TOC

Как установить и настроить уведомления безопасности OSSEC в Ubuntu 14.04

Вступление

Как вы отслеживаете авторизованную и несанкционированную активность на вашем сервере?

OSSEC - это один из инструментов, который вы можете установить на своем сервере, чтобы отслеживать его активность.

OSSEC - это система обнаружения вторжений (HIDS) с открытым исходным кодом, которая выполняет анализ журналов, проверку целостности, мониторинг реестра Windows, обнаружение руткитов, оповещения на основе времени и активные ответы. Он может использоваться для мониторинга одного сервера или тысяч серверов в режиме сервер / агент.

При правильной настройке OSSEC может предоставить вам в реальном времени представление о том, что происходит на вашем сервере.

Из этого туториала Вы узнаете, как установить и настроить OSSEC для мониторинга одного сервера DigitalOcean под управлением Ubuntu 14.04 LTS. Мы настроим OSSEC так, чтобы в случае изменения, удаления или добавления файла на сервер OSSEC уведомлял вас по электронной почте - в режиме реального времени. Это в дополнение к другим функциям проверки целостности, которые предлагает OSSEC.

OSSEC может сделать больше, чем просто уведомить вас о модификациях файлов, но одной статьи недостаточно, чтобы показать вам, как использовать все свои возможности.

** Каковы преимущества OSSEC?

Прежде чем перейти к части установки и настройки, давайте рассмотрим несколько конкретных преимуществ, которые вы получаете от использования OSSEC.

Ниже приведен пример электронного уведомления от OSSEC, показывающего, что файл/var/ossec/etc/ossec.conf был изменен. 

OSSEC HIDS Notification.
2014 Nov 29 09:45:15

Received From: kuruji->syscheck
Rule: 552 fired (level 7) -> "Integrity checksum changed again (3rd time)."
Portion of the log(s):

Integrity checksum changed for: '/var/ossec/etc/ossec.conf'
Size changed from '7521' to '7752'

Если вы получили такое предупреждение и не ожидали, что этот файл изменится, то вы знаете, что на вашем сервере произошло что-то несанкционированное.

Вот еще один пример электронного оповещения от OSSEC, показывающий, что файл/etc/ossec/testossec.txt был удален. 

OSSEC HIDS Notification.
2014 Nov 29 10:56:14

Received From: kuruji->syscheck
Rule: 553 fired (level 7) -> "File deleted. Unable to retrieve checksum."
Portion of the log(s):

File /etc/ossec/testossec.txt was deleted. Unable to retrieve checksum.

Опять же, если вы не удалили рассматриваемый файл, вы должны выяснить, что происходит на вашем сервере.

Теперь, если все вышесказанное достаточно щекотало вас, чтобы установить OSSEC, вот несколько вещей, которые вам нужно сделать в первую очередь.

Предпосылки

Вам, конечно, нужен сервер, который вы хотите отслеживать. В этом руководстве предполагается, что он у вас уже есть и что он уже настроен для использования. Это может быть сервер, который вы только что настроили сегодня или использовали уже несколько месяцев. Самое главное, что у вас есть доступ к нему и вы можете войти через SSH. Настройка OSSEC - это не то, что вы хотите предпринять, когда вы все еще не знаете, как подключиться к вашему серверу.

  • Сервер Ubuntu 14.04

  • Вы должны создать пользователяsudo на сервере. В этом примере имя пользователяsammy. Однако это руководство будет намного проще выполнить как пользовательroot: 

sudo su

  • Необязательно: если вы хотите отправлять почту с локального SMTP-сервера, вы должны установитьPostfix для простой отправки электронной почты.

  • Установка OSSEC требует некоторой компиляции, поэтому вам необходимо установитьgcc иmake. Вы можете установить оба, установив один пакет под названиемbuild-essential

  • Вам также необходимо установить пакет под названиемinotify-tools, который необходим для работы предупреждений в реальном времени.

Чтобы установить все необходимые пакеты, сначала обновите сервер: 

apt-get update

Установить пакеты: 

apt-get install build-essential inotify-tools

Теперь, когда у нас есть предварительные вопросы, давайте перейдем к самой интересной части.

[[step-1 -—- download-and-verify-ossec]] == Шаг 1. Загрузите и подтвердите OSSEC

На этом этапе вы скачаете архив OSSEC и файл, содержащий его криптографические контрольные суммы.

Начиная с этой статьи по безопасности, мы собираемся проделать небольшую дополнительную работу, чтобы убедиться, что мы устанавливаем действующее программное обеспечение. Идея состоит в том, что вы генерируете контрольные суммы MD5 и SHA1 загруженного архива OSSEC и сравниваете их с данными в файле контрольной суммы. Если они совпадают, то вы можете предположить, что тарбол не был подделан.

На момент написания последней версии серверного выпуска OSSEC была версия 2.8.1. Чтобы скачать его, введите: 

wget -U ossec http://www.ossec.net/files/ossec-hids-2.8.1.tar.gz

Чтобы загрузить файл контрольной суммы, введите: 

wget -U ossec http://www.ossec.net/files/ossec-hids-2.8.1-checksum.txt

Чтобы убедиться, что оба файла на месте, введите: 

ls -l ossec*

Вы должны увидеть файлы: 

ossec-hids-2.8.1-checksum.txt
ossec-hids-2.8.1.tar.gz

Теперь давайте проверим файл контрольной суммы с помощью командыcat, например: 

cat ossec-hids-2.8.1-checksum.txt

Ожидаемый результат: 

MD5(ossec-hids-2.8.1.tar.gz)= c2ffd25180f760e366ab16eeb82ae382
SHA1(ossec-hids-2.8.1.tar.gz)= 0ecf1df09558dc8bb4b6f65e1fb2ca7a7df9817c

В приведенном выше выводе важные части находятся справа от знака=. Это контрольные суммы MD5 и SHA1 тарбола.

Теперь мы удостоверимся, что сгенерированные нами контрольные суммы для tarball соответствуют контрольным суммам, которые мы скачали.

Чтобы сгенерировать итоговую сумму MD5, введите: 

md5sum ossec-hids-2.8.1.tar.gz

Ожидаемый результат: 

c2ffd25180f760e366ab16eeb82ae382  ossec-hids-2.8.1.tar.gz

Сравните сгенерированную контрольную сумму MD5 с контрольной суммой в файле. Они должны совпадать.

Сделайте то же самое для контрольной суммы SHA1, набрав: 

sha1sum  ossec-hids-2.8.1.tar.gz

Ожидаемый результат: 

0ecf1df09558dc8bb4b6f65e1fb2ca7a7df9817c  ossec-hids-2.8.1.tar.gz

Если оба совпадают, вы можете идти. Шаг второй манит.

[[step-2 -—- install-ossec]] == Шаг 2. Установите OSSEC

На этом шаге вы установите OSSEC.

OSSEC можно установить в режимеserver,agent,local илиhybrid. Эта установка предназначена для мониторинга сервера, на котором установлен OSSEC. Это означает установкуlocal.

Прежде чем начать установку, вы должны развернуть файл. Вы делаете это, набрав: 

tar -zxf ossec-hids-2.8.1.tar.gz

После этого у вас должен быть каталог с именемossec-hids-2.8.1. Чтобы начать установку, вы должны изменить (cd) на тот каталог, который вы делаете, набрав: 

cd ossec-hids-2.8.1

Чтобы увидеть содержимое каталога, в котором вы сейчас находитесь, используйте командуls, набрав: 

ls -lgG

Вы должны увидеть эти файлы и каталоги: 

total 100
drwxrwxr-x  4  4096 Sep  8 21:03 active-response
-rw-rw-r--  1   542 Sep  8 21:03 BUGS
-rw-rw-r--  1   289 Sep  8 21:03 CONFIG
drwxrwxr-x  6  4096 Sep  8 21:03 contrib
-rw-rw-r--  1  3196 Sep  8 21:03 CONTRIBUTORS
drwxrwxr-x  4  4096 Sep  8 21:03 doc
drwxrwxr-x  4  4096 Sep  8 21:03 etc
-rw-rw-r--  1  1848 Sep  8 21:03 INSTALL
-rwxrwxr-x  1 32019 Sep  8 21:03 install.sh
-rw-rw-r--  1 24710 Sep  8 21:03 LICENSE
-rw-rw-r--  1  1664 Sep  8 21:03 README.md
drwxrwxr-x 30  4096 Sep  8 21:03 src

Единственный интересующий нас файл в этом листинге -install.sh. Это установочный скрипт OSSEC. Чтобы начать установку, введите: 

./install.sh

Вам будет предложено ответить на некоторые вопросы по установке.

Первое, что от вас потребуется, - это выбор языка. Как показано в выходных данных ниже, по умолчанию используется английский язык. На протяжении всего процесса установки, если вам необходимо сделать выбор, любая запись в квадратных скобках используется по умолчанию. Если по умолчанию то, что вы хотите, нажмите клавишу ВВОД, чтобы принять значение по умолчанию. Помимо необходимости ввода адреса электронной почты, мы рекомендуем вам принять все значения по умолчанию - если вы не знаете, что делаете.

Записи показаны вred.

Итак, если ваш язык английский, нажмитеENTER. В противном случае введите две буквы для вашего языка и нажмите клавишу ВВОД. 

  (en/br/cn/de/el/es/fr/hu/it/jp/nl/pl/ru/sr/tr) [en]:

После выбора языка вы должны увидеть это: 

OSSEC HIDS v2.8 Installation Script - http://www.ossec.net

 You are about to start the installation process of the OSSEC HIDS.
 You must have a C compiler pre-installed in your system.
 If you have any questions or comments, please send an e-mail
 to [email protected] (or [email protected]).

  - System: Linux kuruji 3.13.0-36-generic
  - User: root
  - Host: kuruji

  -- Press ENTER to continue or Ctrl-C to abort. --

После нажатия ENTER вы должны получить: 

1- What kind of installation do you want (server, agent, local, hybrid or help)? local

Введитеlocal и нажмите ENTER. Вы должны получить: 

  - Local installation chosen.

2- Setting up the installation environment.

  - Choose where to install the OSSEC HIDS [/var/ossec]:

Примите значение по умолчанию и нажмите ENTER. После этого вы получите: 

    - Installation will be made at  /var/ossec .

3- Configuring the OSSEC HIDS.

  3.1- Do you want e-mail notification? (y/n) [y]:

Нажмите Ввод. 

  - What's your e-mail address? [email protected]

Введите адрес электронной почты, на который вы хотите получать уведомления от OSSEC. 

  - We found your SMTP server as: mail.example.com.
  - Do you want to use it? (y/n) [y]:

--- Using SMTP server:  mail.example.com.

Нажмите ENTER, если у вас нет определенных настроек SMTP-сервера, которые вы хотите использовать.

Теперь пришло время сообщить OSSEC, какие проверки должны выполняться. В ответ на любой запрос сценария примите значение по умолчанию, нажавENTER.

ENTER для демона проверки целостности. 

  3.2- Do you want to run the integrity check daemon? (y/n) [y]:

- Running syscheck (integrity check daemon).

ENTER для обнаружения руткитов. 

  3.3- Do you want to run the rootkit detection engine? (y/n) [y]:

- Running rootcheck (rootkit detection).

ENTER для активного ответа. 

  3.4- Active response allows you to execute a specific command based on the events received.

   Do you want to enable active response? (y/n) [y]:

   Active response enabled.

Примите значения по умолчанию для ответа брандмауэра. Ваш вывод может показать некоторые параметры IPv6 - это нормально. 

  Do you want to enable the firewall-drop response? (y/n) [y]:

- firewall-drop enabled (local) for levels >= 6

   - Default white list for the active response:
      - 8.8.8.8
      - 8.8.4.4

   - Do you want to add more IPs to the white list? (y/n)? [n]:

Вы можете добавить сюда свой IP-адрес, но это не обязательно.

OSSEC теперь представит список файлов по умолчанию, которые он будет отслеживать. Дополнительные файлы могут быть добавлены после установки, поэтому нажмите ENTER. 

3.6- Setting the configuration to analyze the following logs:
    -- /var/log/auth.log
    -- /var/log/syslog
    -- /var/log/dpkg.log

 - If you want to monitor any other file, just change
   the ossec.conf and add a new localfile entry.
   Any questions about the configuration can be answered
   by visiting us online at http://www.ossec.net .


   --- Press ENTER to continue ---

К этому времени установщик располагает всей информацией, необходимой для установки OSSEC. Отдайте назад и позвольте установщику сделать свое дело. Установка занимает около 5 минут. Если установка прошла успешно, вы готовы запустить и настроить OSSEC.

Note: Одна из причин, по которой установка может завершиться неудачно, - это если не установлен компилятор. В этом случае вы получите такую ​​ошибку: 

5- Installing the system
 - Running the Makefile
./install.sh: 85: ./install.sh: make: not found

 Error 0x5.
 Building error. Unable to finish the installation.

Если вы получили эту ошибку, вам необходимо установитьbuild-essential, как описано в разделе «Предварительные условия» данного руководства.

Если установка прошла успешно, вы должны увидеть этот тип вывода: 

 - System is Debian (Ubuntu or derivative).
 - Init script modified to start OSSEC HIDS during boot.

 - Configuration finished properly.

 - To start OSSEC HIDS:
                /var/ossec/bin/ossec-control start

 - To stop OSSEC HIDS:
                /var/ossec/bin/ossec-control stop

 - The configuration can be viewed or modified at /var/ossec/etc/ossec.conf

    ---  Press ENTER to finish (maybe more information below). ---

OSSEC теперь установлен. Следующий шаг - запустить его.

[[step-3 -—- start-ossec]] == Шаг 3. Запустите OSSEC

По умолчанию OSSEC настроен на запуск при загрузке, но в первый раз вам придется запускать его вручную.

Если вы хотите проверить его текущее состояние, введите: 

/var/ossec/bin/ossec-control status

Ожидаемый результат: 

ossec-monitord not running...
ossec-logcollector not running...
ossec-syscheckd not running...
ossec-analysisd not running...
ossec-maild not running...
ossec-execd not running...

Это говорит о том, что ни один из процессов OSSEC не запущен.

Чтобы запустить OSSEC, введите: 

/var/ossec/bin/ossec-control start

Вы должны увидеть его запуск: 

Starting OSSEC HIDS v2.8 (by Trend Micro Inc.)...
Started ossec-maild...
Started ossec-execd...
Started ossec-analysisd...
Started ossec-logcollector...
Started ossec-syscheckd...
Started ossec-monitord...
Completed.

Если вы снова проверите статус, вы должны получить подтверждение того, что OSSEC теперь работает. 

/var/ossec/bin/ossec-control status

Эти выходные данные показывают, что OSSEC работает: 

ossec-monitord is running...
ossec-logcollector is running...
ossec-syscheckd is running...
ossec-analysisd is running...
ossec-maild is running...
ossec-execd is running...

Сразу после запуска OSSEC вы должны получить электронное письмо следующего содержания: 

OSSEC HIDS Notification.
2014 Nov 30 11:15:38

Received From: ossec2->ossec-monitord
Rule: 502 fired (level 3) -> "Ossec server started."
Portion of the log(s):

ossec: Ossec started.

Это еще одно подтверждение того, что OSSEC работает и будет отправлять вам оповещения по электронной почте всякий раз, когда что-то настроено для мониторинга. Даже после перезапуска OSSEC отправит вам электронное письмо.

Если вы не получили это письмо сразу, не волнуйтесь. Возможно, вам все еще придется настроить параметры электронной почты (о чем мы поговорим позже в руководстве), чтобы сообщения вашего сервера OSSEC могли доходить до вашего почтового провайдера. Это особенно верно для некоторых сторонних поставщиков услуг электронной почты, таких как Google и Fastmail.

[[step-4 -—- configure-ossec-for-real-time-alerts-on-file -izations]] == Шаг 4. Настройте OSSEC для оповещений в реальном времени об изменениях файлов.

Теперь давайте познакомимся с файлами и каталогами OSSEC и узнаем, как изменить настройки мониторинга и оповещений OSSEC.

В этом руководстве мы изменим OSSEC, чтобы уведомлять вас о каждом изменении, удалении или добавлении файла в указанные вами каталоги.

Знакомство со структурой каталогов OSSEC

Каталог OSSEC по умолчанию - это средаchroot-ed (песочница), к которой может получить доступ только пользователь с правами root (admin). Стандартный пользователь не можетcd в/var/ossec или даже перечислить файлы в нем. Однако, как пользователь root (или администратор), вы можете.

Итак,cd в каталог установки, набрав: 

cd /var/ossec

Чтобы вывести список файлов в вашем новом рабочем каталоге, введите: 

ls -lgG

Вы должны увидеть эти файлы и каталоги: 

total 40
dr-xr-x---  3 4096 Nov 26 14:56 active-response
dr-xr-x---  2 4096 Nov 20 20:56 agentless
dr-xr-x---  2 4096 Nov 20 20:56 bin
dr-xr-x---  3 4096 Nov 29 00:49 etc
drwxr-x---  5 4096 Nov 20 20:56 logs
dr-xr-x--- 11 4096 Nov 20 20:56 queue
dr-xr-x---  4 4096 Nov 20 20:56 rules
drwxr-x---  5 4096 Nov 20 21:00 stats
dr-xr-x---  2 4096 Nov 20 20:56 tmp
dr-xr-x---  3 4096 Nov 29 18:34 var

  • Основной файл конфигурации OSSEC находится в каталоге/var/ossec/etc.

  • Предопределенные правила находятся в каталоге/var/ossec/rules

  • Команды, используемые для управления OSSEC, указаны в/var/ossec/bin

  • Обратите внимание на каталог/var/ossec/logs. Если OSSEC когда-либо выдает ошибку, файл/var/ossec/logs/ossec.log в этом каталоге является первым местом, куда нужно смотреть.

Основной файл конфигурации, /var/ossec/etc/ossec.conf

Чтобы получить доступ к основному файлу конфигурации, вы должны перейти в/var/ossec/etc. Для этого введите: 

cd /var/ossec/etc

Если вы выполнитеls, находясь в этом каталоге, вы увидите следующие файлы и каталоги: 

ls -lgG

Результаты: 

total 120
-r--r----- 1 97786 Sep  8 22:03 decoder.xml
-r--r----- 1  2842 Sep  8 22:03 internal_options.conf
-r--r----- 1  3519 Oct 30 13:46 localtime
-r--r----- 1  7752 Nov 29 09:45 ossec.conf
-rw-r----- 1    87 Nov 20 20:56 ossec-init.conf
drwxrwx--- 2  4096 Nov 20 21:00 shared

Основной файл конфигурации -/var/ossec/etc/ossec.conf.

Перед изменением файла сделайте резервную копию, на всякий случай. Чтобы сделать эту копию, используйте командуcp следующим образом: 

cp /var/ossec/etc/ossec.conf /var/ossec/etc/ossec.conf.00

Идея в том, что если ваши изменения не работают или не портят систему, вы можете вернуться к копии и вернуться к нормальной работе. Это самая простая практика аварийного восстановления, которой вы всегда должны пользоваться.

Теперь откройтеossec.conf с помощью редактораnano. 

nano /var/ossec/etc/ossec.conf

Файл конфигурации представляет собой очень длинный XML-файл с несколькими разделами.

Настройки электронной почты

Note: Электронная почта в целом привередлива, особенно если вы отправляете почту более строгому провайдеру, например на адрес Gmail. Проверьте ваш спам и при необходимости измените настройки.

Первые параметры конфигурации, которые вы увидите, - это учетные данные электронной почты, которые вы указали при установке. Если вам нужно указать другой адрес электронной почты и / или SMTP-сервер, это место для этого. 


    yes
    [email protected]
    mail.example.com.
    ossecm@ossec_server

По умолчанию OSSEC отправляет 12 электронных писем в час, поэтому вы не будете наводнены оповещениями по электронной почте. Вы можете увеличить или уменьшить это значение, добавив параметр<email_maxperhour>N</email_maxperhour> в этот раздел, чтобы он читался так: 


    yes
    [email protected]
    mail.example.com.
    ossecm@ossec_server
    N

ЗаменитеN количеством писем, которые вы хотите получать в час, от1 до9999.

Некоторые сторонние поставщики услуг электронной почты (например, Google и Fastmail) автоматически отбрасывают оповещения, отправленные OSSEC, если адрес<email_from> не содержит действительной части домена, как в блоке кода выше. Чтобы избежать этого, убедитесь, что этот адрес электронной почты содержит допустимую часть домена. Например: 


    yes
    [email protected]
    mail.example.com.
    sammy@ossec_server.com

Адреса<email_to> и<email_from> могут быть одинаковыми. Например: 


    yes
    [email protected]
    mail.example.com.
    [email protected]

Если вы не хотите использовать SMTP-сервер внешнего почтового провайдера, вы можете указать свой собственный SMTP-сервер, если он у вас настроен. (Это не рассматривается в данном руководстве, но вы можете установить Postfix послеthese instructions.) Если ваш SMTP-сервер работает в той же капле, что и OSSEC, измените настройку<smtp_server> наlocalhost. Например: 


    yes
    [email protected]
    localhost
    [email protected]

OSSEC не отправляет оповещения в реальном времени по умолчанию, но этот учебник требует уведомлений в реальном времени, так что это один аспект, который вы собираетесь изменить.

Если вы по-прежнему не получаете ожидаемых писем от OSSEC, проверьте журналы в/var/ossec/logs/ossec.log на наличие ошибок почты.

Пример почтовых ошибок: 

2014/12/18 17:48:35 os_sendmail(1767): WARN: End of DATA not accepted by server
2014/12/18 17:48:35 ossec-maild(1223): ERROR: Error Sending email to 74.125.131.26 (smtp server)

Вы можете использовать эти сообщения об ошибках, чтобы помочь вам отладить любые проблемы с получением уведомлений по электронной почте.

Частота сканирования

В разделе<syscheck>ossec.conf, который начинается так: 


    
    79200

Мы включим оповещения для создания нового файла. Добавьте строку<alert_new_files>yes</alert_new_files> так, чтобы она выглядела так: 


    
    79200

    yes

В целях тестирования вы также можете установить частоту проверки системы намного ниже. По умолчанию проверка системы выполняется каждые 22 часа. В целях тестирования вы можете установить это значение один раз в минуту, то есть60 секунд. Revert this to a sane value when you are done testing. 


    
    60

    yes

Настройки изменения каталогов и файлов

Сразу после этого вы должны увидеть список системных каталогов, которые отслеживает OSSEC. Это читается как: 


/etc,/usr/bin,/usr/sbin
/bin,/sbin

Давайте включим мониторинг в реальном времени, добавив настройкиreport_changes="yes" realtime="yes" в каждую строку. Измените эти строки так, чтобы они читали: 


/etc,/usr/bin,/usr/sbin
/bin,/sbin

report_changes="yes" делает именно то, что говорит. То же самое дляrealtime="yes".

В дополнение к списку каталогов по умолчанию, который OSSEC настроил для мониторинга, вы можете добавить новые каталоги, которые вы хотите отслеживать. В следующем разделе я скажу OSSEC контролировать/home/sammy и/var/www. Для этого я собираюсь добавить новую строку прямо под существующими, так что этот раздел теперь гласит: 


/etc,/usr/bin,/usr/sbin
/bin,/sbin

/home/sammy,/var/www

Вы должны изменить каталоги, чтобы они соответствовали желаемым настройкам. Если имя вашего пользователя неsammy, вы захотите изменить путь к домашнему каталогу.

Чтобы отслеживать новые каталоги, мы добавили параметрrestrict, который указывает OSSEC отслеживать только указанные форматы файлов. Вам не нужно использовать эту опцию, но она пригодится, когда у вас есть другие файлы, например файлы изображений, о которых вы не хотите, чтобы OSSEC предупреждал о них.

Это все изменения дляossec.conf. Вы можете сохранить и закрыть файл.

Локальные правила в /var/ossec/rules/local_rules.xml

Следующий файл, который нужно изменить, находится в каталоге/var/ossec/rules, поэтому введите в негоcd, набрав: 

cd /var/ossec/rules

Если вы выполнитеls в этом каталоге, вы увидите несколько XML-файлов, таких как: 

ls -lgG

Сокращенный вывод: 

total 376
-r-xr-x--- 1  5882 Sep  8 22:03 apache_rules.xml
-r-xr-x--- 1  2567 Sep  8 22:03 arpwatch_rules.xml
-r-xr-x--- 1  3726 Sep  8 22:03 asterisk_rules.xml
-r-xr-x--- 1  4315 Sep  8 22:03 attack_rules.xml

...

-r-xr-x--- 1  1772 Nov 30 17:33 local_rules.xml

...

-r-xr-x--- 1 10359 Sep  8 22:03 ossec_rules.xml

...

Сейчас нас интересуют только два из этих файлов -local_rules.xml иossec_rules.xml. Последний содержит определения правил OSSEC по умолчанию, а в первом вы добавляете свои собственные правила. Другими словами, кромеlocal_rules.xml, вы не изменяете никакие файлы в этом каталоге.

Определения правил по умолчанию вossec_rules.xml полезно посмотреть, чтобы мы могли изменить и скопировать их в наши локальные правила. Вossec_rules.xml правило, которое срабатывает, когда файлadded находится в отслеживаемом каталоге, - это правило554. По умолчанию OSSEC не отправляет оповещения при срабатывании этого правила, поэтому задача здесь состоит в том, чтобы изменить это поведение. Вот как выглядит правило 554 в версии по умолчанию: 


ossec
syscheck_new_entry
File added to the system.
syscheck,

OSSEC не отправляет предупреждение, если для правилаlevel установлено значение0. Мы хотим изменить это правило, чтобы повысить уровень оповещения. Вместо того, чтобы изменять его в файле по умолчанию, мы скопируем правило вlocal_rules.xml и изменим его так, чтобы оно могло вызывать предупреждение.

Для этого сделайте резервную копию файла/var/ossec/rules/local_rules.xml: 

cp /var/ossec/rules/local_rules.xml /var/ossec/rules/local_rules.xml.00

Отредактируйте файл с помощьюnano: 

nano /var/ossec/rules/local_rules.xml

Добавьте новое правило в конец файла. Убедитесь, что он находится в теге<group> ... </group>. 


ossec
syscheck_new_entry
File added to the system.
syscheck,

Сохраните и закройте файл.

Это все необходимые изменения.

Перезапустите OSSEC

Теперь осталось только перезапустить OSSEC, что нужно делать каждый раз, когда вы изменяете файлы OSSEC. Для перезапуска OSSEC введите: 

/var/ossec/bin/ossec-control restart

Если все работает правильно, вы должны получить электронное письмо от OSSEC, информирующее вас о том, что он (пере) начал.

[[step-5 -—- trigger-file-change-alerts]] == Шаг 5. Запуск предупреждений об изменении файла

И в зависимости от того, что происходит в каталогах, которые OSSEC настроил для мониторинга, вы должны получать электронные письма, которые читают что-то вроде этого:

Теперь попробуйте создать образец файла в/home/sammy 

touch /home/sammy/index.html

Подождите минуту. Добавить контент: 

nano /home/sammy/index.html

Подождите минуту. Удалить файл: 

rm /home/sammy/index.html

Вы должны начать получать уведомления, как это: 

OSSEC HIDS Notification.
2014 Nov 30 18:03:51

Received From: ossec2->syscheck
Rule: 550 fired (level 7) -> "Integrity checksum changed."
Portion of the log(s):

Integrity checksum changed for: '/home/sammy/index.html'
Size changed from '21' to '46'
What changed:
1c1,4
< This is an html file
---

     
This is an html file


Old md5sum was: '4473d6ada73de51b5b36748627fa119b'
New md5sum is : 'ef36c42cd7014de95680d656dec62de9'
Old sha1sum was: '96bd9d685a7d23b20abd7d8231bb215521bcdb6c'
New sha1sum is : '5ab0f31c32077a23c71c18018a374375edcd0b90'

Или это: 

OSSEC HIDS Notification.
2014 Dec 01 10:13:31

Received From: ossec2->syscheck
Rule: 554 fired (level 7) -> "File added to the system."
Portion of the log(s):

New file '/var/www/header.html' added to the file system.

Note: OSSEC не отправляет в реальном времени предупреждения о добавлении файлов, а только об изменениях и удалениях файлов. Оповещения о добавлении файлов исчезают после полной проверки системы, которая определяется временем проверки частоты вossec.confс. 

nano /var/ossec/etc/ossec.conf

Настройка дляfrequency: 


    
    79200

Опять же, если вы не получаете электронные письма, проверьте свой спам, проверьте/var/ossec/logs/ossec.log, проверьте журналы электронной почты и т. Д.

Заключение

Я надеюсь, что это дало вам представление о том, что может предложить OSSEC. Возможны более сложные настройки и конфигурации, поэтому следите за будущими статьями о том, как развертывать OSSEC для мониторинга и защиты ваших серверов.

Для получения дополнительной информации о OSSEC посетите веб-сайт проектаhttp://www.ossec.net/.

Related