नहीं होना चाहिए, क्योंकि फिक्स पहले से ही मास्टर शाखा में है। OSSEC 2.8.2 के लिए इसे ठीक करने का अर्थ है केवल एक फ़ाइल को संपादित करना, जो active-responseनिर्देशिका में पाई जाती है । फ़ाइल है hosts-deny.sh, इसलिए इसका उपयोग करके खोलें:

nano active-response/hosts-deny.sh

फ़ाइल के अंत की ओर, कोड के इस ब्लॉक को देखें:

# Deleting from hosts.deny
elif [ "x$" = "xdelete" ]; then
   lock;
   TMP_FILE = `mktemp /var/ossec/ossec-hosts.XXXXXXXXXX`
   if [ "X$" = "X" ]; then
      # Cheap fake tmpfile, but should be harder then no random data
      TMP_FILE = "/var/ossec/ossec-hosts.`cat /dev/urandom | tr -dc 'a-zA-Z0-9' | fold -w 32 | head -1 `"
   fi

TMP_FILE के साथ शुरू होने वाली पंक्तियों पर , = चिह्न के चारों ओर रिक्त स्थान हटाएं । रिक्त स्थान को हटाने के बाद, फ़ाइल के उस हिस्से को नीचे दिए गए कोड के ब्लॉक में दिखाया जाना चाहिए। फ़ाइल को सहेजें और बंद करें।

# Deleting from hosts.deny
elif [ "x$" = "xdelete" ]; then
   lock;
   TMP_FILE=`mktemp /var/ossec/ossec-hosts.XXXXXXXXXX`
   if [ "X$" = "X" ]; then
      # Cheap fake tmpfile, but should be harder then no random data
      TMP_FILE="/var/ossec/ossec-hosts.`cat /dev/urandom | tr -dc 'a-zA-Z0-9' | fold -w 32 | head -1 `"
   fi

अब यह फिक्स में है, हम इंस्टॉलेशन प्रक्रिया शुरू कर सकते हैं, जिसे आप टाइप करके करते हैं:

sudo ./install.sh

स्थापना प्रक्रिया के दौरान, आपको कुछ इनपुट प्रदान करने के लिए कहा जाएगा। ज्यादातर मामलों में, आपको केवल डिफ़ॉल्ट को स्वीकार करने के लिए ENTER दबाना होगा । सबसे पहले, आपको संस्थापन भाषा का चयन करने के लिए प्रेरित किया जाएगा, जो डिफ़ॉल्ट रूप से अंग्रेजी (en) है। यदि आपकी पसंदीदा भाषा है तो ENTER दबाएँ । अन्यथा, समर्थित भाषाओं की सूची से 2 अक्षरों को इनपुट करें। बाद में, फिर से ENTER दबाएँ ।

पहला प्रश्न आपसे पूछेगा कि आप किस प्रकार की स्थापना चाहते हैं। यहां, स्थानीय दर्ज करें ।

1- What kind of installation do you want (server, agent, local, hybrid or help)? local

बाद के प्रश्नों के लिए, डिफ़ॉल्ट को स्वीकार करने के लिए ENTER दबाएँ । प्रश्न 3.1 आपको अपने ईमेल पते के लिए संकेत देगा और फिर अपने एसएमटीपी सर्वर के लिए पूछेगा। उस प्रश्न के लिए, चरण 3 में आपके द्वारा निर्धारित एक मान्य ईमेल पता और SMTP सर्वर दर्ज करें।

3- Configuring the OSSEC HIDS.

   3.1- Do you want e-mail notification? (y/n) [y]: 
      - What's your e-mail address? [email protected]
      - What's your SMTP server ip/host?

यदि स्थापना सफल है, तो आपको यह आउटपुट देखना चाहिए:

- Configuration finished properly.

...

    More information can be found at http://www.ossec.net

    ---  Press ENTER to finish (maybe more information below). ---

प्रेस ENTER स्थापना समाप्त करने के।

चरण 5: OSSEC प्रारंभ करें

ओएसएसईसी स्थापित किया गया है, लेकिन शुरू नहीं हुआ है। इसे शुरू करने के लिए, पहले रूट खाते पर जाएं।

sudo su

फिर, निम्न आदेश जारी करके इसे प्रारंभ करें।

/var/ossec/bin/ossec-control start

बाद में, अपने इनबॉक्स की जांच करें। OSSEC की ओर से आपको सूचित किया जाना चाहिए कि यह शुरू कर दिया गया है। इसके साथ, अब आप जानते हैं कि OSSEC स्थापित है और आवश्यकतानुसार अलर्ट भेजेगा।

चरण 6: OSSEC को अनुकूलित करें

OSSEC का डिफ़ॉल्ट कॉन्फ़िगरेशन ठीक काम करता है, लेकिन ऐसी सेटिंग्स हैं जिन्हें आप अपने सर्वर की बेहतर तरीके से सुरक्षा करने के लिए ट्वीक कर सकते हैं। अनुकूलित करने वाली पहली फ़ाइल मुख्य कॉन्फ़िगरेशन फ़ाइल है - ossec.confजो आपको /var/ossec/etcनिर्देशिका में मिलेगी । फ़ाइल खोलें:

nano /var/ossec/etc/ossec.conf

सत्यापित करने के लिए पहला आइटम एक ईमेल सेटिंग है, जिसे आप फ़ाइल के वैश्विक अनुभाग में पाएंगे :

<global>
   <email_notification>yes</email_notification>
   <email_to>[email protected]</email_to>
   <smtp_server>mail.vivaldi.net.</smtp_server>
   <email_from>[email protected]</email_from>
</global>

सुनिश्चित करें कि email_from पता एक वैध ईमेल है। अन्यथा, कुछ ईमेल प्रदाता का SMTP सर्वर स्पैम के रूप में OSSEC से अलर्ट चिन्हित करेगा। यदि सर्वर का FQDN सेट नहीं है, तो ईमेल का डोमेन हिस्सा सर्वर के होस्टनाम पर सेट है, इसलिए यह एक ऐसी सेटिंग है जिसे आप वास्तव में एक मान्य ईमेल पता चाहते हैं।

एक और सेटिंग जिसे आप अनुकूलित करना चाहते हैं, खासकर सिस्टम का परीक्षण करते समय, वह आवृत्ति है जिसके साथ OSSEC अपने ऑडिट चलाता है। यह सेटिंग syscheck अनुभाग में है, और, डिफ़ॉल्ट रूप से, यह हर 22 घंटे में चलाया जाता है। OSSEC की अलर्टिंग विशेषताओं का परीक्षण करने के लिए, आप इसे कम मूल्य पर सेट करना चाह सकते हैं, लेकिन बाद में इसे डिफ़ॉल्ट पर रीसेट कर सकते हैं।

<syscheck>
   <!-- Frequency that syscheck is executed - default to every 22 hours -->
   <frequency>79200</frequency>

डिफ़ॉल्ट रूप से, जब कोई नई फ़ाइल सर्वर में जोड़ी जाती है तो OSSEC सतर्क नहीं होता है। इसे बदलने के लिए, केवल <आवृत्ति> टैग के तहत एक नया टैग जोड़ें । जब पूरा हो जाए, तो अनुभाग में अब शामिल होना चाहिए:

<syscheck>
   <!-- Frequency that syscheck is executed - default to every 22 hours -->
   <frequency>79200</frequency>

   <alert_new_files>yes</alert_new_files>

एक अंतिम सेटिंग जो बदलने के लिए अच्छा है वह उस निर्देशिका की सूची में है जिसे ओएसएसईसी को जांचना चाहिए। पिछली सेटिंग के बाद आप उन्हें सही पाएंगे। डिफ़ॉल्ट रहें, निर्देशिका इस प्रकार दिखाई गई हैं:

<!-- Directories to check  (perform all possible verifications) -->
   <directories check_all="yes">/etc,/usr/bin,/usr/sbin</directories>
   <directories check_all="yes">/bin,/sbin</directories>

वास्तविक समय में OSSEC रिपोर्ट परिवर्तन करने के लिए दोनों पंक्तियों को संशोधित करें। जब समाप्त हो जाए, तो उन्हें पढ़ना चाहिए:

<directories report_changes="yes" realtime="yes" check_all="yes">/etc,/usr/bin,/usr/sbin</directories>
<directories report_changes="yes" realtime="yes" check_all="yes">/bin,/sbin</directories>

फ़ाइल को सहेजें और बंद करें।

अगली फ़ाइल जिसे हमें संशोधित करने की आवश्यकता है local_rules.xmlवह /var/ossec/rulesनिर्देशिका में है। तो cdउस निर्देशिका में:

cd /var/ossec/rules

वह निर्देशिका OSSEC की नियम फ़ाइलों को रखती है, जिनमें से कोई भी local_rules.xmlफ़ाइल को छोड़कर, संशोधित नहीं होनी चाहिए । उस फ़ाइल में, हम कस्टम नियम जोड़ते हैं। हमें जो नियम जोड़ने की आवश्यकता है वह वह है जो एक नई फ़ाइल को जोड़ने पर आग लगाता है। यह नियम, 554 नंबर , डिफ़ॉल्ट रूप से अलर्ट ट्रिगर नहीं करता है। ऐसा इसलिए है क्योंकि OSSEC अलर्ट नहीं भेजता है जब एक नियम के स्तर के साथ शून्य पर ट्रिगर किया जाता है।

यहां डिफ़ॉल्ट रूप से 554 कैसा नियम है।

 <rule id="554" level="0">
    <category>ossec</category>
    <decoded_as>syscheck_new_entry</decoded_as>
    <description>File added to the system.</description>
    <group>syscheck,</group>
 </rule>

हमें local_rules.xmlफ़ाइल में उस नियम का एक संशोधित संस्करण जोड़ना होगा । उस संशोधित संस्करण को नीचे दिए गए कोड के ब्लॉक में दिया गया है। कॉपी करें और समापन टैग से ठीक पहले इसे फ़ाइल के निचले हिस्से में जोड़ें।

 <rule id="554" level="7" overwrite="yes">
    <category>ossec</category>
    <decoded_as>syscheck_new_entry</decoded_as>
    <description>File added to the system.</description>
    <group>syscheck,</group>
 </rule>

फ़ाइल सहेजें और बंद करें, फिर OSSEC को पुनरारंभ करें।

/var/ossec/bin/ossec-control restart

अधिक जानकारी

OSSEC सॉफ्टवेयर का एक बहुत शक्तिशाली टुकड़ा है, और यह लेख सिर्फ मूल बातें पर छुआ है। आपको आधिकारिक प्रलेखन में अधिक अनुकूलन सेटिंग्स मिलेंगी ।