Как контролировать агентов OSSEC с помощью сервера OSSEC в Ubuntu 14.04

OSSEC - это система обнаружения вторжений (HIDS) с открытым исходным кодом, которая выполняет анализ журналов, проверку целостности, мониторинг реестра Windows, обнаружение руткитов, оповещения на основе времени и активные ответы. Это приложение для установки на ваш сервер, если вы хотите следить за тем, что происходит внутри него. OSSEC поддерживается в Windows и во всех Unix-подобных операционных системах; однако оба дроплеты, используемые в этом руководстве, работают под управлением Ubuntu 14.04.

OSSEC может быть установлен для мониторинга только сервера, на котором он установлен, что является локальной установкой на языке OSSEC. Два предыдущих учебника по OSSEC являются примерами локальных установок OSSEC: https://www.digitalocean.com/community/tutorials/how-to-install-and-configure-ossec-security-notifications-on-ubuntu-14-04 [Как установить и настроить уведомления безопасности OSSEC в Ubuntu 14.04] и How To Установите и настройте OSSEC на FreeBSD 10.1.

OSSEC также может использоваться для мониторинга тысяч других серверов, которые называются OSSEC * агентами *. Агенты OSSEC контролируются другим типом установки OSSEC, который называется OSSEC * server *. После настройки сервера OSSEC на мониторинг одного или нескольких агентов дополнительные агенты могут быть добавлены или удалены в любое время. Мониторинг агентов OSSEC может осуществляться с помощью программного обеспечения агента, установленного на агентах, или в режиме без агентов. В этом руководстве будет использоваться режим агента, который влечет за собой установку программного обеспечения агента OSSEC на агентах.

В этом руководстве вы узнаете, как установить сервер OSSEC и агент OSSEC, а затем настройте сервер и агент таким образом, чтобы сервер следил за агентом, а сервер отправлял оповещения на вашу электронную почту.

Для завершения этого урока вам понадобится следующее.

Мы начнем с загрузки и проверки OSSEC для обеих капель (сервера и агента). Все команды на этом шаге должны выполняться для обеих капель, если не указано иное.

OSSEC поставляется в виде сжатого тарбола. В этом разделе вы загрузите OSSEC и файл его контрольной суммы, который используется для проверки того, что тарбол не был подделан. Для начала войдите на сервер как обычно, затем обновите базу данных пакета.

Установите любые доступные обновления.

Наконец, установите необходимые пакеты.

На * сервере * вы должны установить следующее:

На * агент * вы должны установить следующее:

После этого на обеих каплях загрузите OSSEC и файл его контрольной суммы. Вы можете проверить project’s website на наличие последней версии, но приведенные ниже являются самыми последними на момент написания.

После загрузки обоих файлов проверьте md5sum сжатого архива.

Выход должен быть:

Затем выполните проверку контрольной суммы SHA1.

Его вывод должен быть:

В каждом случае игнорируйте строку * WARNING *. Строка * OK * подтверждает, что файл исправен.

На этом этапе мы установим сервер OSSEC *, поэтому эти команды должны выполняться только на одной капле. Перед началом установки сервера распакуйте его.

Он будет распакован в каталог с именем + ossec-hids-2.8.1 + Перейдите в этот каталог.

Затем начните установку.

На протяжении всего процесса установки вам будет предложено ввести некоторые данные. В большинстве этих случаев все, что вам нужно сделать, это нажать * ENTER *, чтобы принять значения по умолчанию.

Первый выбор, который вам будет предложено сделать, это выбрать язык установки. По умолчанию это английский (en), поэтому нажмите * ENTER *, если вы предпочитаете этот язык. В противном случае введите 2 буквы из списка поддерживаемых языков.

Следующий вопрос спросит, какую установку вы хотите. Здесь введите * сервер *.

Для остальных последующих вопросов вы можете принять значения по умолчанию, что означает просто нажать * ENTER *. Для вопроса по электронной почте обязательно введите действительный адрес электронной почты. Уведомления будут отправлены на него.

Если установка прошла успешно, вы должны получить следующие выходные данные:

Затем нажмите * ENTER *, и вы должны увидеть это:

Поскольку агент еще не установлен, мы решим задачу добавления его на сервер позже. А пока давайте настроим сервер так, чтобы он мог отправлять оповещения.

Здесь мы собираемся настроить параметры электронной почты сервера OSSEC и убедиться, что он может отправлять оповещения на указанный адрес электронной почты. Для доступа к файлам и каталогам OSSEC и их изменения вам необходимо переключиться на пользователя root.

Теперь, когда вы root, + cd + в каталог, в котором находится файл конфигурации OSSEC.

Файл конфигурации + ossec.conf +. Сначала сделайте резервную копию.

Затем откройте оригинал. Здесь мы используем текстовый редактор + nano +, но вы можете использовать любой, который вы предпочитаете.

Настройки электронной почты находятся вверху файла. Вот описание полей, которые вы измените, а затем пример файла + ossec.conf +.

Обратите внимание, что * <email_to \> * и * <email_from \> * могут совпадать. Вот как будет выглядеть этот раздел, когда вы закончите; замените переменные в красном на ваши собственные.

После изменения настроек электронной почты сохраните и закройте файл. Затем запустите OSSEC.

Проверьте свой почтовый ящик на наличие электронного письма, в котором говорится, что OSSEC запущен. Проверьте папку со спамом, если вы не видите письмо.

В этом разделе вы узнаете, как установить агент OSSEC * на второй капле. Это будет похоже на установку сервера. Перед началом установки агента распакуйте его.

Он будет распакован в каталог с именем + ossec-hids-2.8.1 + Перейдите в этот каталог.

Затем начните установку.

Большинство запросов такие же, как и раньше, но некоторые другие. Когда спросили:

Ответ должен быть * агент *. И когда спросили:

Введите IP-адрес сервера OSSEC, который вы получили ранее. Это IP-адрес другого Droplet (тот, где был установлен сервер OSSEC).

Для других вопросов примите значения по умолчанию, нажав * ENTER *, как вы делали во время установки сервера OSSEC. После установки вы должны получить такой вывод:

И после повторного нажатия * ENTER * вы должны увидеть:

Теперь агент и сервер установлены, но они еще не могут связаться.

На сервере OSSEC запустите процесс добавления агента.

Затем вам будут представлены варианты, показанные ниже. Выберите * a *, чтобы добавить агента.

Затем вам будет предложено указать имя агента, его IP-адрес и идентификатор. Сделайте имя уникальным, потому что оно поможет вам в фильтрации предупреждений, полученных с сервера. Для идентификатора вы можете принять значение по умолчанию, нажав * ENTER *.

Когда вы введете все три поля, введите * y * для подтверждения.

После этого вы вернетесь в главное меню. Теперь вам нужно извлечь ключ агента, который будет отображен на экране. (Он будет отличаться от приведенного в примере ниже.) Убедитесь, что вы скопировали его, потому что вам придется ввести его для агента.

После нажатия * ENTER * вы снова вернетесь в главное меню. Введите * q *, чтобы выйти.

Этот раздел должен быть заполнен на агенте, и он включает в себя импорт (копирование) ключа агента, извлеченного на сервере, и вставку его на терминал агента. Для начала перейдите в root, набрав:

Затем введите:

Вам будут представлены следующие варианты:

После ввода правильного параметра следуйте инструкциям, чтобы скопировать и вставить ключ, созданный на сервере.

Чтобы вернуться в главное меню, введите * q *, чтобы выйти:

Связь между агентом и сервером осуществляется через UDP-порт 1514, поэтому вам придется добавить правило в iptables на обоих концах, чтобы разрешить трафик через этот порт.

Во-первых, временно удалите правило удаления как на агенте, так и на сервере.

Чтобы добавить правило на сервер OSSEC *, введите следующее, используя IP-адрес вашего агента OSSEC.

Затем в * агент * введите следующее, используя IP-адрес вашего сервера OSSEC.

Затем разрешите весь исходящий трафик через брандмауэр как на агенте, так и на сервере.

Наконец, добавьте правило удаления снова в оба.

Эти правила должны сохраняться после перезагрузки из-за + iptables-persistant +, который вы установили во время предварительных условий.

Теперь, когда сервер и агент настроены для взаимодействия, перезапустите их, чтобы применить изменения, используя:

Помимо возможности перезапустить агент OSSEC из самого агента, вы также можете перезапустить его с сервера OSSEC с помощью + / var / ossec / bin / agent_control -R +, где * 001 * - идентификатор агента.

На сервере OSSEC вы можете получить список активных агентов, набрав:

Если вы получите вывод, подобный приведенному ниже, то вы знаете, что сервер и агент разговаривают.