Einführung
OSSEC ist ein Open-Source-Host-basiertes Intrusion-Detection-System (HIDS), das Protokollanalysen, Integritätsprüfungen, die Überwachung der Windows-Registrierung, die Erkennung von Rootkits, zeitbasierte Warnungen und aktive Reaktionen durchführt. Es kann installiert werden, um einen einzelnen Server oder Tausende von Servern zu überwachen.
Dieses Tutorial zeigt, wie eine Installation von OSSEC 2.8.1 auf die neueste Version OSSEC 2.8.2 aktualisiert wird, die einen kürzlich entdeckten Fehler behebt.
Voraussetzungen
-
Ein Droplet, auf dem bereits OSSEC 2.8.1 ausgeführt wird. Es wurde gemäß unseren Anleitungen für https://www.digitalocean.com/community/tutorials/how-to-install-and-configure-ossec-security-notifications-on-ubuntu-14 eingerichtet -04 [Ubuntu 14.04], Debian 8 oder https: //www.digitalocean.com/community/tutorials/installationsanleitung-auf-fedora-21[Fedora 21].
Wenn Sie OSSEC 2.8.1 unter FreeBSD 10.1 mithilfe von this tutorial installiert haben, haben Sie Sie können das Upgrade problemlos mit dem Paket-Manager dieser Distribution durchführen und müssen diese Anleitung nicht befolgen.
Schritt 1 - Herunterladen und Überprüfen von OSSEC 2.8.2
Der erste Schritt zum Aktualisieren von OSSEC besteht im Herunterladen des Tarballs und seiner Prüfsummendatei, mit der überprüft wird, ob der Tarball nicht gefährdet wurde.
Laden Sie zuerst den neuen Tarball herunter.
wget -U ossec http://www.ossec.net/files/ossec-hids-2.8.2.tar.gzLaden Sie dann die Prüfsummendatei herunter.
wget -U ossec http://www.ossec.net/files/ossec-hids-2.8.2-checksum.txtÜberprüfen Sie zunächst die MD5-Prüfsumme, um sicherzustellen, dass der Tarball nicht beeinträchtigt wurde.
md5sum -c ossec-hids-2.8.2-checksum.txtDie Ausgabe sollte sein:
md5sum Ausgabe
ossec-hids-2.8.2.tar.gz: OK
md5sum: WARNING: 1 line is improperly formattedÜberprüfen Sie anschließend die SHA1-Prüfsumme.
sha1sum -c ossec-hids-2.8.2-checksum.txtDie erwartete Ausgabe ist:
sha1sum Ausgang
ossec-hids-2.8.2.tar.gz: OK
sha1sum: WARNING: 1 line is improperly formattedSchritt 2 - Beheben eines Fehlers
Obwohl OSSEC 2.8.2 einen Sicherheitsfehler behoben hat, hat es keinen langjährigen Fehler behoben, der dazu führte, dass OSSEC den Inhalt der Datei "+ / etc / hosts.deny +" überschrieb. Das Update dafür muss manuell angewendet werden, bevor das Upgrade gestartet wird. Und das Update beinhaltet das Bearbeiten einer Datei im neu heruntergeladenen Tarball.
Das heißt, wir müssen zuerst den Tarball auspacken.
tar xf ossec-hids-2.8.2.tar.gzEs sollte in ein Verzeichnis entpackt werden, dessen Name die Versionsnummer des Programms enthält. Ändern Sie (+ cd +) in dieses Verzeichnis.
cd ossec-hids-2.8.2Die zu bearbeitende Datei "+ host-deny.she" befindet sich im Verzeichnis "+ active-response in". Öffnen Sie es also mit:
nano active-response/host-deny.shSuchen Sie am Ende der Datei nach zwei Zeilen im Code, die mit * TMP_FILE = * beginnen, unter dem * # Deleting from hosts.deny comment *. Bearbeiten Sie beide Zeilen, um die Leerzeichen auf beiden Seiten des Zeichens * = * zu entfernen, sodass der Codeblock so aussieht.
Modifizierter host-deny.sh Codeblock
# Deleting from hosts.deny
elif [ "x${ACTION}" = "xdelete" ]; then
lock;
if [ "X${TMP_FILE}" = "X" ]; then
# Cheap fake tmpfile, but should be harder then no random data
fiSpeichern und schließen Sie die Datei.
Schritt 3 - Upgrade von OSSEC 2.8.1
Jetzt können wir das Upgrade starten.
sudo ./install.shSie werden aufgefordert, die Installationssprache auszuwählen. Drücken Sie * ENTER *, um die Standardeinstellung zu akzeptieren, oder geben Sie den 2-Buchstaben-Code ein, der Ihre bevorzugte Sprache darstellt, und drücken Sie dann * ENTER *. Wenn Sie den Anweisungen auf dem Bildschirm folgen, werden Ihnen zu einem bestimmten Zeitpunkt zwei einfache Fragen gestellt. Geben Sie jeweils Folgendes ein und drücken Sie * ENTER *.
OSSEC-Fragenansagen
- You already have OSSEC installed. Do you want to update it? (y/n):
- Do you want to update the rules? (y/n):Der Upgrade-Vorgang sollte ungefähr zwei Minuten dauern. Das Installationsprogramm stoppt und startet OSSEC am Ende neu. Sie sollten eine E-Mail erhalten, in der bestätigt wird, dass OSSEC neu gestartet wurde.
Sie können dies überprüfen, indem Sie den OSSEC-Status abfragen.
sudo /var/ossec/bin/ossec-control statusDie Ausgabe sollte anzeigen, dass alle Prozesse * laufen *.
Fazit
Durch Befolgen dieser einfachen Schritte haben Sie gerade OSSEC 2.8.1 auf OSSEC 2.8.2 aktualisiert.