GNU/Linux >> Znalost Linux >  >> Ubuntu

Jak nainstalovat OSSEC na Ubuntu 14.04

V tomto tutoriálu vám ukážeme, jak nainstalovat a nakonfigurovat OSSEC na Ubuntu 14.04. Pro ty z vás, kteří to nevěděli, OSSEC je bezplatný, open source hostitelský útok detekční systém (HIDS). Provádí analýzu protokolů, kontrolu integrity, monitorování registru Windows, detekci rootkitů, včasné varování a aktivní odezvu. Poskytuje detekci narušení pro většinu operačních systémů, včetně Linuxu, OpenBSD, FreeBSD, Mac OS X, Solaris a Windows. OSSEC má centralizovanou architekturu napříč platformami, která umožňuje snadné monitorování a správu více systémů.

Tento článek předpokládá, že máte alespoň základní znalosti Linuxu, víte, jak používat shell, a co je nejdůležitější, hostujete svůj web na vlastním VPS. Instalace je poměrně jednoduchá a předpokládá, že běží v účtu root, pokud ne, možná budete muset přidat 'sudo ‘ k příkazům pro získání oprávnění root. Ukážu vám krok za krokem instalaci OSSEC na server Ubuntu 14.04.

Předpoklady

  • Server s jedním z následujících operačních systémů:Ubuntu 14.04 a jakoukoli jinou distribucí založenou na Debianu, jako je Linux Mint.
  • Abyste předešli případným problémům, doporučujeme použít novou instalaci operačního systému.
  • Přístup SSH k serveru (nebo stačí otevřít Terminál, pokud jste na počítači).
  • non-root sudo user nebo přístup k root user . Doporučujeme jednat jako non-root sudo user , protože však můžete poškodit svůj systém, pokud nebudete při jednání jako root opatrní.

Nainstalujte OSSEC na Ubuntu 14.04

Krok 1. Nejprve se ujistěte, že všechny vaše systémové balíčky jsou aktuální spuštěním následujícího apt-get příkazy v terminálu.

sudo apt-get update
sudo apt-get upgrade

Krok 2. Nainstalujte server LAMP (Linux, Apache, MariaDB, PHP).

Je vyžadován server Ubuntu 14.04 LAMP. Pokud nemáte nainstalovanou LAMP, můžete postupovat podle našeho průvodce zde.

Krok 3. Instalace OSSEC.

První věc, kterou musíte udělat, je přejít na stránku pro stažení OSSEC a stáhnout si nejnovější stabilní verzi OSSEC. V okamžiku psaní tohoto článku je to verze 2.8.3 :

wget https://bintray.com/artifact/download/ossec/ossec-hids/ossec-hids-2.8.3.tar.gz

Rozbalte archiv OSSEC do kořenového adresáře dokumentu na vašem serveru:

tar -xzf ossec-hids-2.8.3.tar.gz
cd ossec-hids-2.8.3
cd src
make setdb

Přejít zpět do předchozího adresáře:

cd ../
./install.sh

Můžete si vybrat, které možnosti chcete povolit/zakázat, ale doporučujeme, abyste se řídili výstupem níže. Pokud chcete použít výchozí volbu, můžete stisknout klávesu Enter ( který je uveden v závorkách) pro každou položenou otázku:

OSSEC HIDS v2.8.3 Installation Script - http://www.ossec.net

 You are about to start the installation process of the OSSEC HIDS.
 You must have a C compiler pre-installed in your system.
 If you have any questions or comments, please send an e-mail
 to [email protected] (or [email protected]).

  - System: Linux vps 2.6.32-042stab113.11
  - User: root
  - Host: vps.idroot.us

  -- Press ENTER to continue or Ctrl-C to abort. --

Stiskněte enter.

1- What kind of installation do you want (server, agent, local, hybrid or help)? server

  - Server installation chosen.

2- Setting up the installation environment.

 - Choose where to install the OSSEC HIDS [/var/ossec]:

    - Installation will be made at  /var/ossec .

3- Configuring the OSSEC HIDS.

  3.1- Do you want e-mail notification? (y/n) [y]:

   - What's your e-mail address? [email protected]
   - What's your SMTP server ip/host? smtp.example.com

  3.2- Do you want to run the integrity check daemon? (y/n) [y]:

   - Running syscheck (integrity check daemon).

  3.3- Do you want to run the rootkit detection engine? (y/n) [y]:

   - Running rootcheck (rootkit detection).

  3.4- Active response allows you to execute a specific
       command based on the events received. For example,
       you can block an IP address or disable access for
       a specific user.
       More information at:
       http://www.ossec.net/en/manual.html#active-response

   - Do you want to enable active response? (y/n) [y]:

     - Active response enabled.

   - By default, we can enable the host-deny and the
     firewall-drop responses. The first one will add
     a host to the /etc/hosts.deny and the second one
     will block the host on iptables (if linux) or on
     ipfilter (if Solaris, FreeBSD or NetBSD).
   - They can be used to stop SSHD brute force scans,
     portscans and some other forms of attacks. You can
     also add them to block on snort events, for example.

   - Do you want to enable the firewall-drop response? (y/n) [y]:

     - firewall-drop enabled (local) for levels >= 6

   - Default white list for the active response:
      - xxx.xxx.xxx.xx
      - xx.xxx.xx.xxx

   - Do you want to add more IPs to the white list? (y/n)? [n]:

  3.5- Do you want to enable remote syslog (port 514 udp)? (y/n) [y]:

   - Remote syslog enabled.

  3.6- Setting the configuration to analyze the following logs:
    -- /var/log/messages
    -- /var/log/auth.log
    -- /var/log/syslog
    -- /var/log/mail.info
    -- /var/log/dpkg.log
    -- /var/log/apache2/error.log (apache log)
    -- /var/log/apache2/access.log (apache log)

 - If you want to monitor any other file, just change
   the ossec.conf and add a new localfile entry.
   Any questions about the configuration can be answered
   by visiting us online at http://www.ossec.net .

   --- Press ENTER to continue ---

Dále stiskněte Enter a pokračujte v instalaci, která by neměla trvat déle než 3 minuty. Po dokončení všeho dostanete:

- System is Debian (Ubuntu or derivative).
 - Init script modified to start OSSEC HIDS during boot.

 - Configuration finished properly.

 - To start OSSEC HIDS:
                /var/ossec/bin/ossec-control start

 - To stop OSSEC HIDS:
                /var/ossec/bin/ossec-control stop

 - The configuration can be viewed or modified at /var/ossec/etc/ossec.conf

    Thanks for using the OSSEC HIDS.
    If you have any question, suggestion or if you find any bug,
    contact us at [email protected] or using our public maillist at
    [email protected]
    ( http://www.ossec.net/main/support/ ).

    More information can be found at http://www.ossec.net

    ---  Press ENTER to finish (maybe more information below). ---

    - In order to connect agent and server, you need to add each agent to the server.
   Run the 'manage_agents' to add or remove them:

   /var/ossec/bin/manage_agents

Spustit OSSEC:

/var/ossec/bin/ossec-control start

Krok 4. Konfigurace MariaDB pro OSSEC.

Ve výchozím nastavení není MariaDB tvrzená. MariaDB můžete zabezpečit pomocí mysql_secure_installation skript. měli byste si pozorně přečíst a níže každý krok, který nastaví heslo root, odstraní anonymní uživatele, zakáže vzdálené přihlášení root a odstraní testovací databázi a přístup k zabezpečené MariaDB:

mysql_secure_installation

Nakonfigurujte to takto:

- Set root password? [Y/n] y
- Remove anonymous users? [Y/n] y
- Disallow root login remotely? [Y/n] y
- Remove test database and access to it? [Y/n] y
- Reload privilege tables now? [Y/n] y

Dále se budeme muset přihlásit do konzole MariaDB a vytvořit databázi pro OSSEC. Spusťte následující příkaz:

mysql -u root -p

Toto vás vyzve k zadání hesla, takže zadejte své root heslo MariaDB a stiskněte Enter. Jakmile se přihlásíte ke svému databázovému serveru, musíte vytvořit databázi pro Instalace OSSEC:

create database ossec;
grant all privileges on ossec.* to ossecuser@localhost identified by 'your_password';
flush privileges;
exit

Ve výchozím nastavení OSSEC poskytuje schéma pro databázi a je umístěno v adresáři src/os_dbd/. Importujte jej do své nově vytvořené databáze oOSSECssec:

mysql -u ossecuser -p ossec < src/os_dbd/mysql.schema

Nyní přidejte konfiguraci databáze do konfiguračního souboru OSSEC:

nano /var/ossec/etc/ossec.conf

Výše uvedené řádky můžete umístit kamkoli do bloku :

<database_output>
        <hostname>127.0.0.1</hostname>
        <username>ossecuser</username>
        <password>your_password</password>
        <database>ossec</database>
        <type>mysql</type>
</database_output>

Uložte a ukončete soubor. Poté povolte databázi a restartujte OSSEC:

/var/ossec/bin/ossec-control enable database
/var/ossec/bin/ossec-control restart

Krok 5. Instalace OSSEC webového uživatelského rozhraní.

Nainstalujte OSSEC Web UI do výchozího kořenového adresáře dokumentů Apache. Zadejte adresář:

cd /var/www/html/
wget https://github.com/ossec/ossec-wui/archive/master.zip
unzip master.zip
mv ossec-wui-master/ ossec/

Vytvořte tmp adresář uvnitř a nastavte vlastnictví a oprávnění správného souboru:

mkdir ossec/tmp/
chown www-data: -R ossec/
chmod 666 /var/www/html/ossec/tmp

Krok 6. Přístup k OSSEC.

OSSEC bude ve výchozím nastavení k dispozici na portu HTTP 80. Otevřete svůj oblíbený prohlížeč a přejděte na http://yourdomain.com/ossec nebo http://server-ip/ossec . Pokud používáte firewall, otevřete port 80, abyste umožnili přístup k ovládacímu panelu.

Blahopřejeme! Úspěšně jste nainstalovali OSSEC. Děkujeme, že jste použili tento návod k instalaci OSSEC na systém Ubuntu 14.04. Pro další pomoc nebo užitečné informace vám doporučujeme navštívit oficiální web OSSEC.


Ubuntu

  1. Nainstalujte OSSEC na Ubuntu 14.04

  2. Jak nainstalovat R na Ubuntu 16.04

  3. Jak nainstalovat Go na Ubuntu 18.04

  1. Jak nainstalovat Odoo na Ubuntu

  2. Jak nainstalovat Maven na Ubuntu

  3. Jak nainstalovat Wine na Ubuntu

  1. Jak nainstalovat Ruby na Ubuntu 20.04

  2. Jak nainstalovat PuTTY na Ubuntu

  3. Jak nainstalovat Ruby na Ubuntu 18.04