Cara Memasang Graylog Server pada CentOS 7
Menggunakan Sistem yang Berbeda? Graylog server adalah perangkat lunak manajemen log sumber terbuka siap pakai perusahaan. Ia mengumpulkan log dari berbagai sumber dan menganalisis
OSSEC adalah open source, sistem deteksi intrusi berbasis host (HIDS) yang melakukan analisis log, pemeriksaan integritas, pemantauan registri Windows, deteksi rootkit, peringatan berbasis waktu, dan respons aktif. Ini adalah aplikasi keamanan yang harus dimiliki di server mana pun.
OSSEC dapat diinstal untuk memantau hanya server yang diinstal pada (instalasi lokal), atau diinstal sebagai server untuk memantau satu atau lebih agen. Dalam tutorial ini, Anda akan belajar cara menginstal OSSEC untuk memantau CentOS 7 sebagai instalasi lokal.
Server CentOS 7 sebaiknya diatur dengan kunci SSH dan disesuaikan menggunakan Pengaturan Awal Server CentOS 7 . Masuk ke server menggunakan akun pengguna standar. Asumsikan bahwa nama pengguna adalah joe .
ssh -l joe server-ip-address
OSSEC akan dikompilasi dari sumber, jadi Anda memerlukan kompiler untuk membuatnya mungkin. Ini juga membutuhkan paket tambahan untuk pemberitahuan. Instal dengan mengetik:
sudo yum install -y gcc inotify-tools
OSSEC dikirimkan sebagai tarball terkompresi yang harus diunduh dari situs web proyek. File checksum, yang akan digunakan untuk memverifikasi bahwa tarball belum dirusak, juga harus diunduh. Pada saat publikasi ini, versi terbaru OSSEC adalah 2.8.2. Periksa halaman unduh proyek dan unduh apa pun versi terbarunya.
Untuk mengunduh tarball, ketik:
wget -U ossec http://www.ossec.net/files/ossec-hids-2.8.2.tar.gz
Untuk file checksum, ketik:
wget -U ossec http://www.ossec.net/files/ossec-hids-2.8.2-checksum.txt
Dengan kedua file diunduh, langkah selanjutnya adalah memverifikasi checksum MD5 dan SHA1 tarball. Untuk MD5sum, ketik:
md5sum -c ossec-hids-2.8.2-checksum.txt
Output yang diharapkan adalah:
ossec-hids-2.8.2.tar.gz: OK
md5sum: WARNING: 1 line is improperly formatted
Untuk memverifikasi hash SHA1, ketik:
sha1sum -c ossec-hids-2.8.2-checksum.txt
Dan output yang diharapkan adalah:
ossec-hids-2.8.2.tar.gz: OK
sha1sum: WARNING: 1 line is improperly formatted
Selama proses instalasi OSSEC, Anda akan diminta untuk menentukan server SMTP untuk alamat email Anda. Jika Anda tidak tahu apa itu, metode termudah untuk mengetahuinya adalah dengan mengeluarkan perintah ini dari mesin lokal Anda (ganti alamat email palsu dengan yang asli):
dig -t mx [email protected]
Bagian yang relevan di output ditampilkan di blok kode ini. Dalam output sampel ini, server SMTP untuk alamat email yang diminta di akhir baris - mail.vivaldi.net. . Perhatikan bahwa titik di bagian akhir disertakan.
;; ANSWER SECTION:
vivaldi.net. 300 IN MX 10 mail.vivaldi.net.
Untuk menginstal OSSEC, Anda harus terlebih dahulu membongkar tarball, yang Anda lakukan dengan mengetik:
tar xf ossec-hids-2.8.2.tar.gz
Itu akan dibongkar ke direktori yang menyandang nama dan versi program. Ubah atau cd
ke dalamnya. OSSEC 2.8.2, versi yang diinstal untuk artikel ini, memiliki bug minor yang perlu diperbaiki sebelum memulai instalasi. Pada saat versi stabil berikutnya dirilis, yang seharusnya OSSEC 2.9, ini tidak perlu, karena perbaikan sudah ada di cabang master. Memperbaikinya untuk OSSEC 2.8.2 hanya berarti mengedit satu file, yang ditemukan di active-response
direktori. File tersebut hosts-deny.sh
, jadi buka dengan menggunakan:
nano active-response/hosts-deny.sh
Menjelang akhir file, cari blok kode ini:
# Deleting from hosts.deny
elif [ "x$" = "xdelete" ]; then
lock;
TMP_FILE = `mktemp /var/ossec/ossec-hosts.XXXXXXXXXX`
if [ "X$" = "X" ]; then
# Cheap fake tmpfile, but should be harder then no random data
TMP_FILE = "/var/ossec/ossec-hosts.`cat /dev/urandom | tr -dc 'a-zA-Z0-9' | fold -w 32 | head -1 `"
fi
Pada baris yang dimulai dengan TMP_FILE , hapus spasi di sekitar tanda = . Setelah menghapus spasi, bagian file itu harus seperti yang ditunjukkan pada blok kode di bawah ini. Simpan dan tutup file.
# Deleting from hosts.deny
elif [ "x$" = "xdelete" ]; then
lock;
TMP_FILE=`mktemp /var/ossec/ossec-hosts.XXXXXXXXXX`
if [ "X$" = "X" ]; then
# Cheap fake tmpfile, but should be harder then no random data
TMP_FILE="/var/ossec/ossec-hosts.`cat /dev/urandom | tr -dc 'a-zA-Z0-9' | fold -w 32 | head -1 `"
fi
Sekarang setelah perbaikan dalam, kita dapat memulai proses instalasi, yang Anda lakukan dengan mengetik:
sudo ./install.sh
Selama proses instalasi, Anda akan diminta untuk memberikan beberapa input. Dalam kebanyakan kasus, Anda hanya perlu menekan ENTER untuk menerima default. Pertama, Anda akan diminta untuk memilih bahasa instalasi, yang secara default, adalah bahasa Inggris (en). Jadi tekan ENTER jika itu bahasa pilihan Anda. Jika tidak, masukkan 2 huruf dari daftar bahasa yang didukung. Setelah itu, tekan ENTER lagi.
Pertanyaan pertama akan menanyakan jenis instalasi apa yang Anda inginkan. Di sini, masukkan lokal .
1- What kind of installation do you want (server, agent, local, hybrid or help)? local
Untuk pertanyaan selanjutnya, tekan ENTER untuk menerima default. Pertanyaan 3.1 akan meminta Anda untuk alamat email Anda dan kemudian meminta server SMTP Anda. Untuk pertanyaan itu, masukkan alamat email yang valid dan server SMTP yang Anda tentukan pada Langkah 3.
3- Configuring the OSSEC HIDS.
3.1- Do you want e-mail notification? (y/n) [y]:
- What's your e-mail address? [email protected]
- What's your SMTP server ip/host?
Jika instalasi berhasil, Anda akan melihat output ini:
- Configuration finished properly.
...
More information can be found at http://www.ossec.net
--- Press ENTER to finish (maybe more information below). ---
Tekan ENTER untuk menyelesaikan instalasi.
OSSEC telah diinstal, tetapi belum dimulai. Untuk memulainya, pertama-tama beralihlah ke akun root.
sudo su
Kemudian, mulailah dengan mengeluarkan perintah berikut.
/var/ossec/bin/ossec-control start
Setelah itu, periksa Kotak Masuk Anda. Seharusnya ada peringatan dari OSSEC yang memberi tahu Anda bahwa itu sudah dimulai. Dengan itu, Anda sekarang tahu bahwa OSSEC diinstal dan akan mengirimkan peringatan sesuai kebutuhan.
Konfigurasi default OSSEC berfungsi dengan baik, tetapi ada pengaturan yang dapat Anda atur untuk membuatnya melindungi server Anda dengan lebih baik. File pertama yang dikustomisasi adalah file konfigurasi utama - ossec.conf
, yang akan Anda temukan di /var/ossec/etc
direktori. Buka file:
nano /var/ossec/etc/ossec.conf
Item pertama yang diverifikasi adalah pengaturan email, yang akan Anda temukan di bagian global file:
<global>
<email_notification>yes</email_notification>
<email_to>[email protected]</email_to>
<smtp_server>mail.vivaldi.net.</smtp_server>
<email_from>[email protected]</email_from>
</global>
Pastikan alamat email_from adalah email yang valid. Jika tidak, beberapa server SMTP penyedia email akan menandai peringatan dari OSSEC sebagai Spam. Jika FQDN server tidak disetel, bagian domain dari email diatur ke nama host server, jadi ini adalah pengaturan yang Anda benar-benar ingin memiliki alamat email yang valid.
Pengaturan lain yang ingin Anda sesuaikan, terutama saat menguji sistem, adalah frekuensi OSSEC menjalankan auditnya. Pengaturan itu ada di bagian syscheck , dan, secara default, dijalankan setiap 22 jam. Untuk menguji fitur peringatan OSSEC, Anda mungkin ingin mengaturnya ke nilai yang lebih rendah, tetapi mengatur ulang ke default setelahnya.
<syscheck>
<!-- Frequency that syscheck is executed - default to every 22 hours -->
<frequency>79200</frequency>
Secara default, OSSEC tidak memberi peringatan ketika file baru ditambahkan ke server. Untuk mengubahnya, tambahkan tag baru tepat di bawah tag <frekuensi> . Setelah selesai, bagian itu sekarang harus berisi:
<syscheck>
<!-- Frequency that syscheck is executed - default to every 22 hours -->
<frequency>79200</frequency>
<alert_new_files>yes</alert_new_files>
Satu pengaturan terakhir yang baik untuk diubah adalah dalam daftar ke direktori yang harus diperiksa oleh OSSEC. Anda akan menemukannya tepat setelah pengaturan sebelumnya. Secara default, direktori ditampilkan sebagai:
<!-- Directories to check (perform all possible verifications) -->
<directories check_all="yes">/etc,/usr/bin,/usr/sbin</directories>
<directories check_all="yes">/bin,/sbin</directories>
Ubah kedua baris untuk membuat perubahan laporan OSSEC secara waktu nyata. Setelah selesai, mereka harus membaca:
<directories report_changes="yes" realtime="yes" check_all="yes">/etc,/usr/bin,/usr/sbin</directories>
<directories report_changes="yes" realtime="yes" check_all="yes">/bin,/sbin</directories>
Simpan dan tutup file.
File selanjutnya yang perlu kita modifikasi ada local_rules.xml
di /var/ossec/rules
direktori. Jadi cd
ke dalam direktori itu:
cd /var/ossec/rules
Direktori itu menyimpan file aturan OSSEC, tidak ada yang harus dimodifikasi, kecuali local_rules.xml
file tersebut. Dalam file itu, kami menambahkan aturan khusus. Aturan yang perlu kita tambahkan adalah aturan yang diaktifkan saat file baru ditambahkan. Aturan itu, bernomor 554 , tidak memicu lansiran secara default. Itu karena OSSEC tidak mengirimkan peringatan ketika aturan dengan level yang diatur ke nol dipicu.
Beginilah aturan 554 terlihat secara default.
<rule id="554" level="0">
<category>ossec</category>
<decoded_as>syscheck_new_entry</decoded_as>
<description>File added to the system.</description>
<group>syscheck,</group>
</rule>
Kita perlu menambahkan versi modifikasi dari aturan itu dalam local_rules.xml
file. Versi modifikasi itu diberikan dalam blok kode di bawah ini. Salin dan tambahkan ke bagian bawah file tepat sebelum tag penutup.
<rule id="554" level="7" overwrite="yes">
<category>ossec</category>
<decoded_as>syscheck_new_entry</decoded_as>
<description>File added to the system.</description>
<group>syscheck,</group>
</rule>
Simpan dan tutup file, lalu restart OSSEC.
/var/ossec/bin/ossec-control restart
OSSEC adalah perangkat lunak yang sangat kuat, dan artikel ini hanya menyentuh dasar-dasarnya. Anda akan menemukan lebih banyak pengaturan penyesuaian dalam dokumentasi resmi .
Menggunakan Sistem yang Berbeda? Graylog server adalah perangkat lunak manajemen log sumber terbuka siap pakai perusahaan. Ia mengumpulkan log dari berbagai sumber dan menganalisis
Pada kesempatan tertentu, Administrator Sistem mungkin perlu membuat akun pengguna dan membatasi akses mereka untuk hanya mengelola file mereka sendiri melalui sFTP, tetapi tidak
Menggunakan Sistem yang Berbeda? Chamilo adalah sistem manajemen pembelajaran (LMS) gratis dan open source yang banyak digunakan untuk pendidikan online dan kolaborasi tim
Odoo, sebelumnya dikenal sebagai OpenERP, adalah platform bisnis ERP open source yang terkenal. Perusahaan dengan ukuran berapa pun dapat mengambil manfaat dari Odoo, berkat lisnya yang berlimpah
Menggunakan Sistem yang Berbeda? Couch CMS adalah Content Management System (CMS) sederhana dan fleksibel, gratis dan open source yang memungkinkan desainer web untuk mendesain
NextCloud, seperti namanya, adalah alternatif yang menjanjikan dari solusi hosting file sumber terbuka lainnya OwnCloud. Dalam artikel ini, saya akan menunjukkan kepada Anda ho
Menggunakan Sistem yang Berbeda? Netdata adalah bintang yang naik di bidang pemantauan metrik sistem waktu-nyata. Dibandingkan dengan alat lain dengan jenis yang sama, Netdata:
Menggunakan Sistem yang Berbeda? ERP atau Enterprise Resource Planning adalah rangkaian aplikasi perusahaan yang digunakan untuk mengelola proses bisnis inti. ERPNext adalah gratis
Selamat datang di tutorial Vultr lainnya. Di sini, Anda akan belajar cara menginstal dan menjalankan server SAMP. Panduan ini ditulis untuk CentOS 6. Prasyarat Anda akan tahu
Menggunakan Sistem yang Berbeda? Elgg adalah mesin jejaring sosial open source yang memungkinkan penciptaan lingkungan sosial seperti jejaring sosial kampus
Bolt adalah CMS open source yang ditulis dalam PHP. Kode sumber baut di-host di GitHub. Panduan ini akan menunjukkan kepada Anda cara menginstal Bolt CMS pada CentOS 7 Vult yang baru
Bugzilla adalah sistem pelacakan bug sumber bebas dan terbuka yang banyak digunakan oleh berbagai vendor untuk terus meningkatkan softwar mereka
Ikhtisar Artikel ini dimaksudkan untuk membantu Anda mendapatkan kluster Kubernet dan menjalankan dengan kubeadm dalam waktu singkat. Panduan ini akan menggunakan dua server, pada
Menggunakan Sistem yang Berbeda? Pendahuluan Sails.js adalah kerangka kerja MVC untuk Node.js, mirip dengan Ruby on Rails. Itu membuat untuk mengembangkan aplikasi modern ver
Tutorial ini akan membahas proses pemasangan server game Half Life 2 pada Sistem CentOS 6. Langkah 1: Menginstal prasyarat Untuk mengatur ou
Pendahuluan Sistem Linux dilengkapi dengan alat pemantauan secara default seperti top, df, dan du yang membantu memonitor proses dan ruang disk. Namun sering kali, mereka ar
Menggunakan Sistem yang Berbeda? Kolab Groupware adalah aplikasi groupware berbasis web gratis dan open source. Fitur-fiturnya terdiri dari komunikasi email, acara
Menggunakan Sistem yang Berbeda? Koel adalah aplikasi streaming audio pribadi sederhana berbasis web yang ditulis dalam Vue di sisi klien dan Laravel di sisi server. Koe
GDB adalah debugger untuk C, C ++, Objective-C, Pascal, Fortran, Go, D, OpenCL C, Ada, dan Modula-2. CentOS didasarkan pada RHEL (Red Hat Enterprise Linux). Salah satu th
Menggunakan Sistem yang Berbeda? Akaunting adalah perangkat lunak akuntansi sumber terbuka dan gratis yang dirancang untuk usaha kecil dan freelancer. Itu dibangun kecerdasan
Wawasan tentang 26 Teknik Analisis Data Besar: Bagian 1
Banyak dari Anda tahu Switch keluar pada Maret 2017 dan fitur-fitur barunya. Bagi yang belum tahu, kami sudah menyiapkan daftar fitur yang membuat 'Switch' menjadi 'gadget yang wajib dimiliki'.
Apakah Anda menunggu raksasa teknologi untuk memenuhi janji mereka? periksa apa yang belum terkirim.
Baca blog untuk mengetahui berbagai lapisan dalam Arsitektur Big Data dan fungsinya dengan cara yang paling sederhana.
Baca ini untuk mengetahui bagaimana Kecerdasan Buatan menjadi populer di antara perusahaan skala kecil dan bagaimana hal itu meningkatkan kemungkinan untuk membuat mereka tumbuh dan memberi keunggulan pada pesaing mereka.
CAPTCHA telah berkembang cukup sulit bagi pengguna untuk dipecahkan dalam beberapa tahun terakhir. Apakah itu akan tetap efektif dalam deteksi spam dan bot di masa mendatang?
Saat Sains Berkembang dengan kecepatan tinggi, mengambil alih banyak upaya kita, risiko menundukkan diri kita pada Singularitas yang tidak dapat dijelaskan juga meningkat. Baca, apa arti singularitas bagi kita.
Apa itu telemedicine, perawatan kesehatan jarak jauh dan dampaknya terhadap generasi mendatang? Apakah itu tempat yang bagus atau tidak dalam situasi pandemi? Baca blog untuk menemukan tampilan!
Anda mungkin pernah mendengar bahwa peretas menghasilkan banyak uang, tetapi pernahkah Anda bertanya-tanya bagaimana cara mereka mendapatkan uang sebanyak itu? mari berdiskusi.
Baru-baru ini Apple merilis macOS Catalina 10.15.4 pembaruan suplemen untuk memperbaiki masalah tetapi tampaknya pembaruan menyebabkan lebih banyak masalah yang mengarah ke bricking mesin mac. Baca artikel ini untuk mempelajari lebih lanjut