วิธีการติดตั้ง OSSEC HIDS บนเซิร์ฟเวอร์ CentOS 7

• บทนำ
• ข้อกำหนดเบื้องต้น
• ขั้นตอนที่ 1: ติดตั้งแพคเกจที่จำเป็น
• ขั้นตอนที่ 2 - ดาวน์โหลดและตรวจสอบ OSSEC
• ขั้นตอนที่ 3: กำหนดเซิร์ฟเวอร์ SMTP ของคุณ
• ขั้นตอนที่ 4: ติดตั้ง OSSEC
• ขั้นตอนที่ 5: เริ่ม OSSEC
• ขั้นตอนที่ 6: ปรับแต่ง OSSEC
• ข้อมูลมากกว่านี้

บทนำ

OSSEC เป็นระบบตรวจจับการบุกรุกบนโฮสต์แบบโอเพ่นซอร์สซึ่งใช้การวิเคราะห์บันทึกการตรวจสอบความสมบูรณ์การตรวจสอบรีจิสทรีของ Windows การตรวจสอบรูทคิตการแจ้งเตือนตามเวลาและการตอบสนองที่ใช้งานอยู่ มันเป็นแอพพลิเคชั่นความปลอดภัยที่ต้องมีบนเซิร์ฟเวอร์ใด ๆ

OSSEC สามารถติดตั้งเพื่อตรวจสอบเฉพาะเซิร์ฟเวอร์ที่ติดตั้งไว้ (การติดตั้งในเครื่อง) หรือติดตั้งเป็นเซิร์ฟเวอร์เพื่อตรวจสอบตัวแทนหนึ่งตัวหรือมากกว่า ในบทช่วยสอนนี้คุณจะได้เรียนรู้วิธีการติดตั้ง OSSEC เพื่อตรวจสอบ CentOS 7 เป็นการติดตั้งในเครื่อง

ข้อกำหนดเบื้องต้น

• CentOS 7 เซิร์ฟเวอร์โดยเฉพาะอย่างยิ่งการติดตั้งด้วยปุ่ม SSH และการปรับแต่งโดยใช้การตั้งค่าเริ่มต้นของ CentOS 7 เซิร์ฟเวอร์ เข้าสู่เซิร์ฟเวอร์โดยใช้บัญชีผู้ใช้มาตรฐาน สมมติว่าชื่อผู้ใช้joe

  ssh -l joe server-ip-address
  

ขั้นตอนที่ 1: ติดตั้งแพคเกจที่จำเป็น

OSSEC จะรวบรวมจากแหล่งที่มาดังนั้นคุณต้องมีคอมไพเลอร์เพื่อทำให้เป็นไปได้ นอกจากนี้ยังต้องใช้แพคเกจพิเศษสำหรับการแจ้งเตือน ติดตั้งโดยพิมพ์:

sudo yum install -y gcc inotify-tools

ขั้นตอนที่ 2 - ดาวน์โหลดและตรวจสอบ OSSEC

OSSEC จัดส่งเป็น tarball บีบอัดที่จะต้องดาวน์โหลดจากเว็บไซต์ของโครงการ ไฟล์เช็คซัมซึ่งจะใช้ในการตรวจสอบว่า tarball ไม่ได้ถูกดัดแปลงแก้ไขจะต้องดาวน์โหลดด้วย ในช่วงเวลาของเอกสารนี้ OSSEC เวอร์ชันล่าสุดคือ 2.8.2 ตรวจสอบหน้าดาวน์โหลดของโครงการและดาวน์โหลดรุ่นล่าสุด

ในการดาวน์โหลด tarball ให้พิมพ์:

wget -U ossec http://www.ossec.net/files/ossec-hids-2.8.2.tar.gz

สำหรับไฟล์ checksum ให้พิมพ์:

wget -U ossec http://www.ossec.net/files/ossec-hids-2.8.2-checksum.txt

เมื่อดาวน์โหลดทั้งไฟล์แล้วขั้นตอนต่อไปคือการตรวจสอบการตรวจสอบ MD5 และ SHA1 ของ tarball สำหรับ MD5sum ให้พิมพ์:

md5sum -c ossec-hids-2.8.2-checksum.txt

ผลลัพธ์ที่คาดหวังคือ:

ossec-hids-2.8.2.tar.gz: OK
md5sum: WARNING: 1 line is improperly formatted

หากต้องการตรวจสอบแฮช SHA1 ให้พิมพ์:

sha1sum -c ossec-hids-2.8.2-checksum.txt

และผลลัพธ์ที่คาดหวังคือ:

ossec-hids-2.8.2.tar.gz: OK
sha1sum: WARNING: 1 line is improperly formatted

ขั้นตอนที่ 3: กำหนดเซิร์ฟเวอร์ SMTP ของคุณ

ในระหว่างกระบวนการติดตั้งของ OSSEC คุณจะได้รับแจ้งให้ระบุเซิร์ฟเวอร์ SMTP สำหรับที่อยู่อีเมลของคุณ หากคุณไม่รู้ว่ามันคืออะไรวิธีที่ง่ายที่สุดในการค้นหาคือการออกคำสั่งนี้จากเครื่องท้องถิ่นของคุณ (แทนที่ที่อยู่อีเมลปลอมด้วยชื่อจริงของคุณ):

dig -t mx you@example.com

ส่วนที่เกี่ยวข้องในผลลัพธ์จะแสดงในบล็อกรหัสนี้ ในผลลัพธ์ตัวอย่างนี้เซิร์ฟเวอร์ SMTP สำหรับที่อยู่อีเมลที่สอบถามนั้นอยู่ท้ายบรรทัด - mail.vivaldi.net . โปรดทราบว่าจุดที่อยู่ท้ายรวมอยู่ด้วย

;; ANSWER SECTION:
vivaldi.net.        300 IN  MX  10 mail.vivaldi.net.

ขั้นตอนที่ 4: ติดตั้ง OSSEC

ในการติดตั้ง OSSEC ก่อนอื่นคุณต้องคลาย tarball ซึ่งคุณทำได้โดยพิมพ์:

tar xf ossec-hids-2.8.2.tar.gz

มันจะถูกแตกลงในไดเรกทอรีที่มีชื่อและรุ่นของโปรแกรม เปลี่ยนหรือcdเป็นมัน OSSEC 2.8.2 เวอร์ชันที่ติดตั้งสำหรับบทความนี้มีข้อบกพร่องเล็กน้อยที่ต้องแก้ไขก่อนเริ่มการติดตั้ง เมื่อถึงเวลาที่เวอร์ชันเสถียรถัดไปจะถูกปล่อยออกมาซึ่งควรเป็น OSSEC 2.9 สิ่งนี้ไม่จำเป็นเพราะการแก้ไขนั้นมีอยู่ในสาขาหลักแล้ว แก้ไขมันสำหรับ OSSEC 2.8.2 เพียงหมายถึงการแก้ไขไฟล์เดียวซึ่งพบในactive-responseไดเรกทอรี ไฟล์เป็นhosts-deny.shดังนั้นให้เปิดโดยใช้:

nano active-response/hosts-deny.sh

ในตอนท้ายของไฟล์ให้มองหาบล็อกของรหัสนี้:

# Deleting from hosts.deny
elif [ "x$" = "xdelete" ]; then
   lock;
   TMP_FILE = `mktemp /var/ossec/ossec-hosts.XXXXXXXXXX`
   if [ "X$" = "X" ]; then
      # Cheap fake tmpfile, but should be harder then no random data
      TMP_FILE = "/var/ossec/ossec-hosts.`cat /dev/urandom | tr -dc 'a-zA-Z0-9' | fold -w 32 | head -1 `"
   fi

บนบรรทัดที่ขึ้นต้นด้วยTMP_FILEให้ลบช่องว่างรอบเครื่องหมาย= หลังจากลบช่องว่างแล้วส่วนของไฟล์นั้นควรจะดังแสดงในบล็อกของรหัสด้านล่าง บันทึกและปิดไฟล์

# Deleting from hosts.deny
elif [ "x$" = "xdelete" ]; then
   lock;
   TMP_FILE=`mktemp /var/ossec/ossec-hosts.XXXXXXXXXX`
   if [ "X$" = "X" ]; then
      # Cheap fake tmpfile, but should be harder then no random data
      TMP_FILE="/var/ossec/ossec-hosts.`cat /dev/urandom | tr -dc 'a-zA-Z0-9' | fold -w 32 | head -1 `"
   fi

ตอนนี้การแก้ไขอยู่ในแล้วเราสามารถเริ่มกระบวนการติดตั้งซึ่งคุณทำได้โดยพิมพ์:

sudo ./install.sh

ตลอดกระบวนการติดตั้งคุณจะได้รับแจ้งให้ป้อนข้อมูลบางอย่าง ในกรณีส่วนใหญ่คุณเพียงกดENTERเพื่อยอมรับค่าเริ่มต้น ขั้นแรกคุณจะได้รับแจ้งให้เลือกภาษาการติดตั้งซึ่งโดยค่าเริ่มต้นคือภาษาอังกฤษ (en) ดังนั้นกดENTERหากเป็นภาษาที่คุณต้องการ มิฉะนั้นให้ป้อนตัวอักษร 2 ตัวจากรายการภาษาที่รองรับ หลังจากนั้นกดENTERอีกครั้ง

คำถามแรกจะถามประเภทของการติดตั้งที่คุณต้องการ นี่ใส่ท้องถิ่น

1- What kind of installation do you want (server, agent, local, hybrid or help)? local

สำหรับคำถามที่ตามมากดENTERเพื่อยอมรับค่าเริ่มต้น คำถามที่ 3.1 จะแจ้งให้คุณระบุที่อยู่อีเมลของคุณแล้วขอเซิร์ฟเวอร์ SMTP ของคุณ สำหรับคำถามนั้นให้ป้อนที่อยู่อีเมลที่ถูกต้องและเซิร์ฟเวอร์ SMTP ที่คุณกำหนดในขั้นตอนที่ 3

3- Configuring the OSSEC HIDS.

   3.1- Do you want e-mail notification? (y/n) [y]: 
      - What's your e-mail address? you@example.com
      - What's your SMTP server ip/host?

หากการติดตั้งสำเร็จคุณควรเห็นผลลัพธ์นี้:

- Configuration finished properly.

...

    More information can be found at http://www.ossec.net

    ---  Press ENTER to finish (maybe more information below). ---

กดENTERเพื่อสิ้นสุดการติดตั้ง

ขั้นตอนที่ 5: เริ่ม OSSEC

ติดตั้ง OSSEC แล้ว แต่ยังไม่ได้เริ่ม ในการเริ่มต้นให้สลับไปที่บัญชีรูทก่อน

sudo su

จากนั้นเริ่มต้นโดยการออกคำสั่งดังต่อไปนี้

/var/ossec/bin/ossec-control start

หลังจากนั้นตรวจสอบกล่องจดหมายของคุณ ควรมีการแจ้งเตือนจาก OSSEC เพื่อแจ้งให้คุณทราบว่าเริ่มต้นแล้ว เมื่อถึงตอนนี้คุณจะรู้ว่า OSSEC ได้รับการติดตั้งแล้วและจะส่งการแจ้งเตือนตามที่จำเป็น

ขั้นตอนที่ 6: ปรับแต่ง OSSEC

การกำหนดค่าเริ่มต้นของ OSSEC ทำงานได้ดี แต่มีการตั้งค่าที่คุณสามารถปรับแต่งเพื่อให้การปกป้องเซิร์ฟเวอร์ของคุณดีขึ้น ไฟล์แรกที่กำหนดเองคือไฟล์กำหนดค่าหลัก - ossec.confซึ่งคุณจะพบใน/var/ossec/etcไดเรกทอรี เปิดไฟล์:

nano /var/ossec/etc/ossec.conf

รายการแรกที่ยืนยันคือการตั้งค่าอีเมลซึ่งคุณจะพบในส่วนส่วนกลางของไฟล์:

<global>
   <email_notification>yes</email_notification>
   <email_to>finid@vivaldi.net</email_to>
   <smtp_server>mail.vivaldi.net.</smtp_server>
   <email_from>ossecm@vultr.guest</email_from>
</global>

ตรวจสอบให้แน่ใจว่าที่อยู่อีเมล_ จากนั้นเป็นอีเมลที่ถูกต้อง มิฉะนั้นเซิร์ฟเวอร์ SMTP ของผู้ให้บริการอีเมลบางรายจะทำเครื่องหมายการแจ้งเตือนจาก OSSEC ว่าเป็นสแปม หากไม่ได้ตั้งค่า FQDN ของเซิร์ฟเวอร์ส่วนโดเมนของอีเมลจะถูกตั้งค่าเป็นชื่อโฮสต์ของเซิร์ฟเวอร์ดังนั้นนี่เป็นการตั้งค่าที่คุณต้องการให้มีที่อยู่อีเมลที่ถูกต้อง

การตั้งค่าอื่นที่คุณต้องการปรับแต่งโดยเฉพาะในขณะที่ทดสอบระบบคือความถี่ที่ OSSEC เรียกใช้การตรวจสอบ การตั้งค่านั้นอยู่ในส่วนsyscheckและโดยค่าเริ่มต้นจะทำงานทุก ๆ 22 ชั่วโมง หากต้องการทดสอบคุณลักษณะการแจ้งเตือนของ OSSEC คุณอาจต้องการตั้งค่าให้ต่ำลง แต่รีเซ็ตเป็นค่าเริ่มต้นหลังจากนั้น

<syscheck>
   <!-- Frequency that syscheck is executed - default to every 22 hours -->
   <frequency>79200</frequency>

By default, OSSEC does not alert when a new file is added to the server. To change that, add a new tag just under the < frequency > tag. When completed, the section should now contain:

<syscheck>
   <!-- Frequency that syscheck is executed - default to every 22 hours -->
   <frequency>79200</frequency>

   <alert_new_files>yes</alert_new_files>

One last setting that's good to change is in the list to directories that OSSEC should check. You'll find them right after the previous setting. Be default, the directories are shown as:

<!-- Directories to check  (perform all possible verifications) -->
   <directories check_all="yes">/etc,/usr/bin,/usr/sbin</directories>
   <directories check_all="yes">/bin,/sbin</directories>

Modify both lines to make OSSEC report changes in real-time. When finished, they should read:

<directories report_changes="yes" realtime="yes" check_all="yes">/etc,/usr/bin,/usr/sbin</directories>
<directories report_changes="yes" realtime="yes" check_all="yes">/bin,/sbin</directories>

Save and close the file.

The next file that we'll need to modify is local_rules.xml in the /var/ossec/rules directory. So cd into that directory:

cd /var/ossec/rules

ไดเร็กทอรีนั้นเก็บไฟล์กฎของ OSSEC ซึ่งไม่ควรแก้ไขใด ๆ ยกเว้นlocal_rules.xmlไฟล์ ในไฟล์นั้นเราเพิ่มกฎที่กำหนดเอง กฎที่เราต้องเพิ่มคือกฎที่จะเกิดขึ้นเมื่อมีการเพิ่มไฟล์ใหม่ กฎนั้นมีหมายเลข554ไม่เรียกใช้การแจ้งเตือนตามค่าเริ่มต้น นั่นเป็นเพราะ OSSEC ไม่ได้ส่งการแจ้งเตือนเมื่อมีการเรียกใช้กฎที่มีระดับการตั้งค่าเป็นศูนย์

นี่คือสิ่งที่กฎ 554 มีลักษณะตามค่าเริ่มต้น

 <rule id="554" level="0">
    <category>ossec</category>
    <decoded_as>syscheck_new_entry</decoded_as>
    <description>File added to the system.</description>
    <group>syscheck,</group>
 </rule>

เราจำเป็นต้องเพิ่มเวอร์ชันที่แก้ไขของกฎนั้นในlocal_rules.xmlไฟล์ เวอร์ชั่นที่แก้ไขนั้นจะได้รับในบล็อกของรหัสด้านล่าง คัดลอกและเพิ่มไปที่ด้านล่างของไฟล์ก่อนแท็กปิด

 <rule id="554" level="7" overwrite="yes">
    <category>ossec</category>
    <decoded_as>syscheck_new_entry</decoded_as>
    <description>File added to the system.</description>
    <group>syscheck,</group>
 </rule>

บันทึกและปิดไฟล์จากนั้นรีสตาร์ท OSSEC

/var/ossec/bin/ossec-control restart

ข้อมูลมากกว่านี้

OSSEC เป็นซอฟต์แวร์ที่มีประสิทธิภาพมากและบทความนี้เพิ่งสัมผัสกับพื้นฐาน คุณจะพบการตั้งค่าการปรับแต่งเพิ่มเติมในเอกสารอย่างเป็นทางการ