Вступление
-
OSSEC * - это система обнаружения вторжений (HIDS) с открытым исходным кодом, которая выполняет анализ журналов, проверку целостности, мониторинг реестра Windows, обнаружение руткитов, оповещения на основе времени и активные ответы.
Это одно из самых важных приложений безопасности, которое вы можете установить на своем сервере, и его можно использовать для мониторинга одного компьютера или тысяч в режиме клиент / сервер или агент / сервер. При правильной настройке OSSEC может дать вам представление о том, что происходит на вашем сервере, с помощью оповещений по электронной почте на любое количество настроенных адресов электронной почты.
Из этого туториала вы узнаете, как установить и настроить OSSEC для мониторинга DigitalOcean Droplet с FreeBSD 10.1. В дополнение к стандартным наборам правил OSSEC для доступа пользователей и проверки целостности мы настроим дополнительные правила, чтобы в случае изменения или добавления файла в систему OSSEC уведомлял вас по электронной почте.
Вот пример типа оповещения, отправляемого OSSEC:
OSSEC HIDS Notification.
2015 Jan 25 11:42:49
Received From: liniverse->syscheck
Rule: 551 fired (level 7) -> "Integrity checksum changed again (2nd time)."
Portion of the log(s):
Integrity checksum changed for: '/usr/local/etc/ssmtp/ssmtp.conf'
Size changed from '1367' to '1384'
What changed:
36c36,37
< UseTLS=YES
---
#UseTLS=YES
UseSTARTTLS=YES
Old md5sum was: '39f219a7db9987c3623d5a2f7511dfc1'
New md5sum is : '9971ecc1b0c744ee3f744255248e7c11'
Old sha1sum was: 'fc945ffc84b243cd36f8dd276f99c57f912f902b'
New sha1sum is : '1289fe0008a3d8bf74db8f73c09bf18db09572cc'
--END OF NOTIFICATION-
Примечание: * В настоящее время OSSEC может оповещать в режиме реального времени только в Linux и Windows. Оповещения в реальном времени во FreeBSD все еще продолжаются, и из-за этого оповещение об удалении файлов не работает во FreeBSD.
Предпосылки
OSSEC нужен брандмауэр, активный в системе для его функции активного ответа. Также важно, чтобы сервер сохранял точное время, которое требует включения NTP. Наконец, часовой пояс сервера должен быть установлен - по умолчанию это UTC.
Итак, для этого урока вам понадобятся:
-
Новая Droplet под управлением FreeBSD 10.1.
-
Брандмауэр включен, NTP включен, а часовой пояс настроен. Вы можете сделать это, следуя инструкциям на [Recommended Steps для новых серверов FreeBSD 10.1. Игнорировать раздел, устанавливающий дополнительное пространство подкачки.
-
Примечание: * Разрешения брандмауэра UDP не требуются для работы OSSEC, но в зависимости от служб, которые вы используете на своем сервере, вам может потребоваться разрешить для них трафик UDP.
Когда вы закончите включать NTP, вы можете подтвердить, что он работает, набрав:
sudo service ntpd onestatusВывод будет аналогичен приведенному ниже, но с другим идентификатором процесса (pid).
ntpd is running as pid .Вы также можете подтвердить, что часовой пояс установлен правильно, введя + date. Часовой пояс, который вы выбрали, будет в выходных данных.
По желанию
Ни одно из этих двух следующих изменений не требуется, но обычно предлагается сделать FreeBSD более удобной для пользователей для новичков в ней.
-
Установите и включите Bash.
+ tsch + - оболочка по умолчанию во FreeBSD 10.1. Если вы предпочитаете использовать Bash, вы можете установить его, следуя инструкциям в разделе Изменение оболочки по умолчанию в https://www.digitalocean.com/community/tutorials/how-to-get-started-with-freebsd-10-1. Как начать работать с FreeBSD 10.1. Это навсегда установит для вашей оболочки по умолчанию Bash, включая все будущие сеансы входа в систему.
-
Установите
+ nano +.
Редактор терминала по умолчанию во FreeBSD - + Vi +, и хотя он мощный, он может быть не интуитивно понятен для новых пользователей. + nano + является немодальным, что устраняет некоторые сложности для новых пользователей по сравнению с + Vi +.
Вы можете использовать редактор по вашему выбору, но + nano + будет использоваться в этом уроке. Это можно установить, введя в терминал:
sudo pkg install nanoШаг 1 - Обновление системы
Войдите в систему и примените доступные обновления безопасности и пакетов к системе. Если вы еще не вошли в систему, введите:
ssh freebsd@Замените IP-адрес в приведенной выше команде реальным IP-адресом вашего сервера. Пользователь FreeBSD по умолчанию * freebsd * и имеет привилегии + sudo +. После входа запросите и установите доступные обновления безопасности, введя:
sudo freebsd-update fetch installПосле этого установите доступные обновления пакетов.
sudo pkg upgradeЕсли были какие-либо обновления ядра от этих команд, перезагрузите сервер, затем войдите снова.
Шаг 2 - Установите и включите OSSEC
В FreeBSD есть три метода, которые вы можете использовать для установки OSSEC: загрузив последний двоичный файл из https://ossec.net [веб-сайта] проекта, из дерева портов или установив предварительно подготовленный двоичный файл из FreeBSD репозиторий. Последний метод, безусловно, самый простой, и именно его мы будем использовать в этом руководстве. Это также делает безболезненным обновление OSSEC.
Чтобы увидеть, какие двоичные пакеты OSSEC доступны во FreeBSD 10.1, введите:
sudo pkg search ossecВывод должен выглядеть примерно так:
ossec-hids-client-2.8.1_1
ossec-hids-local-2.8.1_1
ossec-hids-server-2.8.1_1Поскольку цель состоит в том, чтобы использовать OSSEC для мониторинга только того сервера, на котором он установлен (локальная установка), двоичный пакет для установки - это + ossec-hids-local-2.8.1_1 + или любой другой версией локального пакета. Двоичный файл клиента позволит вам установить агент OSSEC, который будет сообщать серверу OSSEC, если двоичный файл сервера установлен на другой Droplet.
Чтобы установить локальный бинарный файл, введите:
sudo pkg install ossec-hids-local-2.8.1_1По результатам установки OSSEC будет + chroot + в + / usr / local / ossec-hids +, поэтому его файл конфигурации и каталоги будут найдены в этом каталоге.
Теперь, когда вы установили OSSEC, его нужно включить, чтобы он мог запускаться при загрузке. Чтобы включить его. снова откройте + / etc / rc.conf +.
sudo nano /etc/rc.confДобавьте следующие строки:
# For OSSEC HIDS
ossechids_enable="YES"Наконец, сохраните и закройте файл.
Шаг 3 - Установите учетные данные электронной почты для уведомлений OSSEC
Так как мы установили OSSEC из репозитория, настройки электронной почты в его файле конфигурации являются фиктивными. Он должен быть снабжен реальными учетными данными электронной почты, чтобы вы могли получать уведомления. Чтобы исправить это, вам нужно изменить файл + ossec.conf +, расположенный в + / usr / local / ossec-hids / etc +.
+ ossec.conf + - очень важный файл конфигурации для OSSEC, поэтому прежде чем приступить к его редактированию, сделайте резервную копию.
sudo cp /usr/local/ossec-hids/etc/ossec.conf /usr/local/ossec-hids/etc/ossec.conf.00Теперь откройте оригинальный файл.
sudo nano /usr/local/ossec-hids/etc/ossec.confПервая часть, которую необходимо изменить, находится в самом верху файла и показана ниже. Эти настройки сообщают OSSEC, куда отправлять оповещения и какой SMTP-сервер следует использовать.
<global>
<email_notification>yes</email_notification>
<email_to>[email protected]</email_to>
<smtp_server>smtp.xxx.com.</smtp_server>
<email_from>[email protected].</email_from>
</global>Отправить письмо
FreeBSD 10.1 поставляется с Sendmail по умолчанию, и если вы хотите использовать его для почтовых уведомлений OSSEC, тогда * smtp_server * должен быть установлен в * localhost *, как показано ниже.
<global>
<email_notification>yes</email_notification>
<email_to></email_to>
<smtp_server></smtp_server>
<email_from></email_from>
</global>-
Примечание: * Sendmail может обрабатывать как входящую, так и исходящую почту. Если вам не нужны входящие службы Sendmail, добавьте строки ниже к
+ / etc / rc.conf +.
# For Sendmail
sendmail_enable="NO"Сторонний SMTP-сервер
Однако если вы хотите указать сторонний SMTP-сервер и не использовать локальный экземпляр Sendmail, область уведомлений по электронной почте + ossec.conf + должна выглядеть примерно так:
<global>
<email_notification>yes</email_notification>
<email_to></email_to>
<smtp_server></smtp_server>
<email_from></email_from>
</global>Когда вы указали все необходимые настройки электронной почты, сохраните и закройте файл. Чтобы убедиться, что OSSEC теперь может отправлять оповещения, запустите его, набрав:
sudo /usr/local/ossec-hids/bin/ossec-control startЕсли все в порядке, вы должны получить электронное письмо по указанному адресу:
OSSEC HIDS Notification.
2015 Jan 23 23:08:32
Received From: liniverse->ossec-monitord
Rule: 502 fired (level 3) -> "Ossec server started."
Portion of the log(s):
ossec: Ossec started.
--END OF NOTIFICATIONЕсли вы не получили письмо, проверьте папку со спамом.
Шаг 4 - Настройте syscheck
Отсюда мы продолжим работу в + ossec.conf +. Изменения конфигурации будут представлены в порядке их появления в файле.
sudo nano /usr/local/ossec-hids/etc/ossec.confОтрегулируйте интервал проверки
+ syscheck + - это процесс проверки целостности OSSEC, и мы можем указать syscheck, как часто сканировать и проверять контрольную сумму файловой системы на наличие несанкционированных изменений.
Прокрутите вниз до раздела * syscheck *. Первые две строки должны читать:
<syscheck>
<!-- Frequency that syscheck is executed -- default every 20 hours -->
<frequency>17200</frequency>Этот параметр говорит, что OSSEC выполняет системные проверки каждые 17200 секунд. Это хороший частотный интервал для производственной системы. Однако, поскольку уведомление в реальном времени не поддерживается в двоичной установке OSSEC на FreeBSD, рекомендуется уменьшить это значение до нескольких секунд. После этого вы сможете получать уведомления в течение более короткого периода времени при тестировании OSSEC. После тестирования вы можете изменить его обратно на значение по умолчанию.
Укажите каталоги для мониторинга
Установка OSSEC по умолчанию основана на Linux, поэтому отслеживаемые по умолчанию файлы и каталоги соответствуют тем, которые обычно находятся в системе Linux. Поэтому их необходимо модифицировать в соответствии с установкой FreeBSD. Эти каталоги перечислены чуть ниже предыдущего параметра, который вы изменили, и значения по умолчанию:
<!-- Directories to check (perform all possible verifications) -->
<directories check_all="yes">/etc,/usr/bin,/usr/sbin</directories>
<directories check_all="yes">/bin,/sbin</directories>Как указывалось ранее, эти настройки хороши для сервера Linux, но они требуют модификации для сервера FreeBSD. Вот рекомендуемый параметр для сервера FreeBSD 10.1.
<!-- Directories to check (perform all possible verifications) -->
<directories check_all="yes">/etc,/usr/bin,/usr/sbin</directories>
<directories check_all="yes">/bin,/sbin</directories>
freebsdДве дополнительные строки в красном были добавлены. Первое добавление относится к серверу FreeBSD, а второе информирует OSSEC о том, что мы хотим отслеживать домашний каталог * freebsd *. Если вы работаете под другим именем пользователя, измените + / home / +, чтобы соответствовать этому.
-
Примечание: * В каталоге
+ / usr / local / www +хранятся данные веб-сервера во FreeBSD. Если вы намереваетесь разместить сайт, все данные сайта будут в этом каталоге. Это делает его важным каталогом, за которым нужно следить.
Укажите файлы или каталоги для игнорирования
Следующий раздел + ossec.conf + - это список файлов, которые OSSEC следует игнорировать, поскольку они имеют тенденцию меняться очень часто и приводят к слишком большому количеству ложных срабатываний. Список файлов по умолчанию показан ниже.
<!-- Files/directories to ignore -->
<ignore>/etc/mtab</ignore>
<ignore>/etc/hosts.deny</ignore>
<ignore>/etc/mail/statistics</ignore>
<ignore>/etc/random-seed</ignore>
<ignore>/etc/adjtime</ignore>
<ignore>/etc/httpd/logs</ignore>Опять же, список по умолчанию специфичен для системы Linux. Например, FreeBSD 10.1 по умолчанию не использует файл + mtab + или + hosts.deny +.
Итак, какие файлы вы должны настроить для игнорирования OSSEC на сервере FreeBSD 10.1? По большей части это то, что вы должны выяснить, как вы идете, потому что это зависит от того, что вы установили на сервере.
Например, файл + hosts.deny + был объединен с файлом + hosts.allow +. Так что это может быть то, что вы хотели бы игнорировать. Однако, следя за файлом + hosts.allow +, вы можете получать информацию о том, кто бросает камни на ваш сервер, потому что именно там хранятся все IP-адреса, попытки подключения которых были отклонены.
Если вы установили Bash, + .bash_profile + является хорошим кандидатом для игнорирования, хотя оповещение об этом файле дает вам представление о том, какие команды выполняются на вашем сервере. Если вы установили sSMTP, почтовый сервер только для отправки, его файл + dead.letter + - это еще один файл, который можно игнорировать. Кроме того, после установки + lsof + его файл + .lsof_HOSTNAME + можно игнорировать.
Общий смысл заключается в следующем: после установки приложения проверьте, не создало ли оно скрытый каталог в вашем + / home +. Этот скрытый файл может быть хорошим кандидатом для игнорирования. Если вы сомневаетесь, вы можете оставить * Files / directory, чтобы игнорировать * раздел без изменений. Просто следите за оповещениями, которые отправляет OSSEC. Их содержимое даст вам представление о том, какие файлы вы должны настроить для игнорирования OSSEC.
Чтобы помочь вам в дальнейшей работе с этим разделом, вот как это выглядит на тестовом сервере, используемом в этом руководстве с пользователем по умолчанию * freebsd *.
<!-- Files/directories to ignore -->
<ignore>/home//dead.letter</ignore>
<ignore>/home//.bash_profile</ignore>
<ignore>/home//.lsof_liniverse</ignore>
<ignore>/etc/dumpdates</ignore>
<ignore>/usr/local/ossec-hids/logs</ignore>
<ignore>/usr/local/ossec-hids/queue</ignore>
<ignore>/usr/local/ossec-hids/var</ignore>
<ignore>/usr/local/ossec-hids/tmp</ignore>
<ignore>/usr/local/ossec-hids/stats</ignore>Как видите, этот список игнорирует несколько каталогов в дереве установки OSSEC. Игнорирование этих каталогов может привести к тому, что системе не хватит места на диске за очень короткое время.
Шаг 5 - Настройте Rootcheck
Следующая остановка в + ossec.conf + - это раздел * rootcheck *. Rootcheck является компонентом OSSEC, который сканирует систему на наличие руткитов. По умолчанию это гласит:
<rootcheck>
<rootkit_files>/var/ossec/etc/shared/rootkit_files.txt</rootkit_files>
<rootkit_trojans>/var/ossec/etc/shared/rootkit_trojans.txt</rootkit_trojans>
</rootcheck>OSSEC на FreeBSD 10.1 не устанавливается в + / var / ossec +, но в + / usr / local / ossec-hids +, поэтому измените эти строки, чтобы отразить это. После этого этот раздел должен гласить:
<rootcheck>
<rootkit_files>/etc/shared/rootkit_files.txt</rootkit_files>
<rootkit_trojans>/etc/shared/rootkit_trojans.txt</rootkit_trojans>
</rootcheck>Это все, что вам нужно изменить в + ossec.conf + - пока. Сохраните и закройте его; мы вернемся к этому позже. Чтобы убедиться, что все настроено правильно, попробуйте перезапустить OSSEC.
sudo /usr/local/ossec-hids/bin/ossec-control restartПерезапуск должен быть успешным. Если он возвращает ошибку конфигурации, дважды проверьте свои записи для шагов 4 и 5.
Шаг 6 - Укажите файлы журналов для мониторинга
Установка OSSEC по умолчанию настроена на мониторинг файлов журналов, расположение которых зависит от системы Linux. В FreeBSD 10.1 некоторые из этих файлов имеют немного другое имя, хотя они все еще находятся в том же каталоге + / var / log +.
Если вы посмотрите в файле журнала OSSEC (+ / var / log / ossec-hids / logs / ossec.log +), вы увидите записи, подобные этим:
ossec-logcollector(1950): INFO: Analyzing file: '/var/log/messages'
ossec-logcollector(1103): ERROR: Unable to open file '/var/log/authlog'
ossec-logcollector(1103): ERROR: Unable to open file '/var/log/secure'
ossec-logcollector(1950): INFO: Analyzing file: '/var/log/xferlog'Запись, которая содержит * ОШИБКА: Невозможно открыть файл * указывает на файл, который OSSEC не может найти, потому что он не существует, или, возможно, права доступа неверны. Проверьте, что происходит в вашей системе, прежде чем делать вывод.
Вот как вы можете определить местоположение файлов журнала, которые OSSEC должен отслеживать во FreeBSD 10.1. Мы будем использовать + lsof + для просмотра списка открытых файлов, которые система использует во время выполнения. + lsof + не устанавливается по умолчанию, поэтому сначала установите его:
sudo pkg install lsofЗатем, чтобы запустить проверку файла журнала, используйте следующую команду:
lsof | grep log | grep -v ".so" | egrep -v "ossec|proc|dev|run"Все, что делает эта команда, - это ловит все открытые файлы, хранит файлы журналов, которые представляют для нас интерес, и отбрасывает остальные. Мы определенно не хотим отслеживать файлы в каталоге установки OSSEC или в + / proc +, + / dev + или + / var / run +. Вы должны получить вывод, который содержит список файлов журнала. Следующий блок кода показывает часть вывода в тестовой системе, использованной для этого урока:
syslogd ... root ... /var/log/messages
syslogd ... root ... /var/log/security
syslogd ... root ... /var/log/auth.log
syslogd ... root ... /var/log/maillog
syslogd ... root ... /var/log/lpd-errsЕсли вы сравните имена в этих выходных данных с именами в выходном файле журнала OSSEC, легко увидеть, что + / var / log / auth.log + совпадает с + / var / log / authlog + и + / var / log / security + `является FreeBSD-эквивалентом + / var / log / secure + `.
Теперь снова откройте + ossec.conf + и измените имена файлов журнала, чтобы они соответствовали именам, используемым во FreeBSD 10.1.
sudo nano /usr/local/ossec-hids/etc/ossec.confБлок кода ниже показывает пример того, какими должны быть измененные строки. Вы захотите добавить местоположения журналов для определенных служб, которые вы установили и используете на сервере; такие сервисы, как Nginx, Apache и т. д.
<!-- Files to monitor (localfiles) -->
<localfile>
<log_format>syslog</log_format>
<location>/var/log/</location>
</localfile>
<localfile>
<log_format>syslog</log_format>
<location>/var/log/</location>
</localfile>Добавление записей файла журнала с помощью util.sh
Если после установки OSSEC у вас есть файл журнала в пользовательском каталоге, который вы хотите отслеживать, вы можете использовать команду OSSEC + util.sh +, чтобы добавить его, или открыть + ossec.conf + с помощью nano и добавить его. вручную.
Например, если вы установили Nginx и его файлы доступа и журнала ошибок находятся в каталоге + / var / log / nginx +, вы можете добавить их в + ossec.conf +, используя + util.sh +, например так:
/usr/local/ossec-hids/bin/util.sh addfile /var/log/
/usr/local/ossec-hids/bin/util.sh addfile /var/log/-
Примечание: * Если вы выполните эти две команды в том виде, в каком они представлены, и у вас не установлен Nginx, вы получите сообщение об ошибке, в котором говорится, что файлы журнала не существуют.
На этом этапе у нас есть последнее изменение в + ossec.conf +, поэтому оставляйте файл открытым, когда вы переходите к следующему шагу.
Шаг 7 - Оповещение о новых файлах
По умолчанию OSSEC не предупреждает о создании новых файлов в системе, поэтому мы изменим это поведение. Есть два компонента этого изменения.
Установить syscheck
Прокрутите обратно до области + syscheck + в + ossec.conf + и добавьте строку * alertnewfiles * чуть ниже интервала проверки частоты.
Результат должен гласить:
<syscheck>
<!-- Frequency that syscheck is executed -- default every 20 hours -->
<frequency>17200</frequency>Теперь вы можете сохранить и закрыть + ossec.conf +. Мы закончили с этим.
Изменить уровень классификации правила
Хотя мы сказали + syscheck + следить за вновь созданными файлами, OSSEC пока не уведомит нас о них. Для этого нам нужно изменить правило OSSEC по умолчанию.
Откройте + ossec rules.xml в` + nano + `.
sudo nano /usr/local/ossec-hids/rules/ossec_rules.xmlПравило, которое срабатывает при добавлении файла в отслеживаемый каталог, - это правило * 554 *. Вот как это выглядит:
<rule id="554" level="0">
<category>ossec</category>
<decoded_as>syscheck_new_entry</decoded_as>
<description>File added to the system.</description>
<group>syscheck,</group>
</rule>OSSEC не отправляет предупреждение, если для правила * level * установлено значение * 0 *, поэтому вы должны скопировать это правило в + local_rules.xml + и изменить его так, чтобы оно вызывало предупреждение. Вы можете использовать мышь или сенсорную панель, чтобы выделить правило в + nano +, скопировать и временно вставить его в текстовый редактор на вашем хост-компьютере.
Теперь откройте + local_rules.xml. Это то место, куда должны идти все пользовательские правила OSSEC; вам не следует вносить изменения в + ossec ruleset.xml.
sudo nano /usr/local/ossec-hids/rules/local_rules.xmlИспользуйте + CONTROL + SHIFT + V +, чтобы вставить правило из текстового редактора вашего хост-компьютера в + nano +. Убедитесь, что вы вставили его в теги * group *. Мы изменим уровень уведомления на + 7 + и сообщим OSSEC, что это правило перезаписывает правило * 554 * из + ossec_rules.xml +.
Когда вы закончите, конец вашего файла + local_rules.xml должен выглядеть следующим образом. Первая строка - это все, что было изменено по сравнению с исходным правилом.
<rule id="554" level="7" overwrite="yes">
<category>ossec</category>
<decoded_as>syscheck_new_entry</decoded_as>
<description>File added to the system.</description>
<group>syscheck,</group>
</rule>
</group> <!-- SYSLOG,LOCAL -->
<!-- EOF -->Когда все будет сделано, сохраните и закройте файл, затем перезапустите OSSEC, набрав:
sudo /usr/local/ossec-hids/bin/ossec-control restartЗаключение
Вскоре после перезапуска OSSEC вы должны получить предупреждение о том, что OSSEC запущен, как вы это делали в шаге 3 при настройке SMTP-сервера. Было бы неплохо ознакомиться с различными уровнями правил и серьезностью, которую они подразумевают. Вы можете прочитать о них в OSSEC документации.
И после того, как OSSEC выполнит следующую проверку системы, вы также должны получить стандартные предупреждения, которые можно ожидать от новой системы. Вот некоторые уведомления, которые вы, вероятно, увидите (или увидите варианты) вскоре после того, как настроили на своем сервере.
В первый раз пользователь * freebsd * запустил команду sudo.
OSSEC HIDS Notification.
2015 Jan 24 07:10:56
Received From: liniverse->/var/log/auth.log
Rule: 5403 fired (level 4) -> "First time user executed sudo."
Portion of the log(s):
Jan 24 02:10:56 liniverse sudo: freebsd : TTY=pts/1 ; PWD=/usr/home/freebsd ; USER=root ; COMMAND=/usr/sbin/pkg install namp
--END OF NOTIFICATIONOSSEC заблокировал IP-адрес 93.50.186.75 в hosts.allow.
OSSEC HIDS Notification.
2015 Jan 25 02:06:47
Received From: Freebsd->syscheck
Rule: 552 fired (level 7) -> "Integrity checksum changed again (3rd time)."
Portion of the log(s):
Integrity checksum changed for: '/etc/hosts.allow'
Size changed from '3408' to '3434'
What changed:
93a94
ALL : 93.50.186.75 : deny
Old md5sum was: 'f8ba903734ee1bd6afae641974a51522'
New md5sum is : '56dfbd3922cf7586b81b6575f6564196'
Old sha1sum was: 'a7a9886aa90f2f6aaa7660490809d6a0717b8d76'
New sha1sum is : '6a0bf14c4614976d2c2e1157f157ae513f3f9cfc'
--END OF NOTIFICATIONФайл + ngx.txt + был создан в + / home / freebsd +.
OSSEC HIDS Notification.
2015 Jan 24 20:08:38
Received From: liniverse->syscheck
Rule: 554 fired (level 7) -> "File added to the system."
Portion of the log(s):
New file '/home/freebsd/ngx.txt' added to the file system.
--END OF NOTIFICATIONНадеюсь, это дало вам представление о том, что может предложить OSSEC. Как указывалось ранее, оповещения в реальном времени и оповещения об удалении файлов еще не поддерживаются во FreeBSD. Тем не менее, запрос функции, относящийся к ним, был сделан на странице проекта GitHub. Для получения дополнительной информации о OSSEC посетите веб-сайт проекта по адресу http://www.ossec.net [http://www.ossec.net/].