Einführung
OSSEC ist ein Open-Source-Host-basiertes Intrusion Detection-System (HIDS), das Protokollanalysen, Integritätsprüfungen, die Überwachung der Windows-Registrierung, die Erkennung von Rootkits, zeitbasierte Warnungen und aktive Reaktionen durchführt. Es ist die Anwendung, die auf Ihrem Server installiert werden muss, wenn Sie ein Auge darauf haben möchten, was darin geschieht.
OSSEC kann installiert werden, um nur den Server zu überwachen, auf dem es installiert ist. Dies ist eine lokale Installation im OSSEC-Sprachgebrauch. Sie können auch als Server installiert werden, um einen oder mehrere Agenten zu überwachen. In diesem Tutorial erfahren Sie, wie Sie OSSEC installieren, um den Fedora 21- oder RHEL-Server zu überwachen, auf dem es installiert ist: eine lokale OSSEC-Installation.
Voraussetzungen
Um dieses Tutorial abzuschließen, benötigen Sie:
-
Fedora 21-Droplet, das Sie eingerichtet haben, indem Siethis tutorial folgen.
Dieses Tutorial sollte als Benutzer ohne Rootberechtigung von sudo befolgt werden.
[[Schritt-1 - Installieren der erforderlichen Pakete]] == Schritt 1 - Installieren der erforderlichen Pakete
In diesem Abschnitt installieren Sie einige erforderliche Pakete.
Installieren Sie insbesonderebind-utils
,gcc
,make
undinotify-tools
mit dem folgenden Befehl.
sudo yum install -y bind-utils gcc make inotify-tools
bind-utils
bietet DNS-Dienstprogramme (Domain Name System),gcc
undmake
werden vom OSSEC-Installationsprogramm verwendet, undinotify-tools
wird von OSSEC für Echtzeitbenachrichtigungen benötigt.
[[Schritt 2 - Herunterladen und Überprüfen von Ossec]] == Schritt 2 - Herunterladen und Überprüfen von OSSEC
OSSEC wird als komprimierter Tarball ausgeliefert. In diesem Schritt laden Sie es und seine Prüfsummendatei herunter, um sicherzustellen, dass der Tarball nicht manipuliert wurde.
Sie könnenproject’s website auf die neueste Version überprüfen. Zum Zeitpunkt dieses Schreibens istOSSEC 2.8.1
die neueste stabile Version.
Laden Sie zuerst den Tarball herunter.
wget -U ossec http://www.ossec.net/files/ossec-hids-2.8.1.tar.gz
Laden Sie dann die Prüfsummendatei herunter.
wget -U ossec http://www.ossec.net/files/ossec-hids-2.8.1-checksum.txt
Überprüfen Sie nach dem Herunterladen beider Dateien die MD5-Summe des komprimierten Tarballs.
md5sum -c ossec-hids-2.8.1-checksum.txt
Die Ausgabe sollte sein:
ossec-hids-2.8.1.tar.gz: OK
md5sum: WARNING: 1 line is improperly formatted
Überprüfen Sie anschließend die SHA1-Prüfsumme.
sha1sum -c ossec-hids-2.8.1-checksum.txt
Seine Ausgabe sollte sein:
ossec-hids-2.8.1.tar.gz: OK
sha1sum: WARNING: 1 line is improperly formatted
Ignorieren Sie in jedem Fall die ZeileWARNING. Die ZeileOKbestätigt, dass die Datei gut ist.
[[Schritt 3 - Finden Ihres SMTP-Servers]] == Schritt 3 - Suchen Ihres SMTP-Servers
Wenn Sie während der Installation von OSSEC E-Mail-Benachrichtigungen einrichten, werden Sie von OSSEC nach Ihrem SMTP-Server gefragt. In diesem Schritt werden wir diese Informationen herausfinden.
Um den richtigen SMTP-Server für Ihren E-Mail-Dienstanbieter zu ermitteln, können Sie mit dem Befehldig
die MX-Ressourceneinträge (Mail Exchange) des Anbieters abfragen. Geben Sie den folgenden Befehl ein und ersetzen Sieexample.com
durch den Domainnamen Ihres E-Mail-Anbieters:
dig -t mx example.com
Die Ausgabe besteht aus mehreren Abschnitten, aber wir interessieren uns nur für den AbschnittANSWER, der eine oder mehrere Zeilen enthält. Am Ende jeder Zeile steht der zu verwendende SMTP-Server.
Wenn Sie den Befehl beispielsweise mitfastmail.com
ausführen:
dig -t mx fastmail.com
Die gültigen SMTP-Server für den Anbieter befinden sich am Ende jeder Auflistung im Abschnitt ANTWORT. Dieser sollte lauten:
;; ANSWER SECTION:
fastmail.com. 3600 IN MX 10 in1-smtp.messagingengine.com.
fastmail.com. 3600 IN MX 20 in2-smtp.messagingengine.com.
In diesem Beispiel können Sie entwederin1-smtp.messagingengine.com.
oderin2-smtp.messagingengine.com.
als SMTP-Server verwenden.
Kopieren Sie einen der SMTP-Server von Ihrem E-Mail-Anbieter und speichern Sie ihn, um ihn im nächsten Schritt einzugeben. Stellen Sie sicher, dass am Ende auch. (Punkt) angegeben werden.
[[Schritt-4 -—- Installation von -sssec]] == Schritt 4 - Installation von OSSEC
In diesem Schritt installieren wir OSSEC.
Bevor Sie mit der Installation beginnen, entpacken Sie sie mit:
tar xf ossec-hids-2.8.1.tar.gz
Es wird in ein Verzeichnis namensossec-hids-2.8.1
entpackt. Wechseln Sie in dieses Verzeichnis.
cd ossec-hids-2.8.1
Starten Sie dann die Installation.
sudo ./install.sh
Während des gesamten Installationsvorgangs werden Sie aufgefordert, Eingaben zu machen. In den meisten Fällen müssen Sie nurENTER drücken, um den Standardwert zu akzeptieren.
Sie werden zuerst aufgefordert, die Installationssprache auszuwählen. Standardmäßig ist es Englisch (en). Drücken Sie alsoENTER, wenn dies Ihre bevorzugte Sprache ist. Andernfalls geben Sie die 2 Buchstaben aus der Liste der unterstützten Sprachen ein. Drücken Sie dann erneutENTER, um die Installation zu starten.
Frage 1 wird fragen, welche Art von Installation Sie wünschen. Geben Sie hierlocal ein.
1- What kind of installation do you want (server, agent, local, hybrid or help)? local
Drücken Sie bei allen folgenden FragenENTER, um die Standardeinstellung zu übernehmen. In Frage 3.1 werden Sie zusätzlich aufgefordert, Ihre E-Mail-Adresse einzugeben und anschließend nach der IP / Host-Adresse Ihres SMTP-Servers zu fragen. Geben Sie hier Ihre E-Mail-Adresse und den SMTP-Server ein, den Sie in Schritt 3 gespeichert haben.
Wenn die Installation erfolgreich ist, sollten Sie am Ende diese Ausgabe sehen:
- Configuration finished properly.
...
More information can be found at http://www.ossec.net
--- Press ENTER to finish (maybe more information below). ---
Drücken SieENTER, um die Installation abzuschließen.
[[Schritt 5 - Überprüfen der Ossec-39-s-E-Mail-Einstellungen]] == Schritt 5 - Überprüfen der E-Mail-Einstellungen von OSSEC
Hier überprüfen wir, ob die im vorherigen Schritt angegebenen und die von OSSEC automatisch konfigurierten E-Mail-Anmeldeinformationen korrekt sind.
Die E-Mail-Einstellungen befinden sich in der Hauptkonfigurationsdatei von OSSEC,ossec.conf
, die sich im Verzeichnis/var/ossec/etc
befindet. Um auf eine OSSEC-Datei zuzugreifen und diese zu ändern, müssen Sie zuerst zum Root-Benutzer wechseln.
sudo su
Jetzt, da Sie root sind, befindet sichcd
in dem Verzeichnis, in dem sich die OSSEC-Konfigurationsdatei befindet.
cd /var/ossec/etc
Erstellen Sie zunächst eine Sicherungskopie dieser Datei.
cp ossec.conf ossec.conf.00
Öffnen Sie dann die Originaldatei. Hier verwenden wir den Texteditor vonnano
, Sie können jedoch einen beliebigen Texteditor verwenden.
nano ossec.conf
Die E-Mail-Einstellungen befinden sich oben in der Datei. Hier finden Sie Beschreibungen der Felder.
-
<email_to> ist die E-Mail, die Sie während der Installation angegeben haben. Benachrichtigungen werden an diese E-Mail-Adresse gesendet.
-
In<email_from> scheinen die OSSEC-Warnungen zu stammen. Ändern Sie dies in eine gültige E-Mail-Adresse, um die Wahrscheinlichkeit zu verringern, dass Ihre E-Mails vom SMTP-Server Ihres E-Mail-Anbieters als Spam gekennzeichnet werden.
-
<smtp_server> ist der SMTP-Server, den Sie beim Setup angegeben haben.
Beachten Sie, dass<email_to> und<email_from> identisch sein können. Wenn Sie einen eigenen E-Mail-Server auf demselben Host wie der OSSEC-Server haben, können Sie die Einstellung<smtp_server> inlocalhost ändern .
So sieht dieser Abschnitt aus, wenn Sie fertig sind.
yes
[email protected]
mail.example.com.
[email protected]
Speichern und schließen Sie die Datei, nachdem Sie die E-Mail-Einstellungen geändert haben. Dann starten Sie OSSEC.
/var/ossec/bin/ossec-control start
Überprüfen Sie Ihren Posteingang auf eine E-Mail, die besagt, dass OSSEC gestartet wurde. Wenn Sie eine E-Mail von Ihrer OSSEC-Installation erhalten, wissen Sie, dass zukünftige Warnungen auch in Ihrem Posteingang ankommen. Wenn Sie dies nicht tun, überprüfen Sie Ihren Spam-Ordner.
[[Schritt-6 - Hinzufügen von Warnungen]] == Schritt 6 - Hinzufügen von Warnungen
Standardmäßig gibt OSSEC Warnungen zu Dateiänderungen und anderen Aktivitäten auf dem Server aus, aber keine Warnungen zu neuen Dateien und auch keine Warnungen in Echtzeit - erst nach dem geplanten System-Scan, der 79200 Sekunden (oder 22 Stunden) beträgt ) standardmäßig. In diesem Abschnitt werden Warnungen zu Dateizugriffen in Echtzeit hinzugefügt.
Öffnen Sie zunächstossec.conf
.
nano ossec.conf
Scrollen Sie dann nach unten zum Abschnitt<syscheck>, der mit diesem Text beginnt:
79200
Fügen Sie direkt unter dem Tag<frequency><alert_new_files>yes</alert_new_files>
hinzu.
79200
yes
Während Sie nochossec.conf
geöffnet haben, sehen Sie sich die Liste der Systemverzeichnisse an, die OSSEC überwacht. Sie befindet sich direkt unter der letzten Zeile, die Sie gerade geändert haben. Es sollte lauten:
/etc,/usr/bin,/usr/sbin
/bin,/sbin
Fügen Sie für jede Liste von Verzeichnissen die Optionenreport_changes="yes"
undrealtime="yes"
hinzu. Nachdem die Änderungen vorgenommen wurden, sollte der Abschnitt lauten:
/etc,/usr/bin,/usr/sbin
/bin,/sbin
Neben der Standardliste der Verzeichnisse, für deren Überwachung OSSEC konfiguriert wurde, können Sie auch alle zu überwachenden Verzeichnisse hinzufügen. Beispielsweise können Sie die Überwachung für Ihr Ausgangsverzeichnis/home/sammy
hinzufügen. Fügen Sie dazu diese neue Zeile direkt unter anderen Verzeichniszeilen ein und ersetzen Sie sie durch Ihren Benutzernamen:
/home/sammy
Speichern und schließen Sie nunossec.conf
.
Die nächste zu ändernde Datei befindet sich im Verzeichnis/var/ossec/rules
. Wechseln Sie also in dieses Verzeichnis.
cd /var/ossec/rules
Das Verzeichnis/var/ossec/rules
enthält viele XML-Dateien, einschließlichossec_rules.xml
, das die Standardregeldefinitionen von OSSEC enthält, undlocal_rules.xml
, in dem Sie benutzerdefinierte Regeln hinzufügen können. local_rules.xml
ist die einzige Datei, die Sie in diesem Verzeichnis bearbeiten sollten.
Inossec_rules.xml
lautet die Regel 554, die ausgelöst wird, wenn eine Datei zu einem überwachten Verzeichnis hinzugefügt wird. Standardmäßig sendet OSSEC keine Warnungen, wenn diese Regel ausgelöst wird. Daher besteht die Aufgabe hier darin, dieses Verhalten zu ändern. So sieht Regel 554 standardmäßig aus:
ossec
syscheck_new_entry
File added to the system.
syscheck,
OSSEC sendet keine Warnung, wenn eine Regel auf Stufe 0 festgelegt ist. Daher kopieren wir diese Regel nachlocal_rules.xml
und ändern sie, um eine Warnung auszulösen. Öffnen Sie dazulocal_rules.xml
.
nano local_rules.xml
Fügen Sie am Ende der Datei vor der Zeile mit dem Tag</group>
Folgendes hinzu.
ossec
syscheck_new_entry
File added to the system.
syscheck,
Speichern und schließen Sie die Datei. Starten Sie nun OSSEC neu, um die bearbeiteten Dateien neu zu laden.
/var/ossec/bin/ossec-control restart
Sie sollten jetzt Warnungen von OSSEC zu überwachten Verzeichnissen und Protokolldateien erhalten.
Fazit
Jetzt haben Sie eine grundlegende lokale OSSEC-Installation eingerichtet. Es stehen viele weitere Anpassungen zur Verfügung, die Sie inits official documentation untersuchen können.
Eine Idee zum Installieren von OSSEC in einem Client-Server- oder Server-Agent-Modus (anstelle des lokalen Modus) finden Sie unterHow To Monitor OSSEC Agents Using an OSSEC Server on Ubuntu 14.04.