TOC

So installieren und konfigurieren Sie OSSEC-Sicherheitsbenachrichtigungen unter Ubuntu 14.04

Einführung

Wie verfolgen Sie autorisierte und nicht autorisierte Aktivitäten auf Ihrem Server?

OSSEC ist ein Tool, das Sie auf Ihrem Server installieren können, um die Aktivitäten zu verfolgen.

OSSEC ist ein Open-Source-Host-basiertes Intrusion Detection-System (HIDS), das Protokollanalysen, Integritätsprüfungen, die Überwachung der Windows-Registrierung, die Erkennung von Rootkits, zeitbasierte Warnungen und aktive Reaktionen durchführt. Es kann verwendet werden, um einen Server oder Tausende von Servern in einem Server- / Agentenmodus zu überwachen.

Bei ordnungsgemäßer Konfiguration kann OSSEC Ihnen in Echtzeit einen Überblick über die Vorgänge auf Ihrem Server geben.

Dieses Tutorial zeigt Ihnen, wie Sie OSSEC installieren und konfigurieren, um einen DigitalOcean-Server zu überwachen, auf dem Ubuntu 14.04 LTS ausgeführt wird. Wir konfigurieren OSSEC so, dass OSSEC Sie - in Echtzeit - per E-Mail benachrichtigt, wenn eine Datei geändert, gelöscht oder zum Server hinzugefügt wird. Dies ist zusätzlich zu anderen Integritätsprüfungsfunktionen von OSSEC möglich.

OSSEC kann Sie nicht nur über Dateimodifikationen informieren, sondern in nur einem Artikel erfahren Sie, wie Sie alle Funktionen nutzen können.

** Was sind die Vorteile von OSSEC?

Bevor wir mit dem Abschnitt zum Installieren und Konfigurieren beginnen, wollen wir uns einige konkrete Vorteile ansehen, die Sie durch die Verwendung von OSSEC erhalten.

Unten finden Sie ein Beispiel für eine E-Mail-Benachrichtigung von OSSEC, aus der hervorgeht, dass die Datei/var/ossec/etc/ossec.conf geändert wurde. 

OSSEC HIDS Notification.
2014 Nov 29 09:45:15

Received From: kuruji->syscheck
Rule: 552 fired (level 7) -> "Integrity checksum changed again (3rd time)."
Portion of the log(s):

Integrity checksum changed for: '/var/ossec/etc/ossec.conf'
Size changed from '7521' to '7752'

Wenn Sie eine solche Warnung erhalten haben und nicht damit gerechnet haben, dass sich diese Datei ändert, wissen Sie, dass auf Ihrem Server etwas Unzulässiges passiert ist.

Hier ist ein weiteres Beispiel für eine E-Mail-Benachrichtigung von OSSEC, aus der hervorgeht, dass die Datei/etc/ossec/testossec.txt gelöscht wurde. 

OSSEC HIDS Notification.
2014 Nov 29 10:56:14

Received From: kuruji->syscheck
Rule: 553 fired (level 7) -> "File deleted. Unable to retrieve checksum."
Portion of the log(s):

File /etc/ossec/testossec.txt was deleted. Unable to retrieve checksum.

Wenn Sie die betreffende Datei nicht gelöscht haben, sollten Sie herausfinden, was auf Ihrem Server geschieht.

Wenn Sie durch das oben Genannte genug gekitzelt wurden, um OSSEC zu installieren, müssen Sie zunächst einige Dinge tun.

Voraussetzungen

Natürlich benötigen Sie einen Server, den Sie überwachen möchten. In diesem Lernprogramm wird davon ausgegangen, dass Sie bereits eine haben und diese bereits für die Verwendung eingerichtet ist. Dies kann ein Server sein, den Sie gerade eingerichtet haben oder den Sie seit Monaten verwenden. Das Wichtigste ist, dass Sie Zugriff darauf haben und sich über SSH anmelden können. Das Einrichten von OSSEC ist nichts, was Sie tun möchten, wenn Sie noch nicht wissen, wie Sie auf Ihren Server zugreifen können.

  • Ubuntu 14.04 Server

  • Sie sollten einensudo-Benutzer auf dem Server erstellen. In diesem Beispiel heißt der Benutzersammy. Dieses Tutorial ist jedoch für den Benutzer vonrootviel einfacher zu vervollständigen: 

sudo su

  • Optional: Wenn Sie E-Mails von einem lokalen SMTP-Server senden möchten, sollten SiePostfix für das einfache Senden von E-Mails installieren

  • Die Installation von OSSEC erfordert einige Kompilierungen, daher müssengcc undmake installiert sein. Sie können beide installieren, indem Sie ein einzelnes Paket namensbuild-essential installieren

  • Sie müssen auch ein Paket namensinotify-tools installieren, das erforderlich ist, damit die Echtzeitwarnung funktioniert

Um alle erforderlichen Pakete zu installieren, aktualisieren Sie zuerst den Server: 

apt-get update

Das Installieren der Pakete: 

apt-get install build-essential inotify-tools

Nachdem wir die Vorbereitungen getroffen haben, kommen wir zum lustigen Teil.

[[Schritt-1 -—- Herunterladen und Verifizieren von Ossec]] == Schritt 1 - Herunterladen und Überprüfen von OSSEC

In diesem Schritt laden Sie den OSSEC-Tarball und eine Datei mit den kryptografischen Prüfsummen herunter.

Da es sich um einen Sicherheitsartikel handelt, werden wir ein wenig zusätzliche Arbeit leisten, um sicherzustellen, dass wir gültige Software installieren. Die Idee ist, dass Sie die MD5- und SHA1-Prüfsummen des heruntergeladenen OSSEC-Tarballs generieren und mit denen in der Prüfsummendatei vergleichen. Wenn sie übereinstimmen, können Sie davon ausgehen, dass der Tarball nicht manipuliert wurde.

Zum Zeitpunkt des Schreibens ist die neueste Server-Edition von OSSEC Version 2.8.1. Geben Sie zum Herunterladen Folgendes ein: 

wget -U ossec http://www.ossec.net/files/ossec-hids-2.8.1.tar.gz

Geben Sie zum Herunterladen der Prüfsummendatei Folgendes ein: 

wget -U ossec http://www.ossec.net/files/ossec-hids-2.8.1-checksum.txt

Geben Sie Folgendes ein, um zu überprüfen, ob beide Dateien vorhanden sind: 

ls -l ossec*

Sie sollten die Dateien sehen: 

ossec-hids-2.8.1-checksum.txt
ossec-hids-2.8.1.tar.gz

Untersuchen wir nun die Prüfsummendatei mit dem Befehlcat wie folgt: 

cat ossec-hids-2.8.1-checksum.txt

Erwartete Ausgabe: 

MD5(ossec-hids-2.8.1.tar.gz)= c2ffd25180f760e366ab16eeb82ae382
SHA1(ossec-hids-2.8.1.tar.gz)= 0ecf1df09558dc8bb4b6f65e1fb2ca7a7df9817c

In der obigen Ausgabe sind die wichtigen Teile diejenigen rechts vom=-Zeichen. Dies sind die MD5- und SHA1-Prüfsummen des Tarballs.

Jetzt stellen wir sicher, dass die Prüfsummen, die wir für den Tarball generieren, mit den von uns heruntergeladenen Prüfsummen übereinstimmen.

Geben Sie Folgendes ein, um die MD5-Summe des Tarballs zu generieren: 

md5sum ossec-hids-2.8.1.tar.gz

Erwartete Ausgabe: 

c2ffd25180f760e366ab16eeb82ae382  ossec-hids-2.8.1.tar.gz

Vergleichen Sie die generierte MD5-Prüfsumme mit der in der Prüfsummendatei. Sie sollten zusammenpassen.

Machen Sie dasselbe für die SHA1-Prüfsumme, indem Sie Folgendes eingeben: 

sha1sum  ossec-hids-2.8.1.tar.gz

Erwartete Ausgabe: 

0ecf1df09558dc8bb4b6f65e1fb2ca7a7df9817c  ossec-hids-2.8.1.tar.gz

Wenn beide übereinstimmen, können Sie loslegen. Schritt zwei winkt.

[[Schritt-2 -—- install-ossec]] == Schritt 2 - Installieren Sie OSSEC

In diesem Schritt installieren Sie OSSEC.

OSSEC kann im Modusserver,agent,local oderhybrid installiert werden. Diese Installation dient zur Überwachung des Servers, auf dem OSSEC installiert ist. Das bedeutet einelocal Installation.

Bevor Sie mit der Installation beginnen können, müssen Sie die Datei erweitern. Sie tun dies, indem Sie Folgendes eingeben: 

tar -zxf ossec-hids-2.8.1.tar.gz

Danach sollten Sie ein Verzeichnis mit dem Namenossec-hids-2.8.1 haben. Um die Installation zu starten, müssen Sie (cd) in dieses Verzeichnis ändern, indem Sie Folgendes eingeben: 

cd ossec-hids-2.8.1

Verwenden Sie den Befehlls, um den Inhalt des Verzeichnisses anzuzeigen, in dem Sie sich gerade befinden: Geben Sie Folgendes ein: 

ls -lgG

Sie sollten diese Dateien und Verzeichnisse sehen: 

total 100
drwxrwxr-x  4  4096 Sep  8 21:03 active-response
-rw-rw-r--  1   542 Sep  8 21:03 BUGS
-rw-rw-r--  1   289 Sep  8 21:03 CONFIG
drwxrwxr-x  6  4096 Sep  8 21:03 contrib
-rw-rw-r--  1  3196 Sep  8 21:03 CONTRIBUTORS
drwxrwxr-x  4  4096 Sep  8 21:03 doc
drwxrwxr-x  4  4096 Sep  8 21:03 etc
-rw-rw-r--  1  1848 Sep  8 21:03 INSTALL
-rwxrwxr-x  1 32019 Sep  8 21:03 install.sh
-rw-rw-r--  1 24710 Sep  8 21:03 LICENSE
-rw-rw-r--  1  1664 Sep  8 21:03 README.md
drwxrwxr-x 30  4096 Sep  8 21:03 src

Die einzige Datei, die für uns in dieser Auflistung von Interesse ist, istinstall.sh. Dies ist das OSSEC-Installationsskript. Geben Sie zum Starten der Installation Folgendes ein: 

./install.sh

Sie werden aufgefordert, einige Installationsfragen zu beantworten.

Die erste Aufgabe, die von Ihnen verlangt wird, ist die Auswahl der Sprache. Wie in der folgenden Ausgabe gezeigt, ist die Standardeinstellung Englisch. Wenn Sie während des Installationsvorgangs eine Auswahl treffen müssen, ist ein Eintrag in eckigen Klammern die Standardeinstellung. Wenn die Standardeinstellung Ihren Wünschen entspricht, drücken Sie die EINGABETASTE, um die Standardeinstellung zu übernehmen. Abgesehen davon, dass Sie Ihre E-Mail-Adresse eingeben müssen, empfehlen wir, dass Sie alle Standardeinstellungen akzeptieren - es sei denn, Sie wissen, was Sie tun.

Einträge werden inred angezeigt.

Wenn Ihre Sprache Englisch ist, drücken SieENTER. Andernfalls geben Sie die beiden Buchstaben für Ihre Sprache ein und drücken Sie die EINGABETASTE. 

  (en/br/cn/de/el/es/fr/hu/it/jp/nl/pl/ru/sr/tr) [en]:

Nachdem Sie die Sprache ausgewählt haben, sollten Sie Folgendes sehen: 

OSSEC HIDS v2.8 Installation Script - http://www.ossec.net

 You are about to start the installation process of the OSSEC HIDS.
 You must have a C compiler pre-installed in your system.
 If you have any questions or comments, please send an e-mail
 to [email protected] (or [email protected]).

  - System: Linux kuruji 3.13.0-36-generic
  - User: root
  - Host: kuruji

  -- Press ENTER to continue or Ctrl-C to abort. --

Nach dem Drücken der EINGABETASTE sollten Sie erhalten: 

1- What kind of installation do you want (server, agent, local, hybrid or help)? local

Geben Sielocal ein und drücken Sie die EINGABETASTE. Du solltest bekommen: 

  - Local installation chosen.

2- Setting up the installation environment.

  - Choose where to install the OSSEC HIDS [/var/ossec]:

Übernehmen Sie die Standardeinstellung und drücken Sie die EINGABETASTE. Danach erhalten Sie: 

    - Installation will be made at  /var/ossec .

3- Configuring the OSSEC HIDS.

  3.1- Do you want e-mail notification? (y/n) [y]:

Drücken Sie Enter. 

  - What's your e-mail address? [email protected]

Geben Sie die E-Mail-Adresse ein, an die Sie Benachrichtigungen von OSSEC erhalten möchten. 

  - We found your SMTP server as: mail.example.com.
  - Do you want to use it? (y/n) [y]:

--- Using SMTP server:  mail.example.com.

Drücken Sie die EINGABETASTE, es sei denn, Sie haben bestimmte SMTP-Servereinstellungen, die Sie verwenden möchten.

Jetzt ist es an der Zeit, OSSEC mitzuteilen, welche Überprüfungen ausgeführt werden sollen. Akzeptieren Sie als Antwort auf eine Eingabeaufforderung des Skripts die Standardeinstellung, indem SieENTER drücken.

ENTER für den Integritätsprüfungs-Daemon. 

  3.2- Do you want to run the integrity check daemon? (y/n) [y]:

- Running syscheck (integrity check daemon).

EINGABETASTE für die Rootkit-Erkennung. 

  3.3- Do you want to run the rootkit detection engine? (y/n) [y]:

- Running rootcheck (rootkit detection).

ENTER für aktive Antwort. 

  3.4- Active response allows you to execute a specific command based on the events received.

   Do you want to enable active response? (y/n) [y]:

   Active response enabled.

Akzeptieren Sie die Standardeinstellungen für die Firewall-Drop-Antwort. Ihre Ausgabe zeigt möglicherweise einige IPv6-Optionen an - das ist in Ordnung. 

  Do you want to enable the firewall-drop response? (y/n) [y]:

- firewall-drop enabled (local) for levels >= 6

   - Default white list for the active response:
      - 8.8.8.8
      - 8.8.4.4

   - Do you want to add more IPs to the white list? (y/n)? [n]:

Sie können hier Ihre IP-Adresse hinzufügen, dies ist jedoch nicht erforderlich.

OSSEC zeigt nun eine Standardliste der zu überwachenden Dateien an. Zusätzliche Dateien können nach der Installation hinzugefügt werden. Drücken Sie daher die EINGABETASTE. 

3.6- Setting the configuration to analyze the following logs:
    -- /var/log/auth.log
    -- /var/log/syslog
    -- /var/log/dpkg.log

 - If you want to monitor any other file, just change
   the ossec.conf and add a new localfile entry.
   Any questions about the configuration can be answered
   by visiting us online at http://www.ossec.net .


   --- Press ENTER to continue ---

Zu diesem Zeitpunkt verfügt das Installationsprogramm über alle Informationen, die für die Installation von OSSEC erforderlich sind. Lehnen Sie sich zurück und lassen Sie den Installateur sein Ding machen. Die Installation dauert ca. 5 Minuten. Nach erfolgreicher Installation können Sie OSSEC jetzt starten und konfigurieren.

Note: Ein Grund für die fehlgeschlagene Installation ist, dass kein Compiler installiert ist. In diesem Fall erhalten Sie folgende Fehlermeldung: 

5- Installing the system
 - Running the Makefile
./install.sh: 85: ./install.sh: make: not found

 Error 0x5.
 Building error. Unable to finish the installation.

Wenn Sie diesen Fehler erhalten, müssen Siebuild-essential installieren, wie im Abschnitt Voraussetzungen des Lernprogramms erläutert.

Wenn die Installation erfolgreich ist, sollten Sie diese Art von Ausgabe sehen: 

 - System is Debian (Ubuntu or derivative).
 - Init script modified to start OSSEC HIDS during boot.

 - Configuration finished properly.

 - To start OSSEC HIDS:
                /var/ossec/bin/ossec-control start

 - To stop OSSEC HIDS:
                /var/ossec/bin/ossec-control stop

 - The configuration can be viewed or modified at /var/ossec/etc/ossec.conf

    ---  Press ENTER to finish (maybe more information below). ---

OSSEC ist jetzt installiert. Der nächste Schritt ist, es zu starten.

[[Schritt-3 -—- Start-Ossec]] == Schritt 3 - Starten Sie OSSEC

Standardmäßig ist OSSEC so konfiguriert, dass es beim Booten startet. Beim ersten Mal müssen Sie es jedoch manuell starten.

Wenn Sie den aktuellen Status überprüfen möchten, geben Sie Folgendes ein: 

/var/ossec/bin/ossec-control status

Erwartete Ausgabe: 

ossec-monitord not running...
ossec-logcollector not running...
ossec-syscheckd not running...
ossec-analysisd not running...
ossec-maild not running...
ossec-execd not running...

Das zeigt Ihnen, dass keiner der OSSEC-Prozesse ausgeführt wird.

Geben Sie Folgendes ein, um OSSEC zu starten: 

/var/ossec/bin/ossec-control start

Sie sollten es starten sehen: 

Starting OSSEC HIDS v2.8 (by Trend Micro Inc.)...
Started ossec-maild...
Started ossec-execd...
Started ossec-analysisd...
Started ossec-logcollector...
Started ossec-syscheckd...
Started ossec-monitord...
Completed.

Wenn Sie den Status erneut überprüfen, sollten Sie eine Bestätigung erhalten, dass OSSEC jetzt ausgeführt wird. 

/var/ossec/bin/ossec-control status

Diese Ausgabe zeigt, dass OSSEC ausgeführt wird: 

ossec-monitord is running...
ossec-logcollector is running...
ossec-syscheckd is running...
ossec-analysisd is running...
ossec-maild is running...
ossec-execd is running...

Gleich nach dem Start von OSSEC sollten Sie eine E-Mail erhalten, die folgendermaßen lautet: 

OSSEC HIDS Notification.
2014 Nov 30 11:15:38

Received From: ossec2->ossec-monitord
Rule: 502 fired (level 3) -> "Ossec server started."
Portion of the log(s):

ossec: Ossec started.

Dies ist eine weitere Bestätigung, dass OSSEC funktioniert und Sie per E-Mail benachrichtigt werden, wenn etwas zur Überwachung konfiguriert ist. OSSEC sendet Ihnen auch nach dem Neustart eine E-Mail.

Wenn Sie diese E-Mail nicht sofort erhalten haben, machen Sie sich keine Sorgen. Möglicherweise müssen Sie Ihre E-Mail-Einstellungen (die wir später in diesem Lernprogramm behandeln werden) noch anpassen, um sicherzustellen, dass die E-Mails Ihres OSSEC-Servers zu Ihrem E-Mail-Anbieter gelangen können. Dies gilt insbesondere für einige E-Mail-Dienstanbieter von Drittanbietern wie Google und Fastmail.

[[Schritt-4 - Konfigurieren von Ossec für Echtzeit-Warnungen bei Dateimodifikationen] == Schritt 4 - Konfigurieren Sie OSSEC für Echtzeit-Warnungen bei Dateimodifikationen

Als Nächstes lernen wir die Dateien und Verzeichnisse von OSSEC kennen und erfahren, wie Sie die Überwachungs- und Warnungseinstellungen von OSSEC ändern.

In diesem Lernprogramm ändern wir OSSEC, um Sie zu benachrichtigen, wenn eine Datei in von Ihnen angegebenen Verzeichnissen geändert, gelöscht oder hinzugefügt wird.

Lernen Sie die Verzeichnisstruktur von OSSEC kennen

Das Standardverzeichnis von OSSEC ist einechroot-ed (Sandbox) -Umgebung, auf die nur ein Benutzer mit Root-Berechtigungen (Administratorrechten) zugreifen kann. Ein Standardbenutzer kanncd nicht in/var/ossec umwandeln oder sogar die darin enthaltenen Dateien auflisten. Als Root-Benutzer (oder Administrator) können Sie dies jedoch tun.

Also,cd in das Installationsverzeichnis durch Eingabe von: 

cd /var/ossec

Geben Sie Folgendes ein, um die Dateien in Ihrem neuen Arbeitsverzeichnis aufzulisten: 

ls -lgG

Sie sollten diese Dateien und Verzeichnisse sehen: 

total 40
dr-xr-x---  3 4096 Nov 26 14:56 active-response
dr-xr-x---  2 4096 Nov 20 20:56 agentless
dr-xr-x---  2 4096 Nov 20 20:56 bin
dr-xr-x---  3 4096 Nov 29 00:49 etc
drwxr-x---  5 4096 Nov 20 20:56 logs
dr-xr-x--- 11 4096 Nov 20 20:56 queue
dr-xr-x---  4 4096 Nov 20 20:56 rules
drwxr-x---  5 4096 Nov 20 21:00 stats
dr-xr-x---  2 4096 Nov 20 20:56 tmp
dr-xr-x---  3 4096 Nov 29 18:34 var

  • Die Hauptkonfigurationsdatei von OSSEC befindet sich im Verzeichnis/var/ossec/etc.

  • Vordefinierte Regeln befinden sich im Verzeichnis/var/ossec/rules

  • Befehle zum Verwalten von OSSEC sind in/var/ossec/bin angegeben

  • Beachten Sie das Verzeichnis/var/ossec/logs. Wenn OSSEC jemals einen Fehler auslöst, ist die/var/ossec/logs/ossec.log-Datei in diesem Verzeichnis der erste Ort, an dem gesucht wird

Hauptkonfigurationsdatei, /var/ossec/etc/ossec.conf

Um auf die Hauptkonfigurationsdatei zuzugreifen, müssen Sie in/var/ossec/etc wechseln. Geben Sie dazu Folgendes ein: 

cd /var/ossec/etc

Wenn Sie in diesem Verzeichnis einls ausführen, werden folgende Dateien und Verzeichnisse angezeigt: 

ls -lgG

Ergebnisse: 

total 120
-r--r----- 1 97786 Sep  8 22:03 decoder.xml
-r--r----- 1  2842 Sep  8 22:03 internal_options.conf
-r--r----- 1  3519 Oct 30 13:46 localtime
-r--r----- 1  7752 Nov 29 09:45 ossec.conf
-rw-r----- 1    87 Nov 20 20:56 ossec-init.conf
drwxrwx--- 2  4096 Nov 20 21:00 shared

Die Hauptkonfigurationsdatei ist/var/ossec/etc/ossec.conf.

Erstellen Sie vor dem Ändern der Datei für alle Fälle eine Sicherungskopie. Verwenden Sie zum Erstellen dieser Kopie den Befehlcp wie folgt: 

cp /var/ossec/etc/ossec.conf /var/ossec/etc/ossec.conf.00

Die Idee ist, wenn Ihre Änderungen nicht funktionieren oder das System durcheinander bringen, können Sie zur Kopie zurückkehren und zum Normalzustand zurückkehren. Dies ist die einfachste Notfallwiederherstellungspraxis, die Sie immer nutzen sollten.

Öffnen Sie nunossec.conf mit dem Editornano. 

nano /var/ossec/etc/ossec.conf

Die Konfigurationsdatei ist eine sehr lange XML-Datei mit mehreren Abschnitten.

Email Einstellungen

Note: E-Mails sind im Allgemeinen schwierig, insbesondere wenn Sie an einen strengeren E-Mail-Anbieter senden, z. B. an eine Google Mail-Adresse. Überprüfen Sie Ihren Spam und ändern Sie gegebenenfalls Ihre Einstellungen.

Die ersten Konfigurationsoptionen, die angezeigt werden, sind die E-Mail-Anmeldeinformationen, die Sie während der Installation angegeben haben. Wenn Sie eine andere E-Mail-Adresse und / oder einen anderen SMTP-Server angeben müssen, ist dies der richtige Ort. 


    yes
    [email protected]
    mail.example.com.
    ossecm@ossec_server

Standardmäßig sendet OSSEC 12 E-Mails pro Stunde, sodass Sie nicht mit E-Mail-Benachrichtigungen überflutet werden. Sie können diesen Wert erhöhen oder verringern, indem Sie die Einstellung<email_maxperhour>N</email_maxperhour>zu diesem Abschnitt hinzufügen, sodass Folgendes angezeigt wird: 


    yes
    [email protected]
    mail.example.com.
    ossecm@ossec_server
    N

Bitte ersetzen SieN durch die Anzahl der E-Mails, die Sie pro Stunde erhalten möchten, zwischen1 und9999.

Einige E-Mail-Dienstanbieter von Drittanbietern (z. B. Google und Fastmail) löschen von OSSEC gesendete Benachrichtigungen stillschweigend, wenn die Adresse von<email_from>keinen gültigen Domain-Teil enthält, wie im obigen Codeblock. Um dies zu vermeiden, stellen Sie sicher, dass diese E-Mail-Adresse einen gültigen Domain-Teil enthält. Zum Beispiel: 


    yes
    [email protected]
    mail.example.com.
    sammy@ossec_server.com

Die Adressen<email_to> und<email_from> können identisch sein. Zum Beispiel: 


    yes
    [email protected]
    mail.example.com.
    [email protected]

Wenn Sie den SMTP-Server eines externen E-Mail-Anbieters nicht verwenden möchten, können Sie Ihren eigenen SMTP-Server angeben, sofern Sie einen konfiguriert haben. (Dies wird in diesem Lernprogramm nicht behandelt, aber Sie können Postfix nachthese instructions installieren.) Wenn Ihr SMTP-Server auf demselben Droplet wie OSSEC ausgeführt wird, ändern Sie die Einstellung<smtp_server> inlocalhost. Zum Beispiel: 


    yes
    [email protected]
    localhost
    [email protected]

OSSEC sendet standardmäßig keine Echtzeitbenachrichtigungen. In diesem Lernprogramm werden jedoch Echtzeitbenachrichtigungen angefordert. Dies ist also ein Aspekt, den Sie ändern werden.

Wenn Sie immer noch keine erwarteten E-Mails von OSSEC erhalten, überprüfen Sie die Protokolle bei/var/ossec/logs/ossec.log auf E-Mail-Fehler.

Beispiel Mail-Fehler: 

2014/12/18 17:48:35 os_sendmail(1767): WARN: End of DATA not accepted by server
2014/12/18 17:48:35 ossec-maild(1223): ERROR: Error Sending email to 74.125.131.26 (smtp server)

Mithilfe dieser Fehlermeldungen können Sie Probleme beim Empfang von E-Mail-Benachrichtigungen beheben.

Häufigkeit der Scans

Im Abschnitt<syscheck> vonossec.conf, der wie folgt beginnt: 


    
    79200

Wir werden Warnungen für die Erstellung neuer Dateien aktivieren. Fügen Sie die Zeile<alert_new_files>yes</alert_new_files> so hinzu, dass sie wie folgt lautet: 


    
    79200

    yes

Zu Testzwecken möchten Sie möglicherweise auch die Häufigkeit der Systemprüfung viel niedriger einstellen. Standardmäßig wird die Systemprüfung alle 22 Stunden ausgeführt. Zu Testzwecken möchten Sie dies möglicherweise auf einmal pro Minute einstellen, dh auf60 Sekunden. Revert this to a sane value when you are done testing. 


    
    60

    yes

Einstellungen zum Ändern von Verzeichnissen und Dateien

Unmittelbar danach sollte die Liste der von OSSEC überwachten Systemverzeichnisse angezeigt werden. Es liest sich so: 


/etc,/usr/bin,/usr/sbin
/bin,/sbin

Aktivieren Sie die Echtzeitüberwachung, indem Sie jeder Zeile die Einstellungenreport_changes="yes" realtime="yes" hinzufügen. Ändern Sie diese Zeilen so, dass sie lauten: 


/etc,/usr/bin,/usr/sbin
/bin,/sbin

report_changes="yes" macht genau das, was gesagt wird. Das Gleiche gilt fürrealtime="yes".

Zusätzlich zur Standardliste der Verzeichnisse, für deren Überwachung OSSEC konfiguriert wurde, können Sie neue Verzeichnisse hinzufügen, die Sie überwachen möchten. In diesem nächsten Abschnitt werde ich OSSEC anweisen,/home/sammy und/var/www zu überwachen. Dafür werde ich eine neue Zeile direkt unter den vorhandenen einfügen, sodass dieser Abschnitt jetzt lautet: 


/etc,/usr/bin,/usr/sbin
/bin,/sbin

/home/sammy,/var/www

Sie sollten die Verzeichnisse an Ihre gewünschten Einstellungen anpassen. Wenn Ihr Benutzer nichtsammy heißt, möchten Sie den Pfad zum Ausgangsverzeichnis ändern.

Für die zu überwachenden neuen Verzeichnisse haben wir die Optionrestricthinzugefügt, mit der OSSEC angewiesen wird, nur die angegebenen Dateiformate zu überwachen. Sie müssen diese Option nicht verwenden, sie ist jedoch nützlich, wenn Sie über andere Dateien wie Bilddateien verfügen, bei denen OSSEC keine Warnmeldung erhalten soll.

Das sind alle Änderungen fürossec.conf. Sie können die Datei speichern und schließen.

Lokale Regeln in /var/ossec/rules/local_rules.xml

Die nächste zu ändernde Datei befindet sich im Verzeichnis/var/ossec/rules, also geben Siecd ein, indem Sie Folgendes eingeben: 

cd /var/ossec/rules

Wenn Sie in diesem Verzeichnisls ausführen, werden eine Reihe von XML-Dateien wie die folgenden angezeigt: 

ls -lgG

Verkürzte Ausgabe: 

total 376
-r-xr-x--- 1  5882 Sep  8 22:03 apache_rules.xml
-r-xr-x--- 1  2567 Sep  8 22:03 arpwatch_rules.xml
-r-xr-x--- 1  3726 Sep  8 22:03 asterisk_rules.xml
-r-xr-x--- 1  4315 Sep  8 22:03 attack_rules.xml

...

-r-xr-x--- 1  1772 Nov 30 17:33 local_rules.xml

...

-r-xr-x--- 1 10359 Sep  8 22:03 ossec_rules.xml

...

Nur zwei dieser Dateien sind jetzt für uns von Interesse -local_rules.xml undossec_rules.xml. Letzteres enthält die Standardregeldefinitionen von OSSEC, während Sie in ersterem Ihre benutzerdefinierten Regeln hinzufügen. Mit anderen Worten, außerlocal_rules.xml ändern Sie keine Dateien in diesem Verzeichnis.

Die Standardregeldefinitionen inossec_rules.xml sind nützlich, damit wir sie ändern und in unsere lokalen Regeln kopieren können. Inossec_rules.xml lautet die Regel, die ausgelöst wird, wenn eine Dateiadded in einem überwachten Verzeichnis ist, Regel554. Standardmäßig sendet OSSEC keine Warnungen, wenn diese Regel ausgelöst wird. Daher besteht die Aufgabe hier darin, dieses Verhalten zu ändern. So sieht Regel 554 in der Standardversion aus: 


ossec
syscheck_new_entry
File added to the system.
syscheck,

OSSEC sendet keine Warnung, wenn für eine Regellevel auf0 gesetzt ist. Wir möchten diese Regel ändern, um die Warnstufe zu erhöhen. Anstatt es in der Standarddatei zu ändern, kopieren wir die Regel nachlocal_rules.xml und ändern sie so, dass sie eine Warnung auslösen kann.

Erstellen Sie dazu eine Sicherungskopie der Datei/var/ossec/rules/local_rules.xml: 

cp /var/ossec/rules/local_rules.xml /var/ossec/rules/local_rules.xml.00

Bearbeiten Sie die Datei mitnano: 

nano /var/ossec/rules/local_rules.xml

Fügen Sie die neue Regel am Ende der Datei hinzu. Stellen Sie sicher, dass es sich innerhalb des<group> ... </group>-Tags befindet. 


ossec
syscheck_new_entry
File added to the system.
syscheck,

Speichern und schließen Sie die Datei.

Das sind alle notwendigen Änderungen.

Starten Sie OSSEC neu

Jetzt müssen Sie nur noch OSSEC neu starten. Dies muss jedes Mal erfolgen, wenn Sie die OSSEC-Dateien ändern. So starten Sie OSSEC neu: 

/var/ossec/bin/ossec-control restart

Wenn alles richtig funktioniert, sollten Sie eine E-Mail von OSSEC erhalten, die Sie darüber informiert, dass es (neu) gestartet wurde.

[[Schritt-5 -—- Trigger-File-Change-Alerts]] == Schritt 5 - Trigger File Change Alerts

Und je nachdem, was in den Verzeichnissen passiert, für deren Überwachung OSSEC konfiguriert wurde, sollten Sie E-Mails erhalten, die ungefähr so ​​lauten:

Versuchen Sie nun, eine Beispieldatei in/home/sammy zu erstellen 

touch /home/sammy/index.html

Warte eine Minute. Fügen Sie einige Inhalte hinzu: 

nano /home/sammy/index.html

Warte eine Minute. Löschen Sie die Datei: 

rm /home/sammy/index.html

Sie sollten Benachrichtigungen wie diese erhalten: 

OSSEC HIDS Notification.
2014 Nov 30 18:03:51

Received From: ossec2->syscheck
Rule: 550 fired (level 7) -> "Integrity checksum changed."
Portion of the log(s):

Integrity checksum changed for: '/home/sammy/index.html'
Size changed from '21' to '46'
What changed:
1c1,4
< This is an html file
---

     
This is an html file


Old md5sum was: '4473d6ada73de51b5b36748627fa119b'
New md5sum is : 'ef36c42cd7014de95680d656dec62de9'
Old sha1sum was: '96bd9d685a7d23b20abd7d8231bb215521bcdb6c'
New sha1sum is : '5ab0f31c32077a23c71c18018a374375edcd0b90'

Oder dieses: 

OSSEC HIDS Notification.
2014 Dec 01 10:13:31

Received From: ossec2->syscheck
Rule: 554 fired (level 7) -> "File added to the system."
Portion of the log(s):

New file '/var/www/header.html' added to the file system.

Note: OSSEC sendet keine Echtzeitwarnungen zum Hinzufügen von Dateien, sondern nur zum Ändern und Löschen von Dateien. Warnungen zu Dateizusätzen werden nach einer vollständigen Systemprüfung ausgegeben, die durch die Frequenzprüfzeit inossec.conf bestimmt wird. 

nano /var/ossec/etc/ossec.conf

Einstellung fürfrequency: 


    
    79200

Wenn Sie keine E-Mails erhalten, überprüfen Sie Ihren Spam, Ihre/var/ossec/logs/ossec.log, Ihre E-Mail-Protokolle usw.

Fazit

Ich hoffe, dies hat Ihnen einen Vorgeschmack auf das gegeben, was OSSEC zu bieten hat. Weiterführende Setups und Konfigurationen sind möglich. Machen Sie sich also mit zukünftigen Artikeln über die Bereitstellung von OSSEC zur Überwachung und zum Schutz Ihrer Server vertraut.

Weitere Informationen zu OSSEC finden Sie auf der Projektwebsite unterhttp://www.ossec.net/.

Related