Hoe OSSEC HIDS op een CentOS 7-server te installeren

• Invoering
• Vereisten
• Stap 1: Installeer de vereiste pakketten
• Stap 2 - Download en verifieer OSSEC
• Stap 3: Bepaal uw SMTP-server
• Stap 4: Installeer OSSEC
• Stap 5: Start OSSEC
• Stap 6: pas OSSEC aan
• Meer informatie

Invoering

OSSEC is een open-source, host-gebaseerd inbraakdetectiesysteem (HIDS) dat loganalyse, integriteitscontrole, Windows-registerbewaking, rootkitdetectie, tijdgebaseerde waarschuwingen en actieve respons uitvoert. Het is een onmisbare beveiligingsapplicatie op elke server.

OSSEC kan worden geïnstalleerd om alleen de server te controleren waarop het is geïnstalleerd (een lokale installatie), of kan worden geïnstalleerd als een server om een ​​of meer agents te bewaken. In deze zelfstudie leert u hoe u OSSEC installeert om CentOS 7 als lokale installatie te bewaken.

Vereisten

• Een CentOS 7-server, bij voorkeur ingesteld met SSH-sleutels en aangepast met behulp van Initial Setup van een CentOS 7-server . Log in op de server met het standaard gebruikersaccount. Stel dat gebruikersnaam Joe is .

  ssh -l joe server-ip-address
  

Stap 1: Installeer de vereiste pakketten

OSSEC wordt gecompileerd vanuit de bron, dus je hebt een compiler nodig om dat mogelijk te maken. Het vereist ook een extra pakket voor meldingen. Installeer ze door te typen:

sudo yum install -y gcc inotify-tools

Stap 2 - Download en verifieer OSSEC

OSSEC wordt geleverd als een gecomprimeerde tarball die moet worden gedownload van de website van het project. Het checksum-bestand, dat zal worden gebruikt om te verifiëren dat er niet met de tarball is geknoeid, moet ook worden gedownload. Ten tijde van deze publicatie is de nieuwste versie van OSSEC 2.8.2. Controleer de downloadpagina van het project en download wat de nieuwste versie ook is.

Typ het volgende om de tarball te downloaden:

wget -U ossec http://www.ossec.net/files/ossec-hids-2.8.2.tar.gz

Typ voor het checksum-bestand:

wget -U ossec http://www.ossec.net/files/ossec-hids-2.8.2-checksum.txt

Als beide bestanden zijn gedownload, is de volgende stap het verifiëren van de MD5- en SHA1-checksums van de tarball. Typ voor de MD5sum:

md5sum -c ossec-hids-2.8.2-checksum.txt

De verwachte output is:

ossec-hids-2.8.2.tar.gz: OK
md5sum: WARNING: 1 line is improperly formatted

Typ het volgende om de SHA1-hash te verifiëren:

sha1sum -c ossec-hids-2.8.2-checksum.txt

En de verwachte output is:

ossec-hids-2.8.2.tar.gz: OK
sha1sum: WARNING: 1 line is improperly formatted

Stap 3: Bepaal uw SMTP-server

Tijdens het installatieproces van OSSEC wordt u gevraagd om een ​​SMTP-server op te geven voor uw e-mailadres. Als je niet weet wat het is, is de eenvoudigste methode om erachter te komen door deze opdracht op te geven vanaf je lokale computer (vervang het nep-e-mailadres door je echte):

dig -t mx [email protected]

In dit codeblok wordt het relevante deel van de uitgang weergegeven. In deze voorbeelduitvoer bevindt de SMTP-server voor het opgevraagde e-mailadres zich aan het einde van de regel - mail.vivaldi.net. . Merk op dat de punt aan het einde is inbegrepen.

;; ANSWER SECTION:
vivaldi.net.        300 IN  MX  10 mail.vivaldi.net.

Stap 4: Installeer OSSEC

Om OSSEC te installeren, moet je eerst de tarball uitpakken, wat je doet door te typen:

tar xf ossec-hids-2.8.2.tar.gz

Het wordt uitgepakt in een map met de naam en versie van het programma. Verander of cderin. OSSEC 2.8.2, de versie die voor dit artikel is geïnstalleerd, heeft een kleine bug die moet worden verholpen voordat de installatie wordt gestart. Tegen de tijd dat de volgende stabiele versie wordt uitgebracht, die OSSEC 2.9 zou moeten zijn, zou dit niet nodig moeten zijn, omdat de fix al in de master -branch zit. Als u het voor OSSEC 2.8.2 repareert, hoeft u slechts één bestand te bewerken dat zich in de active-responsemap bevindt. Het bestand is hosts-deny.sh, dus open het met:

nano active-response/hosts-deny.sh

Zoek aan het einde van het bestand naar dit codeblok:

# Deleting from hosts.deny
elif [ "x$" = "xdelete" ]; then
   lock;
   TMP_FILE = `mktemp /var/ossec/ossec-hosts.XXXXXXXXXX`
   if [ "X$" = "X" ]; then
      # Cheap fake tmpfile, but should be harder then no random data
      TMP_FILE = "/var/ossec/ossec-hosts.`cat /dev/urandom | tr -dc 'a-zA-Z0-9' | fold -w 32 | head -1 `"
   fi

Verwijder op de regels die beginnen met TMP_FILE de spaties rond het = -teken. Na het verwijderen van de spaties moet dat deel van het bestand zijn zoals weergegeven in het onderstaande codeblok. Sla het bestand op en sluit het.

# Deleting from hosts.deny
elif [ "x$" = "xdelete" ]; then
   lock;
   TMP_FILE=`mktemp /var/ossec/ossec-hosts.XXXXXXXXXX`
   if [ "X$" = "X" ]; then
      # Cheap fake tmpfile, but should be harder then no random data
      TMP_FILE="/var/ossec/ossec-hosts.`cat /dev/urandom | tr -dc 'a-zA-Z0-9' | fold -w 32 | head -1 `"
   fi

Nu de fix binnen is, kunnen we het installatieproces starten, wat je doet door te typen:

sudo ./install.sh

Tijdens het installatieproces wordt u gevraagd wat input te geven. In de meeste gevallen hoeft u alleen op ENTER te drukken om de standaard te accepteren. Eerst wordt u gevraagd om de installatietaal te selecteren, die standaard Engels is (nl). Druk dus op ENTER als dat uw voorkeurstaal is. Anders voert u de 2 letters in uit de lijst met ondersteunde talen. Druk daarna nogmaals op ENTER .

De eerste vraag zal je vragen welk type installatie je wilt. Voer hier lokaal in .

1- What kind of installation do you want (server, agent, local, hybrid or help)? local

Druk voor volgende vragen op ENTER om de standaard te accepteren. Vraag 3.1 zal u om uw e-mailadres vragen en vervolgens om uw SMTP-server vragen. Voer voor die vraag een geldig e-mailadres en de SMTP-server in die u in stap 3 hebt bepaald.

3- Configuring the OSSEC HIDS.

   3.1- Do you want e-mail notification? (y/n) [y]: 
      - What's your e-mail address? [email protected]
      - What's your SMTP server ip/host?

Als de installatie is geslaagd, zou u deze uitvoer moeten zien:

- Configuration finished properly.

...

    More information can be found at http://www.ossec.net

    ---  Press ENTER to finish (maybe more information below). ---

Druk op ENTER om de installatie te voltooien.

Stap 5: Start OSSEC

OSSEC is geïnstalleerd, maar niet gestart. Om het te starten, schakelt u eerst over naar het root-account.

sudo su

Start het vervolgens met de volgende opdracht.

/var/ossec/bin/ossec-control start

Controleer daarna uw inbox. Er moet een waarschuwing van OSSEC zijn die u informeert dat het is gestart. Daarmee weet u nu dat OSSEC is geïnstalleerd en indien nodig waarschuwingen zal verzenden.

Stap 6: pas OSSEC aan

De standaardconfiguratie van OSSEC werkt prima, maar er zijn instellingen die u kunt aanpassen om uw server beter te beschermen. Het eerste bestand dat u kunt aanpassen, is het belangrijkste configuratiebestand - ossec.confdat u in de /var/ossec/etcdirectory vindt. Open het bestand:

nano /var/ossec/etc/ossec.conf

Het eerste item dat u moet verifiëren, is een e-mailinstelling, die u vindt in het algemene gedeelte van het bestand:

<global>
   <email_notification>yes</email_notification>
   <email_to>[email protected]</email_to>
   <smtp_server>mail.vivaldi.net.</smtp_server>
   <email_from>[email protected]</email_from>
</global>

Zorg ervoor dat het email_from adres een geldig e-mailadres is. Anders markeren de SMTP-servers van sommige e-mailproviders waarschuwingen van OSSEC als spam. Als de FQDN van de server niet is ingesteld, wordt het domeingedeelte van de e-mail ingesteld op de hostnaam van de server, dus dit is een instelling die u echt wilt hebben een geldig e-mailadres.

Een andere instelling die u wilt aanpassen, vooral tijdens het testen van het systeem, is de frequentie waarmee OSSEC haar audits uitvoert. Die instelling staat in de syscheck- sectie en wordt standaard elke 22 uur uitgevoerd. Om de waarschuwingsfuncties van OSSEC te testen, wilt u deze misschien op een lagere waarde instellen, maar daarna terugzetten naar de standaardwaarde.

<syscheck>
   <!-- Frequency that syscheck is executed - default to every 22 hours -->
   <frequency>79200</frequency>

Standaard waarschuwt OSSEC niet wanneer een nieuw bestand aan de server wordt toegevoegd. Om dat te veranderen, voegt u een nieuwe tag toe net onder de tag <frequency> . Na voltooiing zou de sectie nu moeten bevatten:

<syscheck>
   <!-- Frequency that syscheck is executed - default to every 22 hours -->
   <frequency>79200</frequency>

   <alert_new_files>yes</alert_new_files>

Een laatste instelling die goed is om te wijzigen, staat in de lijst met mappen die OSSEC moet controleren. Je vindt ze direct na de vorige instelling. Standaard worden de mappen weergegeven als:

<!-- Directories to check  (perform all possible verifications) -->
   <directories check_all="yes">/etc,/usr/bin,/usr/sbin</directories>
   <directories check_all="yes">/bin,/sbin</directories>

Pas beide regels aan om wijzigingen in het OSSEC-rapport in realtime door te voeren. Als ze klaar zijn, moeten ze lezen:

<directories report_changes="yes" realtime="yes" check_all="yes">/etc,/usr/bin,/usr/sbin</directories>
<directories report_changes="yes" realtime="yes" check_all="yes">/bin,/sbin</directories>

Sla het bestand op en sluit het.

Het volgende bestand dat we moeten wijzigen, bevindt zich local_rules.xmlin de /var/ossec/rulesmap. Dus cdin die map:

cd /var/ossec/rules

Die map bevat de regelbestanden van OSSEC, die niet mogen worden gewijzigd, behalve het local_rules.xmlbestand. In dat bestand voegen we aangepaste regels toe. De regel die we moeten toevoegen, is de regel die wordt geactiveerd wanneer een nieuw bestand wordt toegevoegd. Die regel, genummerd 554 , activeert standaard geen waarschuwing. Dat komt omdat OSSEC geen waarschuwingen verzendt wanneer een regel met het niveau nul wordt geactiveerd.

Zo ziet regel 554 er standaard uit.

 <rule id="554" level="0">
    <category>ossec</category>
    <decoded_as>syscheck_new_entry</decoded_as>
    <description>File added to the system.</description>
    <group>syscheck,</group>
 </rule>

We moeten een gewijzigde versie van die regel toevoegen aan het local_rules.xmlbestand. Die gewijzigde versie wordt gegeven in het onderstaande codeblok. Kopieer het en voeg het toe aan de onderkant van het bestand net voor de afsluitende tag.

 <rule id="554" level="7" overwrite="yes">
    <category>ossec</category>
    <decoded_as>syscheck_new_entry</decoded_as>
    <description>File added to the system.</description>
    <group>syscheck,</group>
 </rule>

Sla het bestand op, sluit het en start OSSEC opnieuw op.

/var/ossec/bin/ossec-control restart

Meer informatie

OSSEC is een zeer krachtig stuk software en dit artikel heeft zojuist de basis besproken. U vindt meer aanpassingsinstellingen in de officiële documentatie .