Как установить OSSEC HIDS на сервере CentOS 7

• Вступление
• Предпосылки
• Шаг 1. Установите необходимые пакеты
• Шаг 2 - Загрузите и проверьте OSSEC
• Шаг 3: Определите ваш SMTP-сервер
• Шаг 4: Установите OSSEC
• Шаг 5: Запустите OSSEC
• Шаг 6: Настройте OSSEC
• Дополнительная информация

Вступление

OSSEC - это система обнаружения вторжений (HIDS) с открытым исходным кодом, которая выполняет анализ журналов, проверку целостности, мониторинг реестра Windows, обнаружение руткитов, оповещения на основе времени и активные ответы. Это обязательное приложение безопасности на любом сервере.

OSSEC может быть установлен для мониторинга только сервера, на котором он установлен (локальная установка), или может быть установлен как сервер для мониторинга одного или нескольких агентов. В этом руководстве вы узнаете, как установить OSSEC для мониторинга CentOS 7 как локальной установки.

Предпосылки

• Сервер CentOS 7 предпочтительно настраивается с использованием ключей SSH и настраивается с помощью начальной настройки сервера CentOS 7 . Войдите на сервер, используя стандартную учетную запись пользователя. Предположим, что имя пользователя - Джо .

  ssh -l joe server-ip-address
  

Шаг 1. Установите необходимые пакеты

OSSEC будет скомпилирован из исходного кода, поэтому вам необходим компилятор. Также требуется дополнительный пакет для уведомлений. Установите их, набрав:

sudo yum install -y gcc inotify-tools

Шаг 2 - Загрузите и проверьте OSSEC

OSSEC поставляется в виде сжатого архива, который необходимо загрузить с веб-сайта проекта. Файл контрольной суммы, который будет использоваться для проверки того, что тарбол не был подделан, также должен быть загружен. На момент публикации последняя версия OSSEC была 2.8.2. Проверьте страницу загрузки проекта и загрузите последнюю версию.

Чтобы скачать архив, введите:

wget -U ossec http://www.ossec.net/files/ossec-hids-2.8.2.tar.gz

Для файла контрольной суммы введите:

wget -U ossec http://www.ossec.net/files/ossec-hids-2.8.2-checksum.txt

После загрузки обоих файлов следующим шагом является проверка контрольных сумм MD5 и SHA1 в архиве. Для суммы MD5 введите:

md5sum -c ossec-hids-2.8.2-checksum.txt

Ожидаемый результат:

ossec-hids-2.8.2.tar.gz: OK
md5sum: WARNING: 1 line is improperly formatted

Чтобы проверить хэш SHA1, введите:

sha1sum -c ossec-hids-2.8.2-checksum.txt

И его ожидаемый результат:

ossec-hids-2.8.2.tar.gz: OK
sha1sum: WARNING: 1 line is improperly formatted

Шаг 3: Определите ваш SMTP-сервер

В процессе установки OSSEC вам будет предложено указать SMTP-сервер для вашего адреса электронной почты. Если вы не знаете, что это такое, самый простой способ выяснить это, выполнив эту команду с вашего локального компьютера (замените поддельный адрес электронной почты реальным):

dig -t mx you@example.com

Соответствующий раздел в выводе показан в этом блоке кода. В этом примере вывода SMTP-сервер для запрашиваемого адреса электронной почты находится в конце строки - mail.vivaldi.net. , Обратите внимание, что точка в конце включена.

;; ANSWER SECTION:
vivaldi.net.        300 IN  MX  10 mail.vivaldi.net.

Шаг 4: Установите OSSEC

Чтобы установить OSSEC, вам сначала нужно распаковать архив, набрав:

tar xf ossec-hids-2.8.2.tar.gz

Он будет распакован в каталог с названием и версией программы. Поменяй или cdв него. В версии OSSEC 2.8.2, установленной для этой статьи, есть небольшая ошибка, которую необходимо исправить перед началом установки. К моменту выпуска следующей стабильной версии, которая должна быть OSSEC 2.9, в этом не должно быть необходимости, поскольку исправление уже находится в основной ветке. Исправить это для OSSEC 2.8.2 просто означает редактирование одного файла, который находится в active-responseкаталоге. Файл есть hosts-deny.sh, поэтому откройте его, используя:

nano active-response/hosts-deny.sh

В конце файла найдите этот блок кода:

# Deleting from hosts.deny
elif [ "x$" = "xdelete" ]; then
   lock;
   TMP_FILE = `mktemp /var/ossec/ossec-hosts.XXXXXXXXXX`
   if [ "X$" = "X" ]; then
      # Cheap fake tmpfile, but should be harder then no random data
      TMP_FILE = "/var/ossec/ossec-hosts.`cat /dev/urandom | tr -dc 'a-zA-Z0-9' | fold -w 32 | head -1 `"
   fi

В строках, начинающихся с TMP_FILE , удалите пробелы вокруг знака = . После удаления пробелов эта часть файла должна быть такой, как показано в блоке кода ниже. Сохраните и закройте файл.

# Deleting from hosts.deny
elif [ "x$" = "xdelete" ]; then
   lock;
   TMP_FILE=`mktemp /var/ossec/ossec-hosts.XXXXXXXXXX`
   if [ "X$" = "X" ]; then
      # Cheap fake tmpfile, but should be harder then no random data
      TMP_FILE="/var/ossec/ossec-hosts.`cat /dev/urandom | tr -dc 'a-zA-Z0-9' | fold -w 32 | head -1 `"
   fi

Теперь, когда исправление доступно, мы можем запустить процесс установки, который вы вводите, набрав:

sudo ./install.sh

На протяжении всего процесса установки вам будет предложено ввести некоторые данные. В большинстве случаев вам нужно только нажать ENTER, чтобы принять значение по умолчанию. Сначала вам будет предложено выбрать язык установки, который по умолчанию является английским (en). Поэтому нажмите ENTER, если вы предпочитаете этот язык. В противном случае введите 2 буквы из списка поддерживаемых языков. После этого снова нажмите ENTER .

Первый вопрос спросит вас, какой тип установки вы хотите. Здесь введите местный .

1- What kind of installation do you want (server, agent, local, hybrid or help)? local

Для последующих вопросов нажмите ENTER, чтобы принять значение по умолчанию. Вопрос 3.1 запросит у вас адрес электронной почты, а затем запросит SMTP-сервер. Для этого вопроса введите действующий адрес электронной почты и SMTP-сервер, который вы определили на шаге 3.

3- Configuring the OSSEC HIDS.

   3.1- Do you want e-mail notification? (y/n) [y]: 
      - What's your e-mail address? you@example.com
      - What's your SMTP server ip/host?

Если установка прошла успешно, вы должны увидеть этот вывод:

- Configuration finished properly.

...

    More information can be found at http://www.ossec.net

    ---  Press ENTER to finish (maybe more information below). ---

Нажмите ENTER, чтобы завершить установку.

Шаг 5: Запустите OSSEC

OSSEC был установлен, но не запущен. Для запуска сначала переключитесь на учетную запись root.

sudo su

Затем запустите его, введя следующую команду.

/var/ossec/bin/ossec-control start

После этого проверьте свой почтовый ящик. Там должно быть предупреждение от OSSEC, информирующее вас о том, что оно было начато. Теперь вы знаете, что OSSEC установлен и будет отправлять оповещения по мере необходимости.

Шаг 6: Настройте OSSEC

Конфигурация OSSEC по умолчанию работает нормально, но есть настройки, которые можно настроить, чтобы она лучше защищала ваш сервер. Первый файл для настройки - это основной файл конфигурации ossec.conf, который вы найдете в /var/ossec/etcкаталоге. Откройте файл:

nano /var/ossec/etc/ossec.conf

Первый элемент, который нужно проверить - это параметр электронной почты, который вы найдете в глобальном разделе файла:

<global>
   <email_notification>yes</email_notification>
   <email_to>finid@vivaldi.net</email_to>
   <smtp_server>mail.vivaldi.net.</smtp_server>
   <email_from>ossecm@vultr.guest</email_from>
</global>

Убедитесь, что адрес email_from является действительным адресом электронной почты. В противном случае SMTP-сервер некоторых почтовых провайдеров пометит оповещения от OSSEC как спам. Если полное доменное имя сервера не задано, в доменной части электронной почты указывается имя хоста сервера, поэтому вы действительно хотите иметь действительный адрес электронной почты.

Другой параметр, который вы хотите настроить, особенно при тестировании системы, - это частота, с которой OSSEC проводит свои аудиты. Этот параметр находится в разделе syscheck , и по умолчанию он запускается каждые 22 часа. Чтобы протестировать функции оповещения OSSEC, вы можете установить его на более низкое значение, но впоследствии сбросить его до значения по умолчанию.

<syscheck>
   <!-- Frequency that syscheck is executed - default to every 22 hours -->
   <frequency>79200</frequency>

По умолчанию OSSEC не предупреждает о добавлении нового файла на сервер. Чтобы изменить это, добавьте новый тег прямо под тегом <Frequency> . После завершения раздел должен теперь содержать:

<syscheck>
   <!-- Frequency that syscheck is executed - default to every 22 hours -->
   <frequency>79200</frequency>

   <alert_new_files>yes</alert_new_files>

Последний параметр, который можно изменить, находится в списке на каталоги, которые OSSEC должен проверить. Вы найдете их сразу после предыдущей настройки. По умолчанию каталоги отображаются как:

<!-- Directories to check  (perform all possible verifications) -->
   <directories check_all="yes">/etc,/usr/bin,/usr/sbin</directories>
   <directories check_all="yes">/bin,/sbin</directories>

Измените обе строки, чтобы изменения в отчете OSSEC отображались в реальном времени. Когда закончите, они должны прочитать:

<directories report_changes="yes" realtime="yes" check_all="yes">/etc,/usr/bin,/usr/sbin</directories>
<directories report_changes="yes" realtime="yes" check_all="yes">/bin,/sbin</directories>

Сохраните и закройте файл.

Следующий файл, который нам нужно изменить, находится local_rules.xmlв /var/ossec/rulesкаталоге. Итак, cdв этот каталог:

cd /var/ossec/rules

Этот каталог содержит файлы правил OSSEC, которые не следует изменять, кроме local_rules.xmlфайла. В этот файл мы добавляем пользовательские правила. Правило, которое нам нужно добавить, - это правило, которое срабатывает при добавлении нового файла. Это правило под номером 554 по умолчанию не вызывает оповещение. Это связано с тем, что OSSEC не отправляет оповещения, когда срабатывает правило с нулевым уровнем.

Вот как выглядит правило 554 по умолчанию.

 <rule id="554" level="0">
    <category>ossec</category>
    <decoded_as>syscheck_new_entry</decoded_as>
    <description>File added to the system.</description>
    <group>syscheck,</group>
 </rule>

Нам нужно добавить модифицированную версию этого правила в local_rules.xmlфайл. Эта измененная версия приведена в блоке кода ниже. Скопируйте и добавьте его в конец файла непосредственно перед закрывающим тегом.

 <rule id="554" level="7" overwrite="yes">
    <category>ossec</category>
    <decoded_as>syscheck_new_entry</decoded_as>
    <description>File added to the system.</description>
    <group>syscheck,</group>
 </rule>

Сохраните и закройте файл, затем перезапустите OSSEC.

/var/ossec/bin/ossec-control restart

Дополнительная информация

OSSEC является очень мощным программным обеспечением, и эта статья только что затронула основы. Вы найдете больше параметров настройки в официальной документации .