Cara Memasang OSSEC HIDS pada Server CentOS 7

• pengantar
• Prasyarat
• Langkah 1: Instal Paket yang Diperlukan
• Langkah 2 - Unduh dan Verifikasi OSSEC
• Langkah 3: Tentukan Server SMTP Anda
• Langkah 4: Instal OSSEC
• Langkah 5: Mulai OSSEC
• Langkah 6: Kustomisasi OSSEC
• Informasi Lebih Lanjut

pengantar

OSSEC adalah open source, sistem deteksi intrusi berbasis host (HIDS) yang melakukan analisis log, pemeriksaan integritas, pemantauan registri Windows, deteksi rootkit, peringatan berbasis waktu, dan respons aktif. Ini adalah aplikasi keamanan yang harus dimiliki di server mana pun.

OSSEC dapat diinstal untuk memantau hanya server yang diinstal pada (instalasi lokal), atau diinstal sebagai server untuk memantau satu atau lebih agen. Dalam tutorial ini, Anda akan belajar cara menginstal OSSEC untuk memantau CentOS 7 sebagai instalasi lokal.

Prasyarat

• Server CentOS 7 sebaiknya diatur dengan kunci SSH dan disesuaikan menggunakan Pengaturan Awal Server CentOS 7 . Masuk ke server menggunakan akun pengguna standar. Asumsikan bahwa nama pengguna adalah joe .

  ssh -l joe server-ip-address
  

Langkah 1: Instal Paket yang Diperlukan

OSSEC akan dikompilasi dari sumber, jadi Anda memerlukan kompiler untuk membuatnya mungkin. Ini juga membutuhkan paket tambahan untuk pemberitahuan. Instal dengan mengetik:

sudo yum install -y gcc inotify-tools

Langkah 2 - Unduh dan Verifikasi OSSEC

OSSEC dikirimkan sebagai tarball terkompresi yang harus diunduh dari situs web proyek. File checksum, yang akan digunakan untuk memverifikasi bahwa tarball belum dirusak, juga harus diunduh. Pada saat publikasi ini, versi terbaru OSSEC adalah 2.8.2. Periksa halaman unduh proyek dan unduh apa pun versi terbarunya.

Untuk mengunduh tarball, ketik:

wget -U ossec http://www.ossec.net/files/ossec-hids-2.8.2.tar.gz

Untuk file checksum, ketik:

wget -U ossec http://www.ossec.net/files/ossec-hids-2.8.2-checksum.txt

Dengan kedua file diunduh, langkah selanjutnya adalah memverifikasi checksum MD5 dan SHA1 tarball. Untuk MD5sum, ketik:

md5sum -c ossec-hids-2.8.2-checksum.txt

Output yang diharapkan adalah:

ossec-hids-2.8.2.tar.gz: OK
md5sum: WARNING: 1 line is improperly formatted

Untuk memverifikasi hash SHA1, ketik:

sha1sum -c ossec-hids-2.8.2-checksum.txt

Dan output yang diharapkan adalah:

ossec-hids-2.8.2.tar.gz: OK
sha1sum: WARNING: 1 line is improperly formatted

Langkah 3: Tentukan Server SMTP Anda

Selama proses instalasi OSSEC, Anda akan diminta untuk menentukan server SMTP untuk alamat email Anda. Jika Anda tidak tahu apa itu, metode termudah untuk mengetahuinya adalah dengan mengeluarkan perintah ini dari mesin lokal Anda (ganti alamat email palsu dengan yang asli):

dig -t mx [email protected]

Bagian yang relevan di output ditampilkan di blok kode ini. Dalam output sampel ini, server SMTP untuk alamat email yang diminta di akhir baris - mail.vivaldi.net. . Perhatikan bahwa titik di bagian akhir disertakan.

;; ANSWER SECTION:
vivaldi.net.        300 IN  MX  10 mail.vivaldi.net.

Langkah 4: Instal OSSEC

Untuk menginstal OSSEC, Anda harus terlebih dahulu membongkar tarball, yang Anda lakukan dengan mengetik:

tar xf ossec-hids-2.8.2.tar.gz

Itu akan dibongkar ke direktori yang menyandang nama dan versi program. Ubah atau cdke dalamnya. OSSEC 2.8.2, versi yang diinstal untuk artikel ini, memiliki bug minor yang perlu diperbaiki sebelum memulai instalasi. Pada saat versi stabil berikutnya dirilis, yang seharusnya OSSEC 2.9, ini tidak perlu, karena perbaikan sudah ada di cabang master. Memperbaikinya untuk OSSEC 2.8.2 hanya berarti mengedit satu file, yang ditemukan di active-responsedirektori. File tersebut hosts-deny.sh, jadi buka dengan menggunakan:

nano active-response/hosts-deny.sh

Menjelang akhir file, cari blok kode ini:

# Deleting from hosts.deny
elif [ "x$" = "xdelete" ]; then
   lock;
   TMP_FILE = `mktemp /var/ossec/ossec-hosts.XXXXXXXXXX`
   if [ "X$" = "X" ]; then
      # Cheap fake tmpfile, but should be harder then no random data
      TMP_FILE = "/var/ossec/ossec-hosts.`cat /dev/urandom | tr -dc 'a-zA-Z0-9' | fold -w 32 | head -1 `"
   fi

Pada baris yang dimulai dengan TMP_FILE , hapus spasi di sekitar tanda = . Setelah menghapus spasi, bagian file itu harus seperti yang ditunjukkan pada blok kode di bawah ini. Simpan dan tutup file.

# Deleting from hosts.deny
elif [ "x$" = "xdelete" ]; then
   lock;
   TMP_FILE=`mktemp /var/ossec/ossec-hosts.XXXXXXXXXX`
   if [ "X$" = "X" ]; then
      # Cheap fake tmpfile, but should be harder then no random data
      TMP_FILE="/var/ossec/ossec-hosts.`cat /dev/urandom | tr -dc 'a-zA-Z0-9' | fold -w 32 | head -1 `"
   fi

Sekarang setelah perbaikan dalam, kita dapat memulai proses instalasi, yang Anda lakukan dengan mengetik:

sudo ./install.sh

Selama proses instalasi, Anda akan diminta untuk memberikan beberapa input. Dalam kebanyakan kasus, Anda hanya perlu menekan ENTER untuk menerima default. Pertama, Anda akan diminta untuk memilih bahasa instalasi, yang secara default, adalah bahasa Inggris (en). Jadi tekan ENTER jika itu bahasa pilihan Anda. Jika tidak, masukkan 2 huruf dari daftar bahasa yang didukung. Setelah itu, tekan ENTER lagi.

Pertanyaan pertama akan menanyakan jenis instalasi apa yang Anda inginkan. Di sini, masukkan lokal .

1- What kind of installation do you want (server, agent, local, hybrid or help)? local

Untuk pertanyaan selanjutnya, tekan ENTER untuk menerima default. Pertanyaan 3.1 akan meminta Anda untuk alamat email Anda dan kemudian meminta server SMTP Anda. Untuk pertanyaan itu, masukkan alamat email yang valid dan server SMTP yang Anda tentukan pada Langkah 3.

3- Configuring the OSSEC HIDS.

   3.1- Do you want e-mail notification? (y/n) [y]: 
      - What's your e-mail address? [email protected]
      - What's your SMTP server ip/host?

Jika instalasi berhasil, Anda akan melihat output ini:

- Configuration finished properly.

...

    More information can be found at http://www.ossec.net

    ---  Press ENTER to finish (maybe more information below). ---

Tekan ENTER untuk menyelesaikan instalasi.

Langkah 5: Mulai OSSEC

OSSEC telah diinstal, tetapi belum dimulai. Untuk memulainya, pertama-tama beralihlah ke akun root.

sudo su

Kemudian, mulailah dengan mengeluarkan perintah berikut.

/var/ossec/bin/ossec-control start

Setelah itu, periksa Kotak Masuk Anda. Seharusnya ada peringatan dari OSSEC yang memberi tahu Anda bahwa itu sudah dimulai. Dengan itu, Anda sekarang tahu bahwa OSSEC diinstal dan akan mengirimkan peringatan sesuai kebutuhan.

Langkah 6: Kustomisasi OSSEC

Konfigurasi default OSSEC berfungsi dengan baik, tetapi ada pengaturan yang dapat Anda atur untuk membuatnya melindungi server Anda dengan lebih baik. File pertama yang dikustomisasi adalah file konfigurasi utama - ossec.conf, yang akan Anda temukan di /var/ossec/etcdirektori. Buka file:

nano /var/ossec/etc/ossec.conf

Item pertama yang diverifikasi adalah pengaturan email, yang akan Anda temukan di bagian global file:

<global>
   <email_notification>yes</email_notification>
   <email_to>[email protected]</email_to>
   <smtp_server>mail.vivaldi.net.</smtp_server>
   <email_from>[email protected]</email_from>
</global>

Pastikan alamat email_from adalah email yang valid. Jika tidak, beberapa server SMTP penyedia email akan menandai peringatan dari OSSEC sebagai Spam. Jika FQDN server tidak disetel, bagian domain dari email diatur ke nama host server, jadi ini adalah pengaturan yang Anda benar-benar ingin memiliki alamat email yang valid.

Pengaturan lain yang ingin Anda sesuaikan, terutama saat menguji sistem, adalah frekuensi OSSEC menjalankan auditnya. Pengaturan itu ada di bagian syscheck , dan, secara default, dijalankan setiap 22 jam. Untuk menguji fitur peringatan OSSEC, Anda mungkin ingin mengaturnya ke nilai yang lebih rendah, tetapi mengatur ulang ke default setelahnya.

<syscheck>
   <!-- Frequency that syscheck is executed - default to every 22 hours -->
   <frequency>79200</frequency>

Secara default, OSSEC tidak memberi peringatan ketika file baru ditambahkan ke server. Untuk mengubahnya, tambahkan tag baru tepat di bawah tag <frekuensi> . Setelah selesai, bagian itu sekarang harus berisi:

<syscheck>
   <!-- Frequency that syscheck is executed - default to every 22 hours -->
   <frequency>79200</frequency>

   <alert_new_files>yes</alert_new_files>

Satu pengaturan terakhir yang baik untuk diubah adalah dalam daftar ke direktori yang harus diperiksa oleh OSSEC. Anda akan menemukannya tepat setelah pengaturan sebelumnya. Secara default, direktori ditampilkan sebagai:

<!-- Directories to check  (perform all possible verifications) -->
   <directories check_all="yes">/etc,/usr/bin,/usr/sbin</directories>
   <directories check_all="yes">/bin,/sbin</directories>

Ubah kedua baris untuk membuat perubahan laporan OSSEC secara waktu nyata. Setelah selesai, mereka harus membaca:

<directories report_changes="yes" realtime="yes" check_all="yes">/etc,/usr/bin,/usr/sbin</directories>
<directories report_changes="yes" realtime="yes" check_all="yes">/bin,/sbin</directories>

Simpan dan tutup file.

File selanjutnya yang perlu kita modifikasi ada local_rules.xmldi /var/ossec/rulesdirektori. Jadi cdke dalam direktori itu:

cd /var/ossec/rules

Direktori itu menyimpan file aturan OSSEC, tidak ada yang harus dimodifikasi, kecuali local_rules.xmlfile tersebut. Dalam file itu, kami menambahkan aturan khusus. Aturan yang perlu kita tambahkan adalah aturan yang diaktifkan saat file baru ditambahkan. Aturan itu, bernomor 554 , tidak memicu lansiran secara default. Itu karena OSSEC tidak mengirimkan peringatan ketika aturan dengan level yang diatur ke nol dipicu.

Beginilah aturan 554 terlihat secara default.

 <rule id="554" level="0">
    <category>ossec</category>
    <decoded_as>syscheck_new_entry</decoded_as>
    <description>File added to the system.</description>
    <group>syscheck,</group>
 </rule>

Kita perlu menambahkan versi modifikasi dari aturan itu dalam local_rules.xmlfile. Versi modifikasi itu diberikan dalam blok kode di bawah ini. Salin dan tambahkan ke bagian bawah file tepat sebelum tag penutup.

 <rule id="554" level="7" overwrite="yes">
    <category>ossec</category>
    <decoded_as>syscheck_new_entry</decoded_as>
    <description>File added to the system.</description>
    <group>syscheck,</group>
 </rule>

Simpan dan tutup file, lalu restart OSSEC.

/var/ossec/bin/ossec-control restart

Informasi Lebih Lanjut

OSSEC adalah perangkat lunak yang sangat kuat, dan artikel ini hanya menyentuh dasar-dasarnya. Anda akan menemukan lebih banyak pengaturan penyesuaian dalam dokumentasi resmi .