OSSEC 2.8.1をOSSEC 2.8.2にアップグレードする方法

前書き

OSSECは、ログ分析、整合性チェック、Windowsレジストリの監視、ルートキットの検出、時間ベースのアラート、アクティブな応答を実行する、オープンソースのホストベースの侵入検知システム(HIDS)です。 単一のサーバーまたは数千のサーバーを監視するためにインストールできます。

このチュートリアルでは、OSSEC 2.8.1のインストールを最新のバグ、OSSEC 2.8.2にアップグレードする方法を示します。

前提条件

  • すでにOSSEC 2.8.1を実行しているドロップレット。https://www.digitalocean.com/community/tutorials/how-to-install-and-configure-ossec-security-notifications-on-ubuntu-14のチュートリアルに従って設定します-04 [Ubuntu 14.04]、https://www.digitalocean.com/community/tutorials/how-to-set-up-a-local-ossec-installation-on-debian-8 [Debian 8]、またはhttps: //www.digitalocean.com/community/tutorials/how-to-set-up-a-local-ossec-installation-on-fedora-21[Fedora 21]。

https://www.digitalocean.com/community/tutorials/how-to-install-and-configure-ossec-on-freebsd-10-1 [このチュートリアル]を使用してFreeBSD 10.1にOSSEC 2.8.1をインストールした場合、代わりにそのディストリビューションのパッケージマネージャーを使用して簡単にアップグレードを実行でき、このガイドに従う必要はありません。

手順1-OSSEC 2.8.2のダウンロードと検証

OSSECをアップグレードする最初の手順は、tarballとそのチェックサムファイルをダウンロードすることです。これは、tarballが侵害されていないことを確認するために使用されます。

最初に、新しいtarballをダウンロードします。

wget -U ossec http://www.ossec.net/files/ossec-hids-2.8.2.tar.gz

次に、チェックサムファイルをダウンロードします。

wget -U ossec http://www.ossec.net/files/ossec-hids-2.8.2-checksum.txt

tarballが侵害されていないことを確認するには、最初にMD5チェックサムを確認します。

md5sum -c ossec-hids-2.8.2-checksum.txt

出力は次のようになります。

md5sum出力

ossec-hids-2.8.2.tar.gz: OK
md5sum: WARNING: 1 line is improperly formatted

次に、SHA1チェックサムを確認します。

sha1sum -c ossec-hids-2.8.2-checksum.txt

予想される出力は次のとおりです。

sha1sum出力

ossec-hids-2.8.2.tar.gz: OK
sha1sum: WARNING: 1 line is improperly formatted

ステップ2-バグの修正

OSSEC 2.8.2はセキュリティバグを修正しましたが、OSSECが `+ / etc / hosts.deny +`ファイルの内容を上書きする原因となった長年のバグには対処していません。 そのための修正は、アップグレードを開始する前に手動で適用する必要があります。 また、修正には、新しくダウンロードしたtarball内のファイルの編集が含まれます。

つまり、まずtarballを解凍する必要があります。

tar xf ossec-hids-2.8.2.tar.gz

プログラムのバージョン番号を含む名前のディレクトリに展開する必要があります。 そのディレクトリに変更( + cd +)します。

cd ossec-hids-2.8.2

編集する必要があるファイル、「+ host-deny.she」は、「+ active-response in」ディレクトリにあります。 以下を使用して開きます:

nano active-response/host-deny.sh

ファイルの終わりに向かって、#hosts.denyコメントからの削除*の下にある TMP_FILE = で始まるコードの2行を探します。 コードブロックが次のようになるように、両方の行を編集して = *記号の両側のスペースを削除します。

変更されたhost-deny.shコードブロック

# Deleting from hosts.deny
elif [ "x${ACTION}" = "xdelete" ]; then
  lock;

  if [ "X${TMP_FILE}" = "X" ]; then
    # Cheap fake tmpfile, but should be harder then no random data

  fi

ファイルを保存して閉じます。

ステップ3-OSSEC 2.8.1のアップグレード

これでアップグレードを開始できます。

sudo ./install.sh

インストールの言語を選択するよう求められます。 * ENTER を押してデフォルトを受け入れるか、優先言語を表す2文字のコードを入力して、 ENTER を押します。 画面上の指示に従って、ある時点で、2つの簡単な質問が表示されます。 それぞれに対して、と入力し、 ENTER *を押します。

OSSEC質問プロンプト

- You already have OSSEC installed. Do you want to update it? (y/n):
- Do you want to update the rules? (y/n):

アップグレードプロセスには約2分かかります。 インストーラーは停止し、最後にOSSECを再起動します。OSSECが再起動したことを確認するメールが届きます。

OSSECのステータスを照会して、これを再確認できます。

sudo /var/ossec/bin/ossec-control status

出力は、すべてのプロセスが*実行中*であることを示す必要があります。

結論

これらの簡単な手順に従って、OSSEC 2.8.1をOSSEC 2.8.2にアップグレードしました。