Bir CentOS 7 Sunucusuna OSSEC HIDS Kurulumu

• Giriş
• Ön şartlar
• Adım 1: Gerekli Paketleri Yükleyin
• Adım 2 - OSSEC'i İndirin ve Doğrulayın
• 3. Adım: SMTP Sunucunuzu Belirleyin
• Adım 4: OSSEC'yi yükleyin
• 5. Adım: OSSEC'yi başlatın
• 6. Adım: OSSEC'yi özelleştirin
• Daha fazla bilgi

Giriş

OSSEC, günlük analizi, bütünlük denetimi, Windows kayıt defteri izleme, rootkit algılama, zamana dayalı uyarı ve etkin yanıt gerçekleştiren açık kaynaklı, ana bilgisayar tabanlı saldırı tespit sistemidir (HIDS). Herhangi bir sunucuda olması gereken bir güvenlik uygulamasıdır.

OSSEC yalnızca yüklü olduğu sunucuyu izlemek için kurulabilir (yerel kurulum) veya bir veya daha fazla aracıyı izlemek için sunucu olarak kurulabilir. Bu öğreticide, CentOS 7'yi yerel kurulum olarak izlemek için OSSEC'in nasıl kurulacağını öğreneceksiniz.

Ön şartlar

• Bir CentOS 7 sunucusu tercihen SSH anahtarlarıyla kurulur ve bir CentOS 7 Sunucusunun İlk Kurulumu kullanılarak özelleştirilir . Standart kullanıcı hesabını kullanarak sunucuda oturum açın. Kullanıcı adının joe olduğunu varsayın .

  ssh -l joe server-ip-address
  

Adım 1: Gerekli Paketleri Yükleyin

OSSEC kaynaktan derlenecektir, bu yüzden bunu yapabilmek için bir derleyiciye ihtiyacınız vardır. Ayrıca bildirimler için ek bir paket gerektirir. Bunları yazarak yükleyin:

sudo yum install -y gcc inotify-tools

Adım 2 - OSSEC'i İndirin ve Doğrulayın

OSSEC, projenin web sitesinden indirilmesi gereken sıkıştırılmış bir tarball olarak teslim edilir. Tarbolun tahrif edilmediğini doğrulamak için kullanılacak sağlama toplamı dosyasının da indirilmesi gerekir. Bu yayın sırasında OSSEC'in en son sürümü 2.8.2'dir. Projenin indirme sayfasını kontrol edin ve en son sürümü indirin.

Tarball'ı indirmek için şunu yazın:

wget -U ossec http://www.ossec.net/files/ossec-hids-2.8.2.tar.gz

Sağlama toplamı dosyası için şunu yazın:

wget -U ossec http://www.ossec.net/files/ossec-hids-2.8.2-checksum.txt

Her iki dosya indirildiğinde, bir sonraki adım tarball'ın MD5 ve SHA1 sağlama toplamlarını doğrulamaktır. MD5sum için şunu yazın:

md5sum -c ossec-hids-2.8.2-checksum.txt

Beklenen çıktı:

ossec-hids-2.8.2.tar.gz: OK
md5sum: WARNING: 1 line is improperly formatted

SHA1 karmasını doğrulamak için şunu yazın:

sha1sum -c ossec-hids-2.8.2-checksum.txt

Beklenen çıktı:

ossec-hids-2.8.2.tar.gz: OK
sha1sum: WARNING: 1 line is improperly formatted

3. Adım: SMTP Sunucunuzu Belirleyin

OSSEC'nin yükleme işlemi sırasında, e-posta adresiniz için bir SMTP sunucusu belirtmeniz istenir. Ne olduğunu bilmiyorsanız, bulmanın en kolay yolu yerel makinenizden bu komutu vermek (sahte e-posta adresini gerçek adresinizle değiştirmek):

dig -t mx you@example.com

Çıktıdaki ilgili bölüm bu kod bloğunda gösterilir. Bu örnek çıktıda, sorgulanan e-posta adresi için SMTP sunucusu satırın sonundadır - mail.vivaldi.net. . Sondaki noktanın dahil edildiğine dikkat edin.

;; ANSWER SECTION:
vivaldi.net.        300 IN  MX  10 mail.vivaldi.net.

Adım 4: OSSEC'yi yükleyin

OSSEC'yi kurmak için, önce yazdığınız tarball'ı paketinden çıkarmanız gerekir:

tar xf ossec-hids-2.8.2.tar.gz

Programın adını ve sürümünü taşıyan bir dizine açılacaktır. Değiştir ya da cdiçine. Bu makale için yüklenmiş olan OSSEC 2.8.2 sürümünde, yüklemeye başlamadan önce düzeltilmesi gereken küçük bir hata vardır. OSSEC 2.9 olması gereken bir sonraki kararlı sürüm piyasaya sürüldüğünde, bu gerekli olmamalıdır, çünkü düzeltme zaten ana daldadır. OSSEC 2.8.2 için düzeltmek, sadece active-responsedizinde bulunan bir dosyayı düzenlemek anlamına gelir . Dosya hosts-deny.sh, bu yüzden kullanarak açın:

nano active-response/hosts-deny.sh

Dosyanın sonuna doğru şu kod bloğunu arayın:

# Deleting from hosts.deny
elif [ "x$" = "xdelete" ]; then
   lock;
   TMP_FILE = `mktemp /var/ossec/ossec-hosts.XXXXXXXXXX`
   if [ "X$" = "X" ]; then
      # Cheap fake tmpfile, but should be harder then no random data
      TMP_FILE = "/var/ossec/ossec-hosts.`cat /dev/urandom | tr -dc 'a-zA-Z0-9' | fold -w 32 | head -1 `"
   fi

TMP_FILE ile başlayan satırlarda , = işaretinin etrafındaki boşlukları silin . Boşlukları kaldırdıktan sonra, dosyanın bu kısmı aşağıdaki kod bloğunda gösterildiği gibi olmalıdır. Dosyayı kaydedip kapatın.

# Deleting from hosts.deny
elif [ "x$" = "xdelete" ]; then
   lock;
   TMP_FILE=`mktemp /var/ossec/ossec-hosts.XXXXXXXXXX`
   if [ "X$" = "X" ]; then
      # Cheap fake tmpfile, but should be harder then no random data
      TMP_FILE="/var/ossec/ossec-hosts.`cat /dev/urandom | tr -dc 'a-zA-Z0-9' | fold -w 32 | head -1 `"
   fi

Artık düzeltme geldiğine göre, yazarak yaptığınız yükleme işlemini başlatabiliriz:

sudo ./install.sh

Yükleme işlemi boyunca bir miktar girdi sağlamanız istenir. Çoğu durumda, varsayılanı kabul etmek için ENTER tuşuna basmanız yeterlidir . İlk olarak, varsayılan olarak İngilizce (en) olan kurulum dilini seçmeniz istenir. Tercih ettiğiniz dilse ENTER tuşuna basın . Aksi takdirde, desteklenen diller listesinden 2 harfi girin. Ardından tekrar ENTER tuşuna basın .

İlk soru ne tür bir kurulum istediğinizi soracaktır. Buraya yerel girin .

1- What kind of installation do you want (server, agent, local, hybrid or help)? local

Sonraki sorular için varsayılanı kabul etmek üzere ENTER tuşuna basın . Soru 3.1 sizden e-posta adresinizi soracak ve ardından SMTP sunucunuzu isteyecektir. Bu soru için, geçerli bir e-posta adresi ve 3. Adımda belirlediğiniz SMTP sunucusunu girin.

3- Configuring the OSSEC HIDS.

   3.1- Do you want e-mail notification? (y/n) [y]: 
      - What's your e-mail address? you@example.com
      - What's your SMTP server ip/host?

Kurulum başarılı olursa, şu çıktıyı görmelisiniz:

- Configuration finished properly.

...

    More information can be found at http://www.ossec.net

    ---  Press ENTER to finish (maybe more information below). ---

Yüklemeyi tamamlamak için ENTER tuşuna basın .

5. Adım: OSSEC'yi başlatın

OSSEC kuruldu, ancak başlatılmadı. Başlamak için önce kök hesaba geçin.

sudo su

Ardından, aşağıdaki komutu vererek başlatın.

/var/ossec/bin/ossec-control start

Daha sonra, Gelen Kutunuzu kontrol edin. OSSEC tarafından başlatıldığını bildiren bir uyarı olmalıdır. Bununla artık OSSEC'in kurulu olduğunu ve gerektiğinde uyarı göndereceğini biliyorsunuz.

6. Adım: OSSEC'yi özelleştirin

OSSEC'in varsayılan yapılandırması iyi çalışıyor, ancak sunucunuzu daha iyi korumak için ayarlayabileceğiniz ayarlar var. Özelleştirilecek ilk dosya ossec.conf, /var/ossec/etcdizinde bulacağınız ana yapılandırma dosyasıdır . Dosyayı aç:

nano /var/ossec/etc/ossec.conf

Doğrulanacak ilk öğe , dosyanın genel bölümünde bulacağınız bir e-posta ayarıdır :

<global>
   <email_notification>yes</email_notification>
   <email_to>finid@vivaldi.net</email_to>
   <smtp_server>mail.vivaldi.net.</smtp_server>
   <email_from>ossecm@vultr.guest</email_from>
</global>

Email_from adresinin geçerli bir e-posta olduğundan emin olun . Aksi takdirde, bazı e-posta sağlayıcılarının SMTP sunucuları OSSEC'den gelen uyarıları Spam olarak işaretler. Sunucunun FQDN'si ayarlanmamışsa, e-postanın etki alanı kısmı sunucunun ana bilgisayar adına ayarlanır, bu nedenle bu gerçekten geçerli bir e-posta adresine sahip olmasını istediğiniz bir ayardır.

Özelleştirmek istediğiniz başka bir ayar, özellikle sistemi test ederken, OSSEC'in denetimlerini çalışma sıklığıdır. Bu ayar syscheck bölümünde bulunur ve varsayılan olarak her 22 saatte bir çalıştırılır. OSSEC'nin uyarı özelliklerini test etmek için daha düşük bir değere ayarlamak, ancak daha sonra varsayılana sıfırlamak isteyebilirsiniz.

<syscheck>
   <!-- Frequency that syscheck is executed - default to every 22 hours -->
   <frequency>79200</frequency>

Varsayılan olarak, OSSEC sunucuya yeni bir dosya eklendiğinde uyarı vermez. Bunu değiştirmek için <frekans> etiketinin hemen altına yeni bir etiket ekleyin . Tamamlandığında, bölüm şimdi şunları içermelidir:

<syscheck>
   <!-- Frequency that syscheck is executed - default to every 22 hours -->
   <frequency>79200</frequency>

   <alert_new_files>yes</alert_new_files>

Değiştirilmesi iyi olan son bir ayar, OSSEC tarafından kontrol edilmesi gereken dizinlerin listesidir. Bunları önceki ayardan hemen sonra bulacaksınız. Varsayılan olarak, dizinler şu şekilde gösterilir:

<!-- Directories to check  (perform all possible verifications) -->
   <directories check_all="yes">/etc,/usr/bin,/usr/sbin</directories>
   <directories check_all="yes">/bin,/sbin</directories>

OSSEC raporu değişikliklerini gerçek zamanlı yapmak için her iki satırı da değiştirin. İşiniz bittiğinde şunları okumalıdırlar:

<directories report_changes="yes" realtime="yes" check_all="yes">/etc,/usr/bin,/usr/sbin</directories>
<directories report_changes="yes" realtime="yes" check_all="yes">/bin,/sbin</directories>

Dosyayı kaydedip kapatın.

Biz değiştirmek gerekeceğini sonraki dosyasıdır local_rules.xmliçinde /var/ossec/rulesdizine. Yani cdbu dizine:

cd /var/ossec/rules

Bu dizinde OSSEC'in dosyalarının hiçbiri değiştirilmemesi gereken kural dosyaları bulunur local_rules.xml. Bu dosyaya özel kurallar ekliyoruz. Eklememiz gereken kural, yeni bir dosya eklendiğinde tetiklenecek olan kuraldır. 554 numaralı bu kural varsayılan olarak bir uyarı tetiklemez. Çünkü OSSEC, sıfıra ayarlanmış bir kural tetiklendiğinde uyarı göndermez.

554 kuralı varsayılan olarak şöyle görünür.

 <rule id="554" level="0">
    <category>ossec</category>
    <decoded_as>syscheck_new_entry</decoded_as>
    <description>File added to the system.</description>
    <group>syscheck,</group>
 </rule>

local_rules.xmlDosyaya bu kuralın değiştirilmiş bir sürümünü eklememiz gerekiyor . Bu değiştirilmiş sürüm aşağıdaki kod bloğunda verilmiştir. Kapatma etiketinden hemen önce dosyayı kopyalayın ve altına ekleyin.

 <rule id="554" level="7" overwrite="yes">
    <category>ossec</category>
    <decoded_as>syscheck_new_entry</decoded_as>
    <description>File added to the system.</description>
    <group>syscheck,</group>
 </rule>

Dosyayı kaydedip kapatın, ardından OSSEC'i yeniden başlatın.

/var/ossec/bin/ossec-control restart

Daha fazla bilgi

OSSEC çok güçlü bir yazılımdır ve bu makale temellere değinmiştir. Daha fazla özelleştirme ayarını resmi belgelerde bulabilirsiniz .