OSSEC is een open-source, host-gebaseerd inbraakdetectiesysteem (HIDS) dat loganalyse, integriteitscontrole, Windows-registerbewaking, rootkitdetectie, tijdgebaseerde waarschuwingen en actieve respons uitvoert. Het is een onmisbare beveiligingsapplicatie op elke server.
OSSEC kan worden geïnstalleerd om alleen de server te controleren waarop het is geïnstalleerd (een lokale installatie), of kan worden geïnstalleerd als een server om een of meer agents te bewaken. In deze zelfstudie leert u hoe u OSSEC installeert om CentOS 7 als lokale installatie te bewaken.
Een CentOS 7-server, bij voorkeur ingesteld met SSH-sleutels en aangepast met behulp van Initial Setup van een CentOS 7-server . Log in op de server met het standaard gebruikersaccount. Stel dat gebruikersnaam Joe is .
ssh -l joe server-ip-address
OSSEC wordt gecompileerd vanuit de bron, dus je hebt een compiler nodig om dat mogelijk te maken. Het vereist ook een extra pakket voor meldingen. Installeer ze door te typen:
sudo yum install -y gcc inotify-tools
OSSEC wordt geleverd als een gecomprimeerde tarball die moet worden gedownload van de website van het project. Het checksum-bestand, dat zal worden gebruikt om te verifiëren dat er niet met de tarball is geknoeid, moet ook worden gedownload. Ten tijde van deze publicatie is de nieuwste versie van OSSEC 2.8.2. Controleer de downloadpagina van het project en download wat de nieuwste versie ook is.
Typ het volgende om de tarball te downloaden:
wget -U ossec http://www.ossec.net/files/ossec-hids-2.8.2.tar.gz
Typ voor het checksum-bestand:
wget -U ossec http://www.ossec.net/files/ossec-hids-2.8.2-checksum.txt
Als beide bestanden zijn gedownload, is de volgende stap het verifiëren van de MD5- en SHA1-checksums van de tarball. Typ voor de MD5sum:
md5sum -c ossec-hids-2.8.2-checksum.txt
De verwachte output is:
ossec-hids-2.8.2.tar.gz: OK
md5sum: WARNING: 1 line is improperly formatted
Typ het volgende om de SHA1-hash te verifiëren:
sha1sum -c ossec-hids-2.8.2-checksum.txt
En de verwachte output is:
ossec-hids-2.8.2.tar.gz: OK
sha1sum: WARNING: 1 line is improperly formatted
Tijdens het installatieproces van OSSEC wordt u gevraagd om een SMTP-server op te geven voor uw e-mailadres. Als je niet weet wat het is, is de eenvoudigste methode om erachter te komen door deze opdracht op te geven vanaf je lokale computer (vervang het nep-e-mailadres door je echte):
dig -t mx [email protected]
In dit codeblok wordt het relevante deel van de uitgang weergegeven. In deze voorbeelduitvoer bevindt de SMTP-server voor het opgevraagde e-mailadres zich aan het einde van de regel - mail.vivaldi.net. . Merk op dat de punt aan het einde is inbegrepen.
;; ANSWER SECTION:
vivaldi.net. 300 IN MX 10 mail.vivaldi.net.
Om OSSEC te installeren, moet je eerst de tarball uitpakken, wat je doet door te typen:
tar xf ossec-hids-2.8.2.tar.gz
Het wordt uitgepakt in een map met de naam en versie van het programma. Verander of cderin. OSSEC 2.8.2, de versie die voor dit artikel is geïnstalleerd, heeft een kleine bug die moet worden verholpen voordat de installatie wordt gestart. Tegen de tijd dat de volgende stabiele versie wordt uitgebracht, die OSSEC 2.9 zou moeten zijn, zou dit niet nodig moeten zijn, omdat de fix al in de master -branch zit. Als u het voor OSSEC 2.8.2 repareert, hoeft u slechts één bestand te bewerken dat zich in de active-responsemap bevindt. Het bestand is hosts-deny.sh, dus open het met:
nano active-response/hosts-deny.sh
Zoek aan het einde van het bestand naar dit codeblok:
# Deleting from hosts.deny
elif [ "x$" = "xdelete" ]; then
lock;
TMP_FILE = `mktemp /var/ossec/ossec-hosts.XXXXXXXXXX`
if [ "X$" = "X" ]; then
# Cheap fake tmpfile, but should be harder then no random data
TMP_FILE = "/var/ossec/ossec-hosts.`cat /dev/urandom | tr -dc 'a-zA-Z0-9' | fold -w 32 | head -1 `"
fi
Verwijder op de regels die beginnen met TMP_FILE de spaties rond het = -teken. Na het verwijderen van de spaties moet dat deel van het bestand zijn zoals weergegeven in het onderstaande codeblok. Sla het bestand op en sluit het.
# Deleting from hosts.deny
elif [ "x$" = "xdelete" ]; then
lock;
TMP_FILE=`mktemp /var/ossec/ossec-hosts.XXXXXXXXXX`
if [ "X$" = "X" ]; then
# Cheap fake tmpfile, but should be harder then no random data
TMP_FILE="/var/ossec/ossec-hosts.`cat /dev/urandom | tr -dc 'a-zA-Z0-9' | fold -w 32 | head -1 `"
fi
Nu de fix binnen is, kunnen we het installatieproces starten, wat je doet door te typen:
sudo ./install.sh
Tijdens het installatieproces wordt u gevraagd wat input te geven. In de meeste gevallen hoeft u alleen op ENTER te drukken om de standaard te accepteren. Eerst wordt u gevraagd om de installatietaal te selecteren, die standaard Engels is (nl). Druk dus op ENTER als dat uw voorkeurstaal is. Anders voert u de 2 letters in uit de lijst met ondersteunde talen. Druk daarna nogmaals op ENTER .
De eerste vraag zal je vragen welk type installatie je wilt. Voer hier lokaal in .
1- What kind of installation do you want (server, agent, local, hybrid or help)? local
Druk voor volgende vragen op ENTER om de standaard te accepteren. Vraag 3.1 zal u om uw e-mailadres vragen en vervolgens om uw SMTP-server vragen. Voer voor die vraag een geldig e-mailadres en de SMTP-server in die u in stap 3 hebt bepaald.
3- Configuring the OSSEC HIDS.
3.1- Do you want e-mail notification? (y/n) [y]:
- What's your e-mail address? [email protected]
- What's your SMTP server ip/host?
Als de installatie is geslaagd, zou u deze uitvoer moeten zien:
- Configuration finished properly.
...
More information can be found at http://www.ossec.net
--- Press ENTER to finish (maybe more information below). ---
Druk op ENTER om de installatie te voltooien.
OSSEC is geïnstalleerd, maar niet gestart. Om het te starten, schakelt u eerst over naar het root-account.
sudo su
Start het vervolgens met de volgende opdracht.
/var/ossec/bin/ossec-control start
Controleer daarna uw inbox. Er moet een waarschuwing van OSSEC zijn die u informeert dat het is gestart. Daarmee weet u nu dat OSSEC is geïnstalleerd en indien nodig waarschuwingen zal verzenden.
De standaardconfiguratie van OSSEC werkt prima, maar er zijn instellingen die u kunt aanpassen om uw server beter te beschermen. Het eerste bestand dat u kunt aanpassen, is het belangrijkste configuratiebestand - ossec.confdat u in de /var/ossec/etcdirectory vindt. Open het bestand:
nano /var/ossec/etc/ossec.conf
Het eerste item dat u moet verifiëren, is een e-mailinstelling, die u vindt in het algemene gedeelte van het bestand:
<global>
<email_notification>yes</email_notification>
<email_to>[email protected]</email_to>
<smtp_server>mail.vivaldi.net.</smtp_server>
<email_from>[email protected]</email_from>
</global>
Zorg ervoor dat het email_from adres een geldig e-mailadres is. Anders markeren de SMTP-servers van sommige e-mailproviders waarschuwingen van OSSEC als spam. Als de FQDN van de server niet is ingesteld, wordt het domeingedeelte van de e-mail ingesteld op de hostnaam van de server, dus dit is een instelling die u echt wilt hebben een geldig e-mailadres.
Een andere instelling die u wilt aanpassen, vooral tijdens het testen van het systeem, is de frequentie waarmee OSSEC haar audits uitvoert. Die instelling staat in de syscheck- sectie en wordt standaard elke 22 uur uitgevoerd. Om de waarschuwingsfuncties van OSSEC te testen, wilt u deze misschien op een lagere waarde instellen, maar daarna terugzetten naar de standaardwaarde.
<syscheck>
<!-- Frequency that syscheck is executed - default to every 22 hours -->
<frequency>79200</frequency>
Standaard waarschuwt OSSEC niet wanneer een nieuw bestand aan de server wordt toegevoegd. Om dat te veranderen, voegt u een nieuwe tag toe net onder de tag <frequency> . Na voltooiing zou de sectie nu moeten bevatten:
<syscheck>
<!-- Frequency that syscheck is executed - default to every 22 hours -->
<frequency>79200</frequency>
<alert_new_files>yes</alert_new_files>
Een laatste instelling die goed is om te wijzigen, staat in de lijst met mappen die OSSEC moet controleren. Je vindt ze direct na de vorige instelling. Standaard worden de mappen weergegeven als:
<!-- Directories to check (perform all possible verifications) -->
<directories check_all="yes">/etc,/usr/bin,/usr/sbin</directories>
<directories check_all="yes">/bin,/sbin</directories>
Pas beide regels aan om wijzigingen in het OSSEC-rapport in realtime door te voeren. Als ze klaar zijn, moeten ze lezen:
<directories report_changes="yes" realtime="yes" check_all="yes">/etc,/usr/bin,/usr/sbin</directories>
<directories report_changes="yes" realtime="yes" check_all="yes">/bin,/sbin</directories>
Sla het bestand op en sluit het.
Het volgende bestand dat we moeten wijzigen, bevindt zich local_rules.xmlin de /var/ossec/rulesmap. Dus cdin die map:
cd /var/ossec/rules
Die map bevat de regelbestanden van OSSEC, die niet mogen worden gewijzigd, behalve het local_rules.xmlbestand. In dat bestand voegen we aangepaste regels toe. De regel die we moeten toevoegen, is de regel die wordt geactiveerd wanneer een nieuw bestand wordt toegevoegd. Die regel, genummerd 554 , activeert standaard geen waarschuwing. Dat komt omdat OSSEC geen waarschuwingen verzendt wanneer een regel met het niveau nul wordt geactiveerd.
Zo ziet regel 554 er standaard uit.
<rule id="554" level="0">
<category>ossec</category>
<decoded_as>syscheck_new_entry</decoded_as>
<description>File added to the system.</description>
<group>syscheck,</group>
</rule>
We moeten een gewijzigde versie van die regel toevoegen aan het local_rules.xmlbestand. Die gewijzigde versie wordt gegeven in het onderstaande codeblok. Kopieer het en voeg het toe aan de onderkant van het bestand net voor de afsluitende tag.
<rule id="554" level="7" overwrite="yes">
<category>ossec</category>
<decoded_as>syscheck_new_entry</decoded_as>
<description>File added to the system.</description>
<group>syscheck,</group>
</rule>
Sla het bestand op, sluit het en start OSSEC opnieuw op.
/var/ossec/bin/ossec-control restart
OSSEC is een zeer krachtig stuk software en dit artikel heeft zojuist de basis besproken. U vindt meer aanpassingsinstellingen in de officiële documentatie .
Gebruikt u een ander systeem? Introductie CyberPanel is een van de eerste bedieningspanelen op de markt die zowel open source is als OpenLiteSpeed gebruikt. Wat thi
Introductie Sensu is een gratis en open source monitoringoplossing die kan worden gebruikt om server, applicatie en verschillende systeemservices te monitoren. Sensu i
Het gebruik van een sudo-gebruiker om toegang te krijgen tot een server en opdrachten uit te voeren op rootniveau is een veel voorkomende praktijk onder Linux en Unix-systeembeheerder. Het gebruik van een sud
Gebruikt u een ander systeem? RTMP is geweldig voor het weergeven van live inhoud. Wanneer RTMP is gekoppeld aan FFmpeg, kunnen streams worden omgezet in verschillende kwaliteiten. Vultr ik
TaskBoard is een gratis en open source webbeheer voor tijdbeheer. Geïnspireerd door Kanban, kan TaskBoard u helpen bij het bijhouden van dingen die moeten worden gedaan in een
Gebruikt u een ander systeem? Gradle is een gratis en open source toolset voor het automatiseren van builds, gebaseerd op de concepten van Apache Ant en Apache Maven. Gradle biedt
Gebruikt u een ander systeem? In deze handleiding zullen we zien hoe u een FTP-server (ProFTPd) configureert om bestanden over te zetten tussen uw pc en uw server.
Gebruikt u een ander systeem? Netdata is een rijzende ster op het gebied van realtime monitoring van systeemstatistieken. Vergeleken met andere tools van dezelfde soort, Netdata:
Gebruikt u een ander systeem? Apache Cassandra is een gratis en open source NoSQL-databasebeheersysteem dat is ontworpen om schaalbaarheid te bieden
In deze tutorial leer je goed hoe je een Just Cause 2 multiplayer-server opzet. Vereisten Zorg ervoor dat het systeem volledig is bijgewerkt voordat we beginnen
Gebruikt u een ander systeem? In deze tutorial leg ik uit hoe je een Starbound-server instelt op CentOS 7. Vereisten Je moet dit spel op je hebben
ZNC is een gratis en open-source IRC-uitsmijter die permanent verbonden blijft met een netwerk, zodat klanten berichten kunnen ontvangen die worden verzonden terwijl ze offline zijn. Thi
Django is een populair Python-framework voor het schrijven van webapplicaties. Met Django kun je sneller applicaties bouwen, zonder het wiel opnieuw uit te vinden. Als je wilt
MantisBT, of Mantis Bug Tracker, is een open source issue tracker geschreven in PHP. MantisBT is uitgebalanceerd tussen gebruiksgemak en functionaliteit, mits
Gebruikt u een ander systeem? Elgg is een open source engine voor sociaal netwerken waarmee sociale omgevingen kunnen worden gecreëerd, zoals sociale campusnetwerken
Froxlor is een open source, gratis, lichtgewicht en toch krachtig serverbeheerpaneel dat geweldig is voor het opzetten en beheren van webhostingservices. Thi
Gebruikt u een ander systeem? Alfresco Community Edition is een open source-versie van de Alfresco Content Services. Het is geschreven in Java en gebruikt PostgreSQL t
Vtiger CRM is een populaire applicatie voor klantrelatiebeheer die bedrijven kan helpen hun verkoop te laten groeien, klantenservice te bieden en de winst te vergroten. ik
Wat je nodig hebt Een Vultr VPS met minimaal 1 GB RAM. SSH-toegang (met root- / beheerdersrechten). Stap 1: BungeeCord installeren Eerste dingen eerst
MaraDNS is een lichtgewicht maar robuust open source DNS-serverprogramma. Vergeleken met andere applicaties van dezelfde soort, zoals ISC BIND, PowerDNS en djbdns
Ransomware-aanvallen nemen toe, maar kan AI helpen het nieuwste computervirus het hoofd te bieden? Is AI het antwoord? Lees hier weten is AI boezem of vloek
ReactOS, een open source en gratis besturingssysteem is hier met de nieuwste versie. Kan het voldoen aan de behoeften van moderne Windows-gebruikers en Microsoft uitschakelen? Laten we meer te weten komen over deze oude stijl, maar een nieuwere OS-ervaring.
WhatsApp heeft eindelijk de Desktop-app voor Mac- en Windows-gebruikers gelanceerd. Nu heb je eenvoudig toegang tot WhatsApp vanuit Windows of Mac. Beschikbaar voor Windows 8+ en Mac OS 10.9+
Lees dit om te weten hoe kunstmatige intelligentie populair wordt onder de kleinschalige bedrijven en hoe het de kansen vergroot om ze te laten groeien en hun concurrenten voorsprong te geven.
Onlangs heeft Apple macOS Catalina 10.15.4 uitgebracht, een aanvullende update om problemen op te lossen, maar het lijkt erop dat de update meer problemen veroorzaakt die ertoe leiden dat mac-machines worden gemetseld. Lees dit artikel voor meer informatie
13 Commerciële data-extractietools voor big data
Onze computer slaat alle gegevens op een georganiseerde manier op, het zogenaamde Journaling-bestandssysteem. Het is een efficiënte methode waarmee de computer bestanden kan zoeken en weergeven zodra u op zoeken drukt.https://wethegeek.com/?p=94116&preview=true
Naarmate de wetenschap zich snel ontwikkelt en veel van onze inspanningen overneemt, nemen ook de risico's toe om onszelf te onderwerpen aan een onverklaarbare singulariteit. Lees, wat singulariteit voor ons kan betekenen.
Een inzicht in 26 Big Data-analysetechnieken: deel 1
AI in de zorg heeft de afgelopen decennia grote sprongen gemaakt. De toekomst van AI in de gezondheidszorg groeit dus nog steeds met de dag.
