Jak zainstalować OSSEC HIDS na serwerze CentOS 7

• Wprowadzenie
• Wymagania wstępne
• Krok 1: Zainstaluj wymagane pakiety
• Krok 2 - Pobierz i zweryfikuj OSSEC
• Krok 3: Określ swój serwer SMTP
• Krok 4: Zainstaluj OSSEC
• Krok 5: Uruchom OSSEC
• Krok 6: Dostosuj OSSEC
• Więcej informacji

Wprowadzenie

OSSEC to oparty na hoście system wykrywania włamań typu open source (HIDS), który wykonuje analizę dziennika, kontrolę integralności, monitorowanie rejestru systemu Windows, wykrywanie rootkitów, alerty oparte na czasie i aktywną reakcję. Jest to niezbędna aplikacja zabezpieczająca na dowolnym serwerze.

OSSEC można zainstalować, aby monitorować tylko serwer, na którym jest zainstalowany (instalacja lokalna), lub zainstalować jako serwer, aby monitorować jednego lub więcej agentów. W tym samouczku dowiesz się, jak zainstalować OSSEC w celu monitorowania CentOS 7 jako instalacji lokalnej.

Wymagania wstępne

• Serwer CentOS 7 najlepiej jest konfigurować za pomocą kluczy SSH i dostosowywać go za pomocą wstępnej konfiguracji serwera CentOS 7 . Zaloguj się do serwera przy użyciu standardowego konta użytkownika. Załóżmy, że nazwa użytkownika to Joe .

  ssh -l joe server-ip-address
  

Krok 1: Zainstaluj wymagane pakiety

OSSEC zostanie skompilowany ze źródła, więc potrzebujesz kompilatora, aby to umożliwić. Wymaga to również dodatkowego pakietu powiadomień. Zainstaluj je, wpisując:

sudo yum install -y gcc inotify-tools

Krok 2 - Pobierz i zweryfikuj OSSEC

OSSEC jest dostarczany jako skompresowany plik tar, który należy pobrać ze strony internetowej projektu. Plik sumy kontrolnej, który zostanie użyty do sprawdzenia, czy plik tarball nie został zmieniony, również musi zostać pobrany. W chwili publikacji najnowsza wersja OSSEC to 2.8.2. Sprawdź stronę pobierania projektu i pobierz najnowszą wersję.

Aby pobrać tarball, wpisz:

wget -U ossec http://www.ossec.net/files/ossec-hids-2.8.2.tar.gz

Jako plik sumy kontrolnej wpisz:

wget -U ossec http://www.ossec.net/files/ossec-hids-2.8.2-checksum.txt

Po pobraniu obu plików następnym krokiem jest sprawdzenie sum kontrolnych MD5 i SHA1 tarballa. W przypadku sumy MD5 wpisz:

md5sum -c ossec-hids-2.8.2-checksum.txt

Oczekiwany wynik to:

ossec-hids-2.8.2.tar.gz: OK
md5sum: WARNING: 1 line is improperly formatted

Aby zweryfikować skrót SHA1, wpisz:

sha1sum -c ossec-hids-2.8.2-checksum.txt

Oczekiwany wynik to:

ossec-hids-2.8.2.tar.gz: OK
sha1sum: WARNING: 1 line is improperly formatted

Krok 3: Określ swój serwer SMTP

Podczas procesu instalacji OSSEC zostaniesz poproszony o podanie serwera SMTP dla twojego adresu e-mail. Jeśli nie wiesz, co to jest, najłatwiejszym sposobem, aby się dowiedzieć, jest wydanie tego polecenia z komputera lokalnego (zastąp fałszywy adres e-mail swoim prawdziwym):

dig -t mx you@example.com

Odpowiednia sekcja danych wyjściowych jest pokazana w tym bloku kodu. W tym przykładzie danych wyjściowych serwer SMTP dla adresu e-mail, którego dotyczy zapytanie, znajduje się na końcu wiersza - mail.vivaldi.net. . Pamiętaj, że kropka na końcu jest uwzględniona.

;; ANSWER SECTION:
vivaldi.net.        300 IN  MX  10 mail.vivaldi.net.

Krok 4: Zainstaluj OSSEC

Aby zainstalować OSSEC, musisz najpierw rozpakować archiwum, co robisz, wpisując:

tar xf ossec-hids-2.8.2.tar.gz

Zostanie rozpakowany do katalogu, który nosi nazwę i wersję programu. Zmień lub cdw to. OSSEC 2.8.2, wersja zainstalowana dla tego artykułu, zawiera drobny błąd, który należy naprawić przed rozpoczęciem instalacji. Do czasu wydania kolejnej stabilnej wersji, którą powinien być OSSEC 2.9, nie powinno to być konieczne, ponieważ poprawka jest już w gałęzi master. Naprawienie go w OSSEC 2.8.2 oznacza po prostu edycję jednego pliku, który znajduje się w active-responsekatalogu. Plik jest hosts-deny.sh, więc otwórz go, używając:

nano active-response/hosts-deny.sh

Pod koniec pliku poszukaj następującego bloku kodu:

# Deleting from hosts.deny
elif [ "x$" = "xdelete" ]; then
   lock;
   TMP_FILE = `mktemp /var/ossec/ossec-hosts.XXXXXXXXXX`
   if [ "X$" = "X" ]; then
      # Cheap fake tmpfile, but should be harder then no random data
      TMP_FILE = "/var/ossec/ossec-hosts.`cat /dev/urandom | tr -dc 'a-zA-Z0-9' | fold -w 32 | head -1 `"
   fi

W wierszach rozpoczynających się od TMP_FILE usuń spacje wokół znaku = . Po usunięciu spacji ta część pliku powinna być taka, jak pokazano w bloku kodu poniżej. Zapisz i zamknij plik.

# Deleting from hosts.deny
elif [ "x$" = "xdelete" ]; then
   lock;
   TMP_FILE=`mktemp /var/ossec/ossec-hosts.XXXXXXXXXX`
   if [ "X$" = "X" ]; then
      # Cheap fake tmpfile, but should be harder then no random data
      TMP_FILE="/var/ossec/ossec-hosts.`cat /dev/urandom | tr -dc 'a-zA-Z0-9' | fold -w 32 | head -1 `"
   fi

Po wprowadzeniu poprawki możemy rozpocząć proces instalacji, wpisując:

sudo ./install.sh

Podczas procesu instalacji pojawi się monit o podanie danych wejściowych. W większości przypadków wystarczy nacisnąć klawisz ENTER, aby zaakceptować wartość domyślną. Najpierw zostaniesz poproszony o wybranie języka instalacyjnego, którym domyślnie jest angielski (en). Więc naciśnij ENTER, jeśli to preferowany język. W przeciwnym razie wpisz 2 litery z listy obsługiwanych języków. Następnie naciśnij ponownie ENTER .

Pierwsze pytanie zapyta Cię, jakiego rodzaju instalacji chcesz. Tutaj wpisz lokalny .

1- What kind of installation do you want (server, agent, local, hybrid or help)? local

W przypadku kolejnych pytań naciśnij klawisz ENTER, aby zaakceptować wartość domyślną. Pytanie 3.1 poprosi o podanie adresu e-mail, a następnie poprosi o serwer SMTP. W przypadku tego pytania wprowadź prawidłowy adres e-mail i serwer SMTP określony w kroku 3.

3- Configuring the OSSEC HIDS.

   3.1- Do you want e-mail notification? (y/n) [y]: 
      - What's your e-mail address? you@example.com
      - What's your SMTP server ip/host?

Jeśli instalacja się powiedzie, powinieneś zobaczyć następujące dane wyjściowe:

- Configuration finished properly.

...

    More information can be found at http://www.ossec.net

    ---  Press ENTER to finish (maybe more information below). ---

Naciśnij ENTER, aby zakończyć instalację.

Krok 5: Uruchom OSSEC

OSSEC został zainstalowany, ale nie został uruchomiony. Aby go uruchomić, najpierw przejdź do konta root.

sudo su

Następnie uruchom go, wydając następujące polecenie.

/var/ossec/bin/ossec-control start

Następnie sprawdź swoją skrzynkę odbiorczą. OSSEC powinien otrzymać alert informujący, że został on uruchomiony. Dzięki temu wiesz teraz, że OSSEC jest zainstalowany i będzie wysyłał powiadomienia w razie potrzeby.

Krok 6: Dostosuj OSSEC

Domyślna konfiguracja OSSEC działa dobrze, ale istnieją ustawienia, które możesz dostosować, aby lepiej chronić swój serwer. Pierwszym dostosowywanym plikiem jest główny plik konfiguracyjny - ossec.confktóry znajdziesz w /var/ossec/etckatalogu. Otwórz plik:

nano /var/ossec/etc/ossec.conf

Pierwszym elementem do sprawdzenia jest ustawienie adresu e-mail, które znajdziesz w globalnej sekcji pliku:

<global>
   <email_notification>yes</email_notification>
   <email_to>finid@vivaldi.net</email_to>
   <smtp_server>mail.vivaldi.net.</smtp_server>
   <email_from>ossecm@vultr.guest</email_from>
</global>

Upewnij się, że email_from adres e-mail jest prawidłowy. W przeciwnym razie niektóre serwery SMTP dostawcy poczty e-mail będą oznaczać alerty z OSSEC jako spam. Jeśli nazwa FQDN serwera nie jest ustawiona, część domeny w wiadomości e-mail jest ustawiona na nazwę hosta serwera, więc jest to ustawienie, które naprawdę chce mieć prawidłowy adres e-mail.

Kolejnym ustawieniem, które chcesz dostosować, szczególnie podczas testowania systemu, jest częstotliwość, z jaką OSSEC przeprowadza swoje audyty. To ustawienie znajduje się w sekcji syscheck i domyślnie jest uruchamiane co 22 godziny. Aby przetestować funkcje ostrzegania OSSEC, możesz ustawić niższą wartość, ale potem zresetować ją do wartości domyślnych.

<syscheck>
   <!-- Frequency that syscheck is executed - default to every 22 hours -->
   <frequency>79200</frequency>

Domyślnie OSSEC nie ostrzega o dodaniu nowego pliku do serwera. Aby to zmienić, dodaj nowy znacznik tuż pod znacznikiem <częstotliwość> . Po zakończeniu sekcja powinna teraz zawierać:

<syscheck>
   <!-- Frequency that syscheck is executed - default to every 22 hours -->
   <frequency>79200</frequency>

   <alert_new_files>yes</alert_new_files>

Ostatnie ustawienie, które warto zmienić, znajduje się na liście katalogów, które OSSEC powinien sprawdzić. Znajdziesz je zaraz po poprzednim ustawieniu. Domyślnie katalogi są wyświetlane jako:

<!-- Directories to check  (perform all possible verifications) -->
   <directories check_all="yes">/etc,/usr/bin,/usr/sbin</directories>
   <directories check_all="yes">/bin,/sbin</directories>

Zmodyfikuj oba wiersze, aby zmiany raportu OSSEC były zmieniane w czasie rzeczywistym. Po zakończeniu powinni przeczytać:

<directories report_changes="yes" realtime="yes" check_all="yes">/etc,/usr/bin,/usr/sbin</directories>
<directories report_changes="yes" realtime="yes" check_all="yes">/bin,/sbin</directories>

Zapisz i zamknij plik.

Następny plik, który będziemy musieli zmodyfikować, znajduje się local_rules.xmlw /var/ossec/ruleskatalogu. Więc cddo tego katalogu:

cd /var/ossec/rules

Ten katalog zawiera pliki reguł OSSEC, z których żaden nie powinien być modyfikowany, z wyjątkiem local_rules.xmlpliku. W tym pliku dodajemy niestandardowe reguły. Reguła, którą musimy dodać, to ta, która jest uruchamiana po dodaniu nowego pliku. Ta reguła, oznaczona numerem 554 , domyślnie nie wywołuje alarmu. Wynika to z faktu, że OSSEC nie wysyła alertów po uruchomieniu reguły z poziomem ustawionym na zero.

Oto jak domyślnie wygląda reguła 554.

 <rule id="554" level="0">
    <category>ossec</category>
    <decoded_as>syscheck_new_entry</decoded_as>
    <description>File added to the system.</description>
    <group>syscheck,</group>
 </rule>

Musimy dodać zmodyfikowaną wersję tej reguły do local_rules.xmlpliku. Ta zmodyfikowana wersja znajduje się w bloku kodu poniżej. Skopiuj i dodaj go na dole pliku tuż przed tagiem zamykającym.

 <rule id="554" level="7" overwrite="yes">
    <category>ossec</category>
    <decoded_as>syscheck_new_entry</decoded_as>
    <description>File added to the system.</description>
    <group>syscheck,</group>
 </rule>

Zapisz i zamknij plik, a następnie uruchom ponownie OSSEC.

/var/ossec/bin/ossec-control restart

Więcej informacji

OSSEC to bardzo potężne oprogramowanie, a ten artykuł dotknął tylko podstaw. Więcej ustawień dostosowywania znajdziesz w oficjalnej dokumentacji .