Вступление
OSSEC - это система обнаружения вторжений (HIDS) с открытым исходным кодом, которая выполняет анализ журналов, проверку целостности, мониторинг реестра Windows, обнаружение руткитов, оповещения на основе времени и активные ответы. Он может быть установлен для мониторинга одного сервера или тысяч серверов.
В этом руководстве показано, как обновить установку OSSEC 2.8.1 до последней версии OSSEC 2.8.2, в которой устранена недавно обнаруженная ошибка.
Предпосылки
-
Дроплет, уже работающий с OSSEC 2.8.1, настроенный в соответствии с нашими руководствами для https://www.digitalocean.com/community/tutorials/how-to-install-and-configure-ossec-security-notifications-on-ubuntu-14 -04 [Ubuntu 14.04], Debian 8 или https: //www.digitalocean.com/community/tutorials/how-to-set-up-a-local-ossec-installation-on-fedora-21[Fedora 21].
Если вы установили OSSEC 2.8.1 на FreeBSD 10.1 с помощью thutorial, вы может легко выполнить обновление с помощью диспетчера пакетов этого дистрибутива, и не нужно следовать этому руководству.
Шаг 1 - Загрузка и проверка OSSEC 2.8.2
Первым шагом к обновлению OSSEC является загрузка архива и его файла контрольной суммы, который будет использоваться для проверки того, что архив не был скомпрометирован.
Сначала скачайте новый тарбол.
wget -U ossec http://www.ossec.net/files/ossec-hids-2.8.2.tar.gzЗатем загрузите файл контрольной суммы.
wget -U ossec http://www.ossec.net/files/ossec-hids-2.8.2-checksum.txtЧтобы убедиться, что тарбол не был скомпрометирован, сначала проверьте контрольную сумму MD5.
md5sum -c ossec-hids-2.8.2-checksum.txtВыход должен быть:
вывод md5sum
ossec-hids-2.8.2.tar.gz: OK
md5sum: WARNING: 1 line is improperly formattedЗатем проверьте контрольную сумму SHA1.
sha1sum -c ossec-hids-2.8.2-checksum.txtОжидаемый результат:
вывод sha1sum
ossec-hids-2.8.2.tar.gz: OK
sha1sum: WARNING: 1 line is improperly formattedШаг 2 - Исправление ошибки
Хотя OSSEC 2.8.2 исправил ошибку безопасности, он не устранял давнюю ошибку, которая заставляла OSSEC перезаписывать содержимое файла + / etc / hosts.deny +. Исправление должно быть применено вручную перед началом обновления. И исправление включает в себя редактирование файла во вновь загруженном архиве.
Это означает, что мы должны сначала распаковать архив.
tar xf ossec-hids-2.8.2.tar.gzОн должен быть распакован в каталог, имя которого включает номер версии программы. Перейдите (+ cd +) в этот каталог.
cd ossec-hids-2.8.2Файл, который нам нужно отредактировать, + host-deny.she, находится в каталоге` + active-response in`. Так что откройте его, используя:
nano active-response/host-deny.shВ конце файла найдите две строки в коде, которые начинаются с * TMP_FILE = *, под * # Удаление из hosts.deny комментария *. Отредактируйте обе строки, чтобы убрать пробелы по обе стороны от знака * = *, чтобы блок кода выглядел следующим образом.
Модифицированный кодовый блок host-deny.sh
# Deleting from hosts.deny
elif [ "x${ACTION}" = "xdelete" ]; then
lock;
if [ "X${TMP_FILE}" = "X" ]; then
# Cheap fake tmpfile, but should be harder then no random data
fiСохраните и закройте файл.
Шаг 3 - Обновление OSSEC 2.8.1
Теперь мы можем начать обновление.
sudo ./install.shВам будет предложено выбрать язык установки. Нажмите * ENTER *, чтобы принять значение по умолчанию, или введите двухбуквенный код, представляющий предпочитаемый вами язык, затем нажмите * ENTER *. Следуя инструкциям на экране, в какой-то момент вам зададут два простых вопроса. Для каждого введите, затем нажмите * ENTER *.
OSSEC вызывает вопрос
- You already have OSSEC installed. Do you want to update it? (y/n):
- Do you want to update the rules? (y/n):Процесс обновления должен занять около двух минут. Программа установки остановится, а затем перезапустит OSSEC, и вы получите электронное письмо, подтверждающее, что OSSEC перезапустился.
Вы можете проверить это дважды, запросив статус OSSEC.
sudo /var/ossec/bin/ossec-control statusВыходные данные должны указывать, что все процессы * запущены *.
Заключение
Выполнив эти простые шаги, вы только что обновили OSSEC 2.8.1 до OSSEC 2.8.2.