Comment mettre à niveau OSSEC 2.8.1 à OSSEC 2.8.2

introduction

OSSEC est un système de détection d’intrusion (HIDS) à source ouverte basé sur l’hôte qui effectue l’analyse des journaux, la vérification de l’intégrité, la surveillance du registre Windows, la détection de rootkit, les alertes en fonction du temps et les réponses actives. Il peut être installé pour surveiller un seul serveur ou des milliers de serveurs.

Ce tutoriel explique comment mettre à niveau une installation d’OSSEC 2.8.1 vers la dernière version, OSSEC 2.8.2, qui corrige un bogue récemment découvert.

Conditions préalables

Droplet exécutant déjà OSSEC 2.8.1, configuré à la suite de nos tutoriels pour https://www.digitalocean.com/community/tutorials/how-to-install-and-configure-ossec-security-notifications-on-ubuntu-14 -04 [Ubuntu 14.04], Debian 8, ou https: //www.digitalocean.com/community/tutorials/how-to-set-up-a-local-ossec-installation-on-fedora-21[Fedora 21].

Si vous avez installé OSSEC 2.8.1 sur FreeBSD 10.1 en utilisant ce tutoriel, vous pouvez facilement effectuer la mise à niveau à l’aide du gestionnaire de paquets de cette distribution, sans avoir à suivre ce guide.

Étape 1 - Télécharger et vérifier OSSEC 2.8.2

La première étape de la mise à niveau d’OSSEC consiste à télécharger l’archive tar et son fichier de somme de contrôle, qui seront utilisés pour vérifier que l’archive n’a pas été compromise.

Tout d’abord, téléchargez la nouvelle archive.

wget -U ossec http://www.ossec.net/files/ossec-hids-2.8.2.tar.gz

Ensuite, téléchargez le fichier de contrôle.

wget -U ossec http://www.ossec.net/files/ossec-hids-2.8.2-checksum.txt

Pour vérifier que l’archive n’a pas été compromise, vérifiez d’abord la somme de contrôle MD5.

md5sum -c ossec-hids-2.8.2-checksum.txt

Le résultat devrait être:

sortie md5sum

ossec-hids-2.8.2.tar.gz: OK
md5sum: WARNING: 1 line is improperly formatted

Ensuite, vérifiez la somme de contrôle SHA1.

sha1sum -c ossec-hids-2.8.2-checksum.txt

Le résultat attendu est:

sortie sha1sum

ossec-hids-2.8.2.tar.gz: OK
sha1sum: WARNING: 1 line is improperly formatted

Étape 2 - Correction d’un bug

Bien que OSSEC 2.8.2 ait corrigé un bogue de sécurité, il ne traitait pas d’un bogue de longue date qui faisait qu’OSSSEC écrase le contenu du fichier + / etc / hosts.deny +. Le correctif doit être appliqué manuellement avant de lancer la mise à niveau. Et le correctif implique la modification d’un fichier dans la nouvelle archive téléchargée.

Cela signifie que nous devons d’abord déballer l’archive.

tar xf ossec-hids-2.8.2.tar.gz

Il doit être décompressé dans un répertoire dont le nom comprend le numéro de version du programme. Changez (+ cd +) dans ce répertoire.

cd ossec-hids-2.8.2

Le fichier que nous devons éditer, + host-deny.she, se trouve dans le répertoire` + active-response in`. Alors ouvrez-le en utilisant:

nano active-response/host-deny.sh

Vers la fin du fichier, recherchez deux lignes dans le code qui commencent par * TMP_FILE = *, sous le commentaire * # Suppression de hosts.deny *. Modifiez les deux lignes pour supprimer les espaces de chaque côté du signe * = * afin que le bloc de code ressemble à ceci.

Bloc de code host-deny.sh modifié

# Deleting from hosts.deny
elif [ "x${ACTION}" = "xdelete" ]; then
  lock;

  if [ "X${TMP_FILE}" = "X" ]; then
    # Cheap fake tmpfile, but should be harder then no random data

  fi

Enregistrez et fermez le fichier.

Étape 3 - Mise à niveau d’OSSEC 2.8.1

Nous pouvons maintenant lancer la mise à niveau.

sudo ./install.sh

Vous serez invité à sélectionner la langue d’installation. Appuyez sur * ENTER * pour accepter la valeur par défaut ou tapez le code à 2 lettres représentant votre langue préférée, puis appuyez sur * ENTER *. En suivant les instructions à l’écran, on vous posera deux questions simples à un moment donné. Pour chaque type, tapez, puis appuyez sur * ENTER *.

Questions de l’OSSEC

- You already have OSSEC installed. Do you want to update it? (y/n):
- Do you want to update the rules? (y/n):

Le processus de mise à niveau devrait prendre environ deux minutes. Le programme d’installation s’arrête puis redémarre OSSEC à la fin. Vous devriez alors recevoir un courrier électronique confirmant que le redémarrage d’OSSEC a été effectué.

Vous pouvez vérifier cela en interrogeant le statut d’OSSEC.

sudo /var/ossec/bin/ossec-control status

Le résultat devrait indiquer que tous les processus sont * en cours d’exécution *.

Conclusion

En suivant ces étapes simples, vous venez de mettre à niveau OSSEC 2.8.1 vers OSSEC 2.8.2.

TOC