Como instalar o OSSEC HIDS em um servidor CentOS 7

• Introdução
• Pré-requisitos
• Etapa 1: Instalar Pacotes Necessários
• Etapa 2 - Faça o download e verifique o OSSEC
• Etapa 3: Determinar seu servidor SMTP
• Etapa 4: instalar o OSSEC
• Etapa 5: Iniciar o OSSEC
• Etapa 6: personalizar o OSSEC
• Mais Informações

Introdução

O OSSEC é um sistema de detecção de intrusão (HIDS) de código-fonte aberto que executa análise de log, verificação de integridade, monitoramento de registro do Windows, detecção de rootkit, alerta baseado em tempo e resposta ativa. É um aplicativo de segurança obrigatório em qualquer servidor.

O OSSEC pode ser instalado para monitorar apenas o servidor em que está instalado (uma instalação local) ou como um servidor para monitorar um ou mais agentes. Neste tutorial, você aprenderá como instalar o OSSEC para monitorar o CentOS 7 como uma instalação local.

Pré-requisitos

• Um servidor CentOS 7 é configurado de preferência com chaves SSH e personalizado usando a Configuração inicial de um servidor CentOS 7 . Efetue login no servidor usando a conta de usuário padrão. Suponha que o nome de usuário seja joe .

  ssh -l joe server-ip-address
  

Etapa 1: Instalar Pacotes Necessários

O OSSEC será compilado a partir da fonte, portanto, você precisa de um compilador para tornar isso possível. Também requer um pacote extra para notificações. Instale-os digitando:

sudo yum install -y gcc inotify-tools

Etapa 2 - Faça o download e verifique o OSSEC

O OSSEC é entregue como um pacote compactado que deve ser baixado do site do projeto. O arquivo de soma de verificação, que será usado para verificar se o tarball não foi violado, também precisa ser baixado. No momento desta publicação, a versão mais recente do OSSEC era 2.8.2. Verifique a página de download do projeto e faça o download da versão mais recente.

Para baixar o tarball, digite:

wget -U ossec http://www.ossec.net/files/ossec-hids-2.8.2.tar.gz

Para o arquivo de soma de verificação, digite:

wget -U ossec http://www.ossec.net/files/ossec-hids-2.8.2-checksum.txt

Com os dois arquivos baixados, a próxima etapa é verificar as somas de verificação MD5 e SHA1 do tarball. Para o MD5sum, digite:

md5sum -c ossec-hids-2.8.2-checksum.txt

A saída esperada é:

ossec-hids-2.8.2.tar.gz: OK
md5sum: WARNING: 1 line is improperly formatted

Para verificar o hash SHA1, digite:

sha1sum -c ossec-hids-2.8.2-checksum.txt

E sua saída esperada é:

ossec-hids-2.8.2.tar.gz: OK
sha1sum: WARNING: 1 line is improperly formatted

Etapa 3: Determinar seu servidor SMTP

Durante o processo de instalação do OSSEC, você será solicitado a especificar um servidor SMTP para o seu endereço de email. Se você não souber o que é, o método mais fácil de descobrir é emitindo este comando na máquina local (substitua o endereço de email falso pelo real):

dig -t mx [email protected]

A seção relevante na saída é mostrada neste bloco de código. Nesta saída de amostra, o servidor SMTP para o endereço de email consultado está no final da linha - mail.vivaldi.net. . Observe que o ponto no final está incluído.

;; ANSWER SECTION:
vivaldi.net.        300 IN  MX  10 mail.vivaldi.net.

Etapa 4: instalar o OSSEC

Para instalar o OSSEC, primeiro você precisa descompactar o tarball, digitando:

tar xf ossec-hids-2.8.2.tar.gz

Ele será descompactado em um diretório com o nome e a versão do programa. Alterar ou cdpara ele. O OSSEC 2.8.2, a versão instalada para este artigo, possui um bug menor que precisa ser corrigido antes de iniciar a instalação. No momento em que a próxima versão estável é lançada, que deve ser OSSEC 2.9, isso não deve ser necessário, porque a correção já está na ramificação principal. Corrigi-lo para o OSSEC 2.8.2 significa apenas editar um arquivo, encontrado no active-responsediretório O arquivo é hosts-deny.sh, então abra-o usando:

nano active-response/hosts-deny.sh

No final do arquivo, procure este bloco de código:

# Deleting from hosts.deny
elif [ "x$" = "xdelete" ]; then
   lock;
   TMP_FILE = `mktemp /var/ossec/ossec-hosts.XXXXXXXXXX`
   if [ "X$" = "X" ]; then
      # Cheap fake tmpfile, but should be harder then no random data
      TMP_FILE = "/var/ossec/ossec-hosts.`cat /dev/urandom | tr -dc 'a-zA-Z0-9' | fold -w 32 | head -1 `"
   fi

Nas linhas que começam com TMP_FILE , exclua os espaços ao redor do sinal = . Após remover os espaços, essa parte do arquivo deve ser a mostrada no bloco de código abaixo. Salve e feche o arquivo.

# Deleting from hosts.deny
elif [ "x$" = "xdelete" ]; then
   lock;
   TMP_FILE=`mktemp /var/ossec/ossec-hosts.XXXXXXXXXX`
   if [ "X$" = "X" ]; then
      # Cheap fake tmpfile, but should be harder then no random data
      TMP_FILE="/var/ossec/ossec-hosts.`cat /dev/urandom | tr -dc 'a-zA-Z0-9' | fold -w 32 | head -1 `"
   fi

Agora que a correção está concluída, podemos iniciar o processo de instalação, digitando:

sudo ./install.sh

Durante o processo de instalação, você será solicitado a fornecer alguma entrada. Na maioria dos casos, você só precisa pressionar ENTER para aceitar o padrão. Primeiro, você será solicitado a selecionar o idioma de instalação, que por padrão é o inglês (en). Então pressione ENTER se esse for o seu idioma preferido. Caso contrário, insira as 2 letras da lista de idiomas suportados. Depois, pressione ENTER novamente.

A primeira pergunta perguntará qual tipo de instalação você deseja. Aqui, insira local .

1- What kind of installation do you want (server, agent, local, hybrid or help)? local

Para perguntas subsequentes, pressione ENTER para aceitar o padrão. A pergunta 3.1 solicitará seu endereço de e-mail e solicitará o servidor SMTP. Para essa pergunta, digite um endereço de email válido e o servidor SMTP que você determinou na Etapa 3.

3- Configuring the OSSEC HIDS.

   3.1- Do you want e-mail notification? (y/n) [y]: 
      - What's your e-mail address? [email protected]
      - What's your SMTP server ip/host?

Se a instalação for bem-sucedida, você deverá ver esta saída:

- Configuration finished properly.

...

    More information can be found at http://www.ossec.net

    ---  Press ENTER to finish (maybe more information below). ---

Pressione ENTER para concluir a instalação.

Etapa 5: Iniciar o OSSEC

OSSEC foi instalado, mas não iniciado. Para iniciá-lo, primeiro mude para a conta raiz.

sudo su

Em seguida, inicie-o emitindo o seguinte comando.

/var/ossec/bin/ossec-control start

Depois, verifique sua caixa de entrada. Deve haver um alerta do OSSEC informando que ele foi iniciado. Com isso, agora você sabe que o OSSEC está instalado e enviará alertas conforme necessário.

Etapa 6: personalizar o OSSEC

A configuração padrão do OSSEC funciona bem, mas há configurações que você pode ajustar para proteger melhor o servidor. O primeiro arquivo a personalizar é o principal arquivo de configuração - ossec.conf, que você encontrará no /var/ossec/etcdiretório Abra o arquivo:

nano /var/ossec/etc/ossec.conf

O primeiro item a verificar é uma configuração de email, que você encontrará na seção global do arquivo:

<global>
   <email_notification>yes</email_notification>
   <email_to>[email protected]</email_to>
   <smtp_server>mail.vivaldi.net.</smtp_server>
   <email_from>[email protected]</email_from>
</global>

Verifique se o endereço email_from é um email válido. Caso contrário, alguns servidores SMTP de um provedor de email marcarão os alertas do OSSEC como spam. Se o FQDN do servidor não estiver definido, a parte do domínio do email será definida como o nome do host do servidor, portanto, essa é uma configuração na qual você realmente deseja ter um endereço de email válido.

Outra configuração que você deseja personalizar, especialmente durante o teste do sistema, é a frequência com que o OSSEC executa suas auditorias. Essa configuração está na seção syscheck e, por padrão, é executada a cada 22 horas. Para testar os recursos de alerta do OSSEC, convém configurá-lo para um valor mais baixo, mas redefini-lo para o padrão posteriormente.

<syscheck>
   <!-- Frequency that syscheck is executed - default to every 22 hours -->
   <frequency>79200</frequency>

Por padrão, o OSSEC não alerta quando um novo arquivo é adicionado ao servidor. Para mudar isso, adicione uma nova tag logo abaixo da tag <frequency> . Quando concluída, a seção agora deve conter:

<syscheck>
   <!-- Frequency that syscheck is executed - default to every 22 hours -->
   <frequency>79200</frequency>

   <alert_new_files>yes</alert_new_files>

Uma última configuração que é boa para mudar está na lista de diretórios que o OSSEC deve verificar. Você os encontrará logo após a configuração anterior. Por padrão, os diretórios são mostrados como:

<!-- Directories to check  (perform all possible verifications) -->
   <directories check_all="yes">/etc,/usr/bin,/usr/sbin</directories>
   <directories check_all="yes">/bin,/sbin</directories>

Modifique as duas linhas para fazer alterações no relatório OSSEC em tempo real. Quando terminar, eles devem ler:

<directories report_changes="yes" realtime="yes" check_all="yes">/etc,/usr/bin,/usr/sbin</directories>
<directories report_changes="yes" realtime="yes" check_all="yes">/bin,/sbin</directories>

Salve e feche o arquivo.

O próximo arquivo que precisaremos modificar está local_rules.xmlno /var/ossec/rulesdiretório Então, cdnesse diretório:

cd /var/ossec/rules

Esse diretório contém os arquivos de regras do OSSEC, nenhum dos quais deve ser modificado, exceto o local_rules.xmlarquivo. Nesse arquivo, adicionamos regras personalizadas. A regra que precisamos adicionar é a que é acionada quando um novo arquivo é adicionado. Essa regra, numerada 554 , não aciona um alerta por padrão. Isso ocorre porque o OSSEC não envia alertas quando uma regra com nível definido como zero é acionada.

Aqui está como é a regra 554 por padrão.

 <rule id="554" level="0">
    <category>ossec</category>
    <decoded_as>syscheck_new_entry</decoded_as>
    <description>File added to the system.</description>
    <group>syscheck,</group>
 </rule>

Precisamos adicionar uma versão modificada dessa regra no local_rules.xmlarquivo. Essa versão modificada é fornecida no bloco de código abaixo. Copie e adicione-o na parte inferior do arquivo antes da tag de fechamento.

 <rule id="554" level="7" overwrite="yes">
    <category>ossec</category>
    <decoded_as>syscheck_new_entry</decoded_as>
    <description>File added to the system.</description>
    <group>syscheck,</group>
 </rule>

Salve e feche o arquivo e reinicie o OSSEC.

/var/ossec/bin/ossec-control restart

Mais Informações

O OSSEC é um software muito poderoso, e este artigo abordou apenas o básico. Você encontrará mais configurações de personalização na documentação oficial .