TOC

So richten Sie eine lokale OSSEC-Installation unter Fedora ein 21

Einführung

OSSEC ist ein Open-Source-Host-basiertes Intrusion Detection-System (HIDS), das Protokollanalysen, Integritätsprüfungen, die Überwachung der Windows-Registrierung, die Erkennung von Rootkits, zeitbasierte Warnungen und aktive Reaktionen durchführt. Es ist die Anwendung, die auf Ihrem Server installiert werden muss, wenn Sie ein Auge darauf haben möchten, was darin geschieht.

OSSEC kann installiert werden, um nur den Server zu überwachen, auf dem es installiert ist. Dies ist eine lokale Installation im OSSEC-Sprachgebrauch. Sie können auch als Server installiert werden, um einen oder mehrere Agenten zu überwachen. In diesem Tutorial erfahren Sie, wie Sie OSSEC installieren, um den Fedora 21- oder RHEL-Server zu überwachen, auf dem es installiert ist: eine lokale OSSEC-Installation.

Voraussetzungen

Um dieses Tutorial abzuschließen, benötigen Sie:

  • Fedora 21-Droplet, das Sie eingerichtet haben, indem Siethis tutorial folgen.

Dieses Tutorial sollte als Benutzer ohne Rootberechtigung von sudo befolgt werden.

[[Schritt-1 - Installieren der erforderlichen Pakete]] == Schritt 1 - Installieren der erforderlichen Pakete

In diesem Abschnitt installieren Sie einige erforderliche Pakete.

Installieren Sie insbesonderebind-utils,gcc,make undinotify-tools mit dem folgenden Befehl. 

sudo yum install -y bind-utils gcc make inotify-tools

bind-utils bietet DNS-Dienstprogramme (Domain Name System),gcc undmake werden vom OSSEC-Installationsprogramm verwendet, undinotify-tools wird von OSSEC für Echtzeitbenachrichtigungen benötigt.

[[Schritt 2 - Herunterladen und Überprüfen von Ossec]] == Schritt 2 - Herunterladen und Überprüfen von OSSEC

OSSEC wird als komprimierter Tarball ausgeliefert. In diesem Schritt laden Sie es und seine Prüfsummendatei herunter, um sicherzustellen, dass der Tarball nicht manipuliert wurde.

Sie könnenproject’s website auf die neueste Version überprüfen. Zum Zeitpunkt dieses Schreibens istOSSEC 2.8.1 die neueste stabile Version.

Laden Sie zuerst den Tarball herunter. 

wget -U ossec http://www.ossec.net/files/ossec-hids-2.8.1.tar.gz

Laden Sie dann die Prüfsummendatei herunter. 

wget -U ossec http://www.ossec.net/files/ossec-hids-2.8.1-checksum.txt

Überprüfen Sie nach dem Herunterladen beider Dateien die MD5-Summe des komprimierten Tarballs. 

md5sum -c ossec-hids-2.8.1-checksum.txt

Die Ausgabe sollte sein: 

ossec-hids-2.8.1.tar.gz: OK
md5sum: WARNING: 1 line is improperly formatted

Überprüfen Sie anschließend die SHA1-Prüfsumme. 

sha1sum -c ossec-hids-2.8.1-checksum.txt

Seine Ausgabe sollte sein: 

ossec-hids-2.8.1.tar.gz: OK
sha1sum: WARNING: 1 line is improperly formatted

Ignorieren Sie in jedem Fall die ZeileWARNING. Die ZeileOKbestätigt, dass die Datei gut ist.

[[Schritt 3 - Finden Ihres SMTP-Servers]] == Schritt 3 - Suchen Ihres SMTP-Servers

Wenn Sie während der Installation von OSSEC E-Mail-Benachrichtigungen einrichten, werden Sie von OSSEC nach Ihrem SMTP-Server gefragt. In diesem Schritt werden wir diese Informationen herausfinden.

Um den richtigen SMTP-Server für Ihren E-Mail-Dienstanbieter zu ermitteln, können Sie mit dem Befehldigdie MX-Ressourceneinträge (Mail Exchange) des Anbieters abfragen. Geben Sie den folgenden Befehl ein und ersetzen Sieexample.com durch den Domainnamen Ihres E-Mail-Anbieters: 

dig -t mx example.com

Die Ausgabe besteht aus mehreren Abschnitten, aber wir interessieren uns nur für den AbschnittANSWER, der eine oder mehrere Zeilen enthält. Am Ende jeder Zeile steht der zu verwendende SMTP-Server.

Wenn Sie den Befehl beispielsweise mitfastmail.com ausführen: 

dig -t mx fastmail.com

Die gültigen SMTP-Server für den Anbieter befinden sich am Ende jeder Auflistung im Abschnitt ANTWORT. Dieser sollte lauten: 

;; ANSWER SECTION:
fastmail.com.           3600    IN      MX      10 in1-smtp.messagingengine.com.
fastmail.com.           3600    IN      MX      20 in2-smtp.messagingengine.com.

In diesem Beispiel können Sie entwederin1-smtp.messagingengine.com. oderin2-smtp.messagingengine.com. als SMTP-Server verwenden.

Kopieren Sie einen der SMTP-Server von Ihrem E-Mail-Anbieter und speichern Sie ihn, um ihn im nächsten Schritt einzugeben. Stellen Sie sicher, dass am Ende auch. (Punkt) angegeben werden.

[[Schritt-4 -—- Installation von -sssec]] == Schritt 4 - Installation von OSSEC

In diesem Schritt installieren wir OSSEC.

Bevor Sie mit der Installation beginnen, entpacken Sie sie mit: 

tar xf ossec-hids-2.8.1.tar.gz

Es wird in ein Verzeichnis namensossec-hids-2.8.1 entpackt. Wechseln Sie in dieses Verzeichnis. 

cd ossec-hids-2.8.1

Starten Sie dann die Installation. 

sudo ./install.sh

Während des gesamten Installationsvorgangs werden Sie aufgefordert, Eingaben zu machen. In den meisten Fällen müssen Sie nurENTER drücken, um den Standardwert zu akzeptieren.

Sie werden zuerst aufgefordert, die Installationssprache auszuwählen. Standardmäßig ist es Englisch (en). Drücken Sie alsoENTER, wenn dies Ihre bevorzugte Sprache ist. Andernfalls geben Sie die 2 Buchstaben aus der Liste der unterstützten Sprachen ein. Drücken Sie dann erneutENTER, um die Installation zu starten.

Frage 1 wird fragen, welche Art von Installation Sie wünschen. Geben Sie hierlocal ein. 

1- What kind of installation do you want (server, agent, local, hybrid or help)? local

Drücken Sie bei allen folgenden FragenENTER, um die Standardeinstellung zu übernehmen. In Frage 3.1 werden Sie zusätzlich aufgefordert, Ihre E-Mail-Adresse einzugeben und anschließend nach der IP / Host-Adresse Ihres SMTP-Servers zu fragen. Geben Sie hier Ihre E-Mail-Adresse und den SMTP-Server ein, den Sie in Schritt 3 gespeichert haben.

Wenn die Installation erfolgreich ist, sollten Sie am Ende diese Ausgabe sehen: 

 - Configuration finished properly.

...

    More information can be found at http://www.ossec.net

    ---  Press ENTER to finish (maybe more information below). ---

Drücken SieENTER, um die Installation abzuschließen.

[[Schritt 5 - Überprüfen der Ossec-39-s-E-Mail-Einstellungen]] == Schritt 5 - Überprüfen der E-Mail-Einstellungen von OSSEC

Hier überprüfen wir, ob die im vorherigen Schritt angegebenen und die von OSSEC automatisch konfigurierten E-Mail-Anmeldeinformationen korrekt sind.

Die E-Mail-Einstellungen befinden sich in der Hauptkonfigurationsdatei von OSSEC,ossec.conf, die sich im Verzeichnis/var/ossec/etcbefindet. Um auf eine OSSEC-Datei zuzugreifen und diese zu ändern, müssen Sie zuerst zum Root-Benutzer wechseln. 

sudo su

Jetzt, da Sie root sind, befindet sichcdin dem Verzeichnis, in dem sich die OSSEC-Konfigurationsdatei befindet. 

cd /var/ossec/etc

Erstellen Sie zunächst eine Sicherungskopie dieser Datei. 

cp ossec.conf ossec.conf.00

Öffnen Sie dann die Originaldatei. Hier verwenden wir den Texteditor vonnano, Sie können jedoch einen beliebigen Texteditor verwenden. 

nano ossec.conf

Die E-Mail-Einstellungen befinden sich oben in der Datei. Hier finden Sie Beschreibungen der Felder.

  • <email_to> ist die E-Mail, die Sie während der Installation angegeben haben. Benachrichtigungen werden an diese E-Mail-Adresse gesendet.

  • In<email_from> scheinen die OSSEC-Warnungen zu stammen. Ändern Sie dies in eine gültige E-Mail-Adresse, um die Wahrscheinlichkeit zu verringern, dass Ihre E-Mails vom SMTP-Server Ihres E-Mail-Anbieters als Spam gekennzeichnet werden.

  • <smtp_server> ist der SMTP-Server, den Sie beim Setup angegeben haben.

Beachten Sie, dass<email_to> und<email_from> identisch sein können. Wenn Sie einen eigenen E-Mail-Server auf demselben Host wie der OSSEC-Server haben, können Sie die Einstellung<smtp_server> inlocalhost ändern .

So sieht dieser Abschnitt aus, wenn Sie fertig sind. 


    yes
    [email protected]
    mail.example.com.
    [email protected]

Speichern und schließen Sie die Datei, nachdem Sie die E-Mail-Einstellungen geändert haben. Dann starten Sie OSSEC. 

/var/ossec/bin/ossec-control start

Überprüfen Sie Ihren Posteingang auf eine E-Mail, die besagt, dass OSSEC gestartet wurde. Wenn Sie eine E-Mail von Ihrer OSSEC-Installation erhalten, wissen Sie, dass zukünftige Warnungen auch in Ihrem Posteingang ankommen. Wenn Sie dies nicht tun, überprüfen Sie Ihren Spam-Ordner.

[[Schritt-6 - Hinzufügen von Warnungen]] == Schritt 6 - Hinzufügen von Warnungen

Standardmäßig gibt OSSEC Warnungen zu Dateiänderungen und anderen Aktivitäten auf dem Server aus, aber keine Warnungen zu neuen Dateien und auch keine Warnungen in Echtzeit - erst nach dem geplanten System-Scan, der 79200 Sekunden (oder 22 Stunden) beträgt ) standardmäßig. In diesem Abschnitt werden Warnungen zu Dateizugriffen in Echtzeit hinzugefügt.

Öffnen Sie zunächstossec.conf. 

nano ossec.conf

Scrollen Sie dann nach unten zum Abschnitt<syscheck>, der mit diesem Text beginnt: 


    
    79200

Fügen Sie direkt unter dem Tag<frequency><alert_new_files>yes</alert_new_files> hinzu. 


    
    79200

    yes

Während Sie nochossec.conf geöffnet haben, sehen Sie sich die Liste der Systemverzeichnisse an, die OSSEC überwacht. Sie befindet sich direkt unter der letzten Zeile, die Sie gerade geändert haben. Es sollte lauten: 


/etc,/usr/bin,/usr/sbin
/bin,/sbin

Fügen Sie für jede Liste von Verzeichnissen die Optionenreport_changes="yes" undrealtime="yes" hinzu. Nachdem die Änderungen vorgenommen wurden, sollte der Abschnitt lauten: 


/etc,/usr/bin,/usr/sbin
/bin,/sbin

Neben der Standardliste der Verzeichnisse, für deren Überwachung OSSEC konfiguriert wurde, können Sie auch alle zu überwachenden Verzeichnisse hinzufügen. Beispielsweise können Sie die Überwachung für Ihr Ausgangsverzeichnis/home/sammy hinzufügen. Fügen Sie dazu diese neue Zeile direkt unter anderen Verzeichniszeilen ein und ersetzen Sie sie durch Ihren Benutzernamen: 

/home/sammy

Speichern und schließen Sie nunossec.conf.

Die nächste zu ändernde Datei befindet sich im Verzeichnis/var/ossec/rules. Wechseln Sie also in dieses Verzeichnis. 

cd /var/ossec/rules

Das Verzeichnis/var/ossec/rules enthält viele XML-Dateien, einschließlichossec_rules.xml, das die Standardregeldefinitionen von OSSEC enthält, undlocal_rules.xml, in dem Sie benutzerdefinierte Regeln hinzufügen können. local_rules.xml ist die einzige Datei, die Sie in diesem Verzeichnis bearbeiten sollten.

Inossec_rules.xml lautet die Regel 554, die ausgelöst wird, wenn eine Datei zu einem überwachten Verzeichnis hinzugefügt wird. Standardmäßig sendet OSSEC keine Warnungen, wenn diese Regel ausgelöst wird. Daher besteht die Aufgabe hier darin, dieses Verhalten zu ändern. So sieht Regel 554 standardmäßig aus: 


ossec
syscheck_new_entry
File added to the system.
syscheck,

OSSEC sendet keine Warnung, wenn eine Regel auf Stufe 0 festgelegt ist. Daher kopieren wir diese Regel nachlocal_rules.xml und ändern sie, um eine Warnung auszulösen. Öffnen Sie dazulocal_rules.xml. 

nano local_rules.xml

Fügen Sie am Ende der Datei vor der Zeile mit dem Tag</group>Folgendes hinzu. 


ossec
syscheck_new_entry
File added to the system.
syscheck,

Speichern und schließen Sie die Datei. Starten Sie nun OSSEC neu, um die bearbeiteten Dateien neu zu laden. 

/var/ossec/bin/ossec-control restart

Sie sollten jetzt Warnungen von OSSEC zu überwachten Verzeichnissen und Protokolldateien erhalten.

Fazit

Jetzt haben Sie eine grundlegende lokale OSSEC-Installation eingerichtet. Es stehen viele weitere Anpassungen zur Verfügung, die Sie inits official documentation untersuchen können.

Eine Idee zum Installieren von OSSEC in einem Client-Server- oder Server-Agent-Modus (anstelle des lokalen Modus) finden Sie unterHow To Monitor OSSEC Agents Using an OSSEC Server on Ubuntu 14.04.

Related