Cara Memasang OSSEC HIDS pada CentOS 7 Server

• Pengenalan
• Prasyarat
• Langkah 1: Pasang Pakej yang Diperlukan
• Langkah 2 - Muat turun dan Sahkan OSSEC
• Langkah 3: Tentukan Pelayan SMTP Anda
• Langkah 4: Pasang OSSEC
• Langkah 5: Mulakan OSSEC
• Langkah 6: Sesuaikan OSSEC
• Maklumat lanjut

Pengenalan

OSSEC adalah sistem pengesanan pencerobohan berasaskan host (HIDS) sumber terbuka yang melakukan analisis log, pemeriksaan integriti, pemantauan pendaftaran Windows, pengesanan rootkit, peringatan berdasarkan masa, dan tindak balas aktif. Ini adalah aplikasi keselamatan yang mesti ada di mana-mana pelayan.

OSSEC boleh dipasang untuk memantau pelayan yang dipasang (pemasangan tempatan), atau dipasang sebagai pelayan untuk memantau satu atau lebih ejen. Dalam tutorial ini, anda akan belajar cara memasang OSSEC untuk memantau CentOS 7 sebagai pemasangan tempatan.

Prasyarat

• Pelayan CentOS 7 lebih disiapkan dengan kekunci SSH dan disesuaikan menggunakan Persediaan Awal Pelayan CentOS 7 . Log masuk ke pelayan menggunakan akaun pengguna standard. Anggap bahawa nama pengguna adalah joe .

  ssh -l joe server-ip-address
  

Langkah 1: Pasang Pakej yang Diperlukan

OSSEC akan disusun dari sumber, jadi anda memerlukan penyusun untuk menjadikannya mungkin. Ia juga memerlukan pakej tambahan untuk pemberitahuan. Pasang dengan menaip:

sudo yum install -y gcc inotify-tools

Langkah 2 - Muat turun dan Sahkan OSSEC

OSSEC disampaikan sebagai tarball termampat yang harus dimuat turun dari laman web projek. Fail checksum, yang akan digunakan untuk mengesahkan bahawa tarball belum dirusak, juga harus dimuat turun. Pada masa penerbitan ini, versi terbaru OSSEC adalah 2.8.2. Periksa halaman muat turun projek dan muat turun apa sahaja versi terkini.

Untuk memuat turun tarball, ketik:

wget -U ossec http://www.ossec.net/files/ossec-hids-2.8.2.tar.gz

Untuk fail checksum, taip:

wget -U ossec http://www.ossec.net/files/ossec-hids-2.8.2-checksum.txt

Dengan kedua-dua fail yang dimuat turun, langkah seterusnya adalah mengesahkan jumlah pemeriksaan tarball MD5 dan SHA1. Untuk MD5sum, taip:

md5sum -c ossec-hids-2.8.2-checksum.txt

Hasil yang diharapkan adalah:

ossec-hids-2.8.2.tar.gz: OK
md5sum: WARNING: 1 line is improperly formatted

Untuk mengesahkan hash SHA1, ketik:

sha1sum -c ossec-hids-2.8.2-checksum.txt

Dan output yang diharapkan adalah:

ossec-hids-2.8.2.tar.gz: OK
sha1sum: WARNING: 1 line is improperly formatted

Langkah 3: Tentukan Pelayan SMTP Anda

Semasa proses pemasangan OSSEC, anda akan diminta untuk menentukan pelayan SMTP untuk alamat e-mel anda. Sekiranya anda tidak tahu apa itu, kaedah termudah untuk mengetahui adalah dengan mengeluarkan arahan ini dari mesin tempatan anda (ganti alamat e-mel palsu dengan yang sebenar):

dig -t mx [email protected]

Bahagian yang berkaitan dalam output ditunjukkan dalam blok kod ini. Dalam contoh output ini, pelayan SMTP untuk alamat e-mel yang ditanyakan berada di hujung baris - mail.vivaldi.net. . Perhatikan bahawa titik di hujung disertakan.

;; ANSWER SECTION:
vivaldi.net.        300 IN  MX  10 mail.vivaldi.net.

Langkah 4: Pasang OSSEC

Untuk memasang OSSEC, pertama anda perlu membongkar tarball, yang anda lakukan dengan menaip:

tar xf ossec-hids-2.8.2.tar.gz

Ini akan dibongkar ke direktori yang berisi nama dan versi program. Tukar atau cdke dalamnya. OSSEC 2.8.2, versi yang dipasang untuk artikel ini, mempunyai bug kecil yang perlu diperbaiki sebelum memulakan pemasangan. Pada saat versi stabil berikutnya dirilis, yang seharusnya OSSEC 2.9, ini tidak perlu dilakukan, kerana perbaikannya sudah ada di cawangan induk. Memperbaikinya untuk OSSEC 2.8.2 hanya bermaksud mengedit satu fail, yang terdapat di dalam active-responsedirektori. Failnya hosts-deny.sh, jadi buka dengan menggunakan:

nano active-response/hosts-deny.sh

Menjelang akhir fail, cari blok kod ini:

# Deleting from hosts.deny
elif [ "x$" = "xdelete" ]; then
   lock;
   TMP_FILE = `mktemp /var/ossec/ossec-hosts.XXXXXXXXXX`
   if [ "X$" = "X" ]; then
      # Cheap fake tmpfile, but should be harder then no random data
      TMP_FILE = "/var/ossec/ossec-hosts.`cat /dev/urandom | tr -dc 'a-zA-Z0-9' | fold -w 32 | head -1 `"
   fi

Pada baris yang bermula dengan TMP_FILE , hapus ruang di sekitar tanda = . Setelah membuang spasi, bahagian fail tersebut seperti yang ditunjukkan dalam blok kod di bawah. Simpan dan tutup fail.

# Deleting from hosts.deny
elif [ "x$" = "xdelete" ]; then
   lock;
   TMP_FILE=`mktemp /var/ossec/ossec-hosts.XXXXXXXXXX`
   if [ "X$" = "X" ]; then
      # Cheap fake tmpfile, but should be harder then no random data
      TMP_FILE="/var/ossec/ossec-hosts.`cat /dev/urandom | tr -dc 'a-zA-Z0-9' | fold -w 32 | head -1 `"
   fi

Setelah perbaiki selesai, kita dapat memulakan proses pemasangan, yang anda lakukan dengan menaip:

sudo ./install.sh

Sepanjang proses pemasangan, anda akan diminta memberikan sedikit input. Dalam kebanyakan kes, anda hanya perlu menekan ENTER untuk menerima lalai. Pertama, anda akan diminta untuk memilih bahasa pemasangan, yang secara lalai, adalah bahasa Inggeris (en). Oleh itu, tekan ENTER jika itu bahasa pilihan anda. Jika tidak, masukkan 2 huruf dari senarai bahasa yang disokong. Selepas itu, tekan ENTER sekali lagi.

Soalan pertama akan menanyakan jenis pemasangan yang anda mahukan. Di sini, masukkan tempatan .

1- What kind of installation do you want (server, agent, local, hybrid or help)? local

Untuk soalan berikutnya, tekan ENTER untuk menerima lalai. Soalan 3.1 akan meminta alamat e-mel anda dan kemudian meminta pelayan SMTP anda. Untuk soalan itu, masukkan alamat e-mel yang sah dan pelayan SMTP yang anda tentukan dalam Langkah 3.

3- Configuring the OSSEC HIDS.

   3.1- Do you want e-mail notification? (y/n) [y]: 
      - What's your e-mail address? [email protected]
      - What's your SMTP server ip/host?

Sekiranya pemasangan berjaya, anda akan melihat output ini:

- Configuration finished properly.

...

    More information can be found at http://www.ossec.net

    ---  Press ENTER to finish (maybe more information below). ---

Tekan ENTER untuk menyelesaikan pemasangan.

Langkah 5: Mulakan OSSEC

OSSEC telah dipasang, tetapi tidak dimulakan. Untuk memulakannya, mula-mula beralih ke akaun root.

sudo su

Kemudian, mulakan dengan mengeluarkan arahan berikut.

/var/ossec/bin/ossec-control start

Selepas itu, periksa Peti Masuk anda. Seharusnya ada makluman dari OSSEC yang memberitahu anda bahawa itu telah dimulakan. Dengan itu, anda sekarang tahu bahawa OSSEC dipasang dan akan menghantar makluman mengikut keperluan.

Langkah 6: Sesuaikan OSSEC

Konfigurasi lalai OSSEC berfungsi dengan baik, tetapi ada tetapan yang boleh anda ubah untuk melindungi pelayan anda dengan lebih baik. Fail pertama untuk disesuaikan adalah fail konfigurasi utama - ossec.conf, yang akan anda temukan di /var/ossec/etcdirektori. Buka fail:

nano /var/ossec/etc/ossec.conf

Item pertama yang disahkan adalah tetapan e-mel, yang akan anda dapati di bahagian global fail:

<global>
   <email_notification>yes</email_notification>
   <email_to>[email protected]</email_to>
   <smtp_server>mail.vivaldi.net.</smtp_server>
   <email_from>[email protected]</email_from>
</global>

Pastikan alamat email_daripada e-mel yang sah. Jika tidak, sebilangan pelayan SMTP penyedia e-mel akan menandakan amaran dari OSSEC sebagai Spam. Sekiranya FQDN pelayan tidak ditetapkan, bahagian domain e-mel ditetapkan ke nama hos pelayan, jadi ini adalah tetapan yang anda benar-benar mahu mempunyai alamat e-mel yang sah.

Tetapan lain yang ingin anda sesuaikan, terutamanya semasa menguji sistem, adalah kekerapan OSSEC menjalankan auditnya. Tetapan itu ada di bahagian syscheck , dan, secara lalai, dijalankan setiap 22 jam. Untuk menguji ciri amaran OSSEC, anda mungkin ingin menetapkannya ke nilai yang lebih rendah, tetapi tetapkan semula ke lalai selepas itu.

<syscheck>
   <!-- Frequency that syscheck is executed - default to every 22 hours -->
   <frequency>79200</frequency>

Secara lalai, OSSEC tidak memberi amaran apabila fail baru ditambahkan ke pelayan. Untuk menukarnya, tambahkan tag baru tepat di bawah tag <frekuensi> . Setelah selesai, bahagian tersebut harus mengandungi:

<syscheck>
   <!-- Frequency that syscheck is executed - default to every 22 hours -->
   <frequency>79200</frequency>

   <alert_new_files>yes</alert_new_files>

Satu tetapan terakhir yang baik untuk diubah adalah dalam senarai direktori yang harus diperiksa oleh OSSEC. Anda akan menjumpainya tepat selepas tetapan sebelumnya. Secara lalai, direktori ditunjukkan seperti:

<!-- Directories to check  (perform all possible verifications) -->
   <directories check_all="yes">/etc,/usr/bin,/usr/sbin</directories>
   <directories check_all="yes">/bin,/sbin</directories>

Ubah kedua garis untuk membuat perubahan laporan OSSEC dalam masa nyata. Setelah selesai, mereka harus membaca:

<directories report_changes="yes" realtime="yes" check_all="yes">/etc,/usr/bin,/usr/sbin</directories>
<directories report_changes="yes" realtime="yes" check_all="yes">/bin,/sbin</directories>

Simpan dan tutup fail.

Fail seterusnya yang perlu kita ubah adalah local_rules.xmldalam /var/ossec/rulesdirektori. Jadi cdke dalam direktori itu:

cd /var/ossec/rules

Direktori itu menyimpan fail peraturan OSSEC, tidak ada yang harus diubah suai, kecuali local_rules.xmlfail tersebut. Dalam fail itu, kami menambahkan peraturan tersuai. Peraturan yang perlu kita tambahkan adalah peraturan yang diaktifkan semasa fail baru ditambahkan. Peraturan itu, bernombor 554 , tidak memunculkan amaran secara lalai. Ini kerana OSSEC tidak menghantar amaran apabila peraturan dengan tahap yang ditetapkan ke sifar dicetuskan.

Inilah peraturan 554 secara lalai.

 <rule id="554" level="0">
    <category>ossec</category>
    <decoded_as>syscheck_new_entry</decoded_as>
    <description>File added to the system.</description>
    <group>syscheck,</group>
 </rule>

Kita perlu menambahkan versi peraturan yang diubah dalam local_rules.xmlfail. Versi yang diubah itu diberikan dalam blok kod di bawah. Salin dan tambahkan ke bahagian bawah fail sebelum tag penutup.

 <rule id="554" level="7" overwrite="yes">
    <category>ossec</category>
    <decoded_as>syscheck_new_entry</decoded_as>
    <description>File added to the system.</description>
    <group>syscheck,</group>
 </rule>

Simpan dan tutup fail, kemudian mulakan semula OSSEC.

/var/ossec/bin/ossec-control restart

Maklumat lanjut

OSSEC adalah perisian yang sangat hebat, dan artikel ini hanya menyentuh asasnya. Anda akan mendapat lebih banyak tetapan penyesuaian dalam dokumentasi rasmi .