Как настроить локальную установку OSSEC на Fedora 21

OSSEC - это система обнаружения вторжений (HIDS) с открытым исходным кодом, которая выполняет анализ журналов, проверку целостности, мониторинг реестра Windows, обнаружение руткитов, оповещения на основе времени и активные ответы. Это приложение для установки на ваш сервер, если вы хотите следить за тем, что происходит внутри него.

OSSEC может быть установлен для мониторинга только того сервера, на котором он установлен, что является локальной установкой на языке OSSEC, или может быть установлен как сервер для мониторинга одного или нескольких агентов. Из этого руководства вы узнаете, как установить OSSEC для мониторинга сервера Fedora 21 или RHEL, на котором он установлен: локальная установка OSSEC.

Для завершения этого урока вам понадобятся:

Этот учебник должен быть использован как пользователь не-root.

[[step-1 -—- install-required-packages]] == Шаг 1. Установка необходимых пакетов

В этом разделе вы установите несколько необходимых пакетов.

В частности, установитеbind-utils,gcc,make иinotify-tools, используя следующую команду.

bind-utils предоставляет утилиты системы доменных имен (DNS),gcc иmake будут использоваться установщиком OSSEC, аinotify-tools необходим OSSEC для уведомлений в реальном времени.

[[step-2 -—- download-and-verifying-ossec]] == Шаг 2. Загрузка и проверка OSSEC

OSSEC поставляется в виде сжатого тарбола. На этом этапе вы загрузите его и его файл контрольной суммы, который проверяет, что тарбол не был подделан.

Вы можете проверитьproject’s website на наличие последней версии. На момент написания этой статьиOSSEC 2.8.1 - это последняя стабильная версия.

Сначала скачайте тарбол.

Затем загрузите файл контрольной суммы.

После загрузки обоих файлов проверьте md5sum сжатого архива.

Выход должен быть:

Затем выполните проверку контрольной суммы SHA1.

Его вывод должен быть:

В каждом случае игнорируйте строкуWARNING. СтрокаOK подтверждает, что файл в порядке.

[[step-3 -—- find-your-smtp-server]] == Шаг 3 - Найдите свой SMTP-сервер

При настройке уведомлений по электронной почте во время установки OSSEC OSSEC запросит ваш SMTP-сервер. На этом этапе мы выясним эту информацию.

Чтобы определить правильный SMTP-сервер для использования вашим поставщиком услуг электронной почты, вы можете использовать командуdig для запроса записей ресурсов почтового обменника (MX) провайдера. Введите следующую команду, заменивexample.com на доменное имя вашего почтового провайдера:

Вывод состоит из нескольких разделов, но нас интересует только разделANSWER, который содержит одну или несколько строк. В конце каждой строки указывается SMTP-сервер.

Например, если вы запустите команду, используяfastmail.com:

Действительные SMTP-серверы для провайдера будут в конце каждого списка в разделе ОТВЕТ, который должен гласить:

В этом примере вы можете использоватьin1-smtp.messagingengine.com. илиin2-smtp.messagingengine.com. в качестве SMTP-сервера.

Скопируйте один из SMTP-серверов у своего поставщика электронной почты и сохраните его, чтобы войти в следующий шаг. Не забудьте также включить. (период) в конце.

[[step-4 -—- install-ossec]] == Шаг 4 - Установка OSSEC

На этом этапе мы установим OSSEC.

Перед началом установки распакуйте его, используя:

Он будет распакован в каталог с именемossec-hids-2.8.1. Перейдите в этот каталог.

Затем начните установку.

На протяжении всего процесса установки вам будет предложено ввести некоторые данные. В большинстве случаев все, что вам нужно сделать, это нажатьENTER, чтобы принять значение по умолчанию.

Сначала вам будет предложено выбрать язык установки. По умолчанию это английский (en), поэтому нажмитеENTER, если вы предпочитаете этот язык. В противном случае введите 2 буквы из списка поддерживаемых языков. Затем снова нажмитеENTER, чтобы начать установку.

Вопрос 1 спросит, какую установку вы хотите. Здесь введитеlocal.

Для всех следующих вопросов нажмитеENTER, чтобы принять значение по умолчанию. Вопрос 3.1 дополнительно запросит у вас адрес электронной почты, а затем запросит IP-адрес вашего хоста SMTP-сервера. Здесь введите свой адрес электронной почты и SMTP-сервер, который вы сохранили с шага 3.

Если установка прошла успешно, в конце вы должны увидеть следующее:

НажмитеENTER, чтобы завершить установку.

[[step-5 -—- verifying-ossec-39-s-email-settings]] == Шаг 5. Проверка настроек электронной почты OSSEC

Здесь мы собираемся проверить правильность учетных данных электронной почты, указанных на предыдущем шаге, и тех, которые были автоматически настроены OSSEC.

Настройки электронной почты находятся в основном файле конфигурации OSSEC,ossec.conf, который находится в каталоге/var/ossec/etc. Чтобы получить доступ к любому файлу OSSEC и изменить его, сначала необходимо переключиться на пользователя root.

Теперь, когда вы являетесь пользователем root, перейдитеcd в каталог, где находится файл конфигурации OSSEC.

Сначала сделайте резервную копию этого файла.

Затем откройте оригинальный файл. Здесь мы используем текстовый редакторnano, но вы можете использовать любой текстовый редактор, который вам нравится.

Настройки электронной почты находятся вверху файла. Вот описания полей.

Обратите внимание, что<email_to> и<email_from> могут быть одинаковыми, и если у вас есть собственный почтовый сервер на том же хосте, что и сервер OSSEC, вы можете изменить настройку<smtp_server> наlocalhost .

Вот как будет выглядеть этот раздел, когда вы закончите.

После изменения настроек электронной почты сохраните и закройте файл. Затем запустите OSSEC.

Проверьте свой почтовый ящик на наличие электронного письма, в котором говорится, что OSSEC запущен. Если вы получите электронное письмо от вашей установки OSSEC, то вы знаете, что будущие оповещения также будут поступать в ваш почтовый ящик. Если вы этого не сделаете, проверьте папку со спамом.

[[шаг-6 -—- добавление-оповещений]] == Шаг 6 - Добавление оповещений

По умолчанию OSSEC будет выдавать оповещения об изменениях файлов и других действиях на сервере, но не будет оповещать о новых добавлениях файлов, а также не будет оповещать в режиме реального времени - только после запланированного сканирования системы, которое составляет 79200 секунд (или 22 часа). ) по умолчанию. В этом разделе мы добавим оповещения о добавлении файлов в режиме реального времени.

Сначала откройтеossec.conf.

Затем прокрутите вниз до раздела<syscheck>, который начинается с этого текста:

Сразу под тегом<frequency> добавьте<alert_new_files>yes</alert_new_files>.

Пока у вас открытossec.conf, взгляните на список системных каталогов, которые отслеживает OSSEC, который находится под последней строкой, которую вы только что изменили. Следует читать:

Для каждого списка каталогов добавьте параметрыreport_changes="yes" иrealtime="yes". После внесения изменений раздел должен гласить:

Помимо списка каталогов по умолчанию, который OSSEC настроил для мониторинга, вы также можете добавить любой, который хотите отслеживать. Например, вы можете добавить мониторинг своего домашнего каталога/home/sammy. Чтобы сделать это, добавьте эту новую строку прямо под другими строками каталога, подставив в ваше имя пользователя:

Теперь сохраните и закройтеossec.conf.

Следующий файл, который нужно изменить, находится в каталоге/var/ossec/rules, поэтому перейдите в этот каталог.

Каталог/var/ossec/rules содержит множество файлов XML, включаяossec_rules.xml, который содержит определения правил OSSEC по умолчанию, иlocal_rules.xml, куда вы можете добавлять собственные правила. local_rules.xml - единственный файл, который вы должны редактировать в этом каталоге.

Вossec_rules.xml правило, срабатывающее при добавлении файла в отслеживаемый каталог, - это правило 554. По умолчанию OSSEC не отправляет оповещения при срабатывании этого правила, поэтому задача здесь состоит в том, чтобы изменить это поведение. Вот как правило 554 выглядит по умолчанию:

OSSEC не отправляет оповещение, если для правила установлен уровень 0, поэтому мы скопируем это правило вlocal_rules.xml и изменим его, чтобы активировать оповещение. Для этого откройтеlocal_rules.xml.

Добавьте следующее в конце файла перед строкой с тегом</group>.

Сохраните и закройте файл. Теперь перезапустите OSSEC, чтобы перезагрузить файлы, которые мы отредактировали.

Теперь вы должны получать оповещения от OSSEC об отслеживаемых каталогах и файлах журналов.