Tento článek je druhou částí naší Instalace OSSEC na Ubuntu 14.04 tutoriál.
V první části jsme nainstalovali OSSEC jako server a jeho webové uživatelské rozhraní na Ubuntu 14.04 VPS.
Dnes nainstalujeme Analogi Web Dashboard a pokryjeme instalaci OSSEC agenta na jiném Ubuntu 14.04 VPS. Poté přidáme nainstalovaného agenta (klienta) na OSSEC server.
Takže začněme.
Přihlaste se k Linux VPS, kde jste nainstalovali OSSEC jako server:
# ssh root@server_ip
Aktualizujte index balíčků a zkontrolujte, zda máte dostupné aktualizace pro server:
# aktualizace apt-get &&aktualizace apt-get
Jakmile to bude mimo obraz, nainstalujme Analogi Web Dashboard. Zadejte výchozí kořenový adresář dokumentu pro Apache, který je „/var/www/html“ :
# cd /var/www/html/
Klonujte repozitář Analogi GIT:
# klon git https://github.com/ECSC/analogi.git
Zkopírujte konfigurační soubor databáze a upravte nastavení databáze s hodnotami databáze vytvořené v první části tohoto kurzu:
# cp analogi/db_ossec.php.new analogi/db_ossec.php# nano analogi/db_ossec.php
Jakmile hodnoty upravíte, měly by vypadat takto:
define ('DB_USER_O', 'ossecuser');define ('DB_PASSWORD_O', 'vaše_heslo');define ('DB_HOST_O', '127.0.0.1');define ('DB_NAME_O', 'ossec');
Uložte a zavřete soubor.
Nyní můžete navštívit ovládací panel Analogi ze svého oblíbeného webového prohlížeče. Otevřete http://vaše_IP_adresa/analogové
INSTALACE AGENTU OSSEC
Dále musíte nainstalovat OSSEC jako agenta na vaší další instanci Ubuntu. Nejprve však nainstalujte moduly, jak je znázorněno v první části tohoto návodu. Pokud již máte na instanci Ubuntu 14.04 nainstalovaný zásobník LAMP, pokračujte a proveďte následující příkaz:
# apt-get install libmysqlclient-dev libapache2-mod-php5 php5-mysql php5-curl php5-gd php5-intl php-pear php5-imagick php5-imap php5-mcrypt php5-memcache php5-ming php5-ps -pspell php5-recode php5-snmp php5-sqlite php5-tidy php5-xmlrpc php5-xsl
Stáhněte si OSSEC do adresáře „/opt“, rozbalte archiv a zadejte rozbalený adresář:
# cd /opt# wget https://bintray.com/artifact/download/ossec/ossec-hids/ossec-hids-2.8.3.tar.gz# tar -xzf ossec-hids-2.8.3. tar.gz# cd ossec-hids-2.8.3
Nyní spusťte instalační skript OSSEC a postupujte podle jednoduchých pokynů uvedených ve výstupu níže:
# ./install.sh
1- Jaký druh instalace chcete (server, agent, místní, hybridní nebo nápověda)? agent - Zvolena instalace agenta (klienta).2- Nastavení instalačního prostředí. - Vyberte, kam chcete nainstalovat OSSEC HIDS [/var/ossec]:- Instalace bude provedena na /var/ossec .3- Konfigurace OSSEC HIDS. 3.1- Jaká je IP adresa nebo název hostitele serveru OSSEC HIDS?:zadejte IP adresu počítače serveru OSSEC - Přidání IP serveru xxx.xxx.xx.xxx 3.2 - Chcete spustit démona kontroly integrity? (y/n) [y]:- Spuštění syscheck (démon kontroly integrity). 3.3- Chcete spustit engine pro detekci rootkitů? (y/n) [y]:- Spuštění rootchecku (detekce rootkitů). 3.4 - Chcete povolit aktivní odezvu? (y/n) [y]:3.5- Nastavení konfigurace pro analýzu následujících protokolů:-- /var/log/messages -- /var/log/auth.log -- /var/log/syslog -- /var /log/mail.info -- /var/log/dpkg.log -- /var/log/apache2/error.log (protokol apache) -- /var/log/apache2/access.log (protokol apache) - Pokud chcete-li monitorovat jakýkoli jiný soubor, stačí změnit soubor ossec.conf a přidat nový záznam localfile. Jakékoli dotazy týkající se konfigurace můžete zodpovědět online na adrese http://www.ossec.net. - Systém je Debian (Ubuntu nebo odvozený). - Init skript upraven tak, aby spouštěl OSSEC HIDS během bootování. - Konfigurace byla dokončena správně. - Pro spuštění OSSEC HIDS:/var/ossec/bin/ossec-control start - Pro zastavení OSSEC HIDS:/var/ossec/bin/ossec-control stop - Konfiguraci lze zobrazit nebo upravit na /var/ossec/etc/ ossec.conf Děkujeme, že používáte OSSEC HIDS. Máte-li jakékoli dotazy, návrhy nebo pokud najdete nějakou chybu, kontaktujte nás na [email protected] nebo pomocí našeho veřejného maillistu na [email protected] ( http://www.ossec.net/main/support/ ). Více informací lze nalézt na http://www.ossec.net --- Pro dokončení stiskněte ENTER (možná více informací níže). ---- Nejprve musíte přidat tohoto agenta na server, aby spolu mohli komunikovat. Když tak učiníte, můžete spustit nástroj 'manage_agents' a importovat ověřovací klíč ze serveru. /var/ossec/bin/manage_agents
Jak ukazuje výše uvedené prohlášení, měli byste nyní přidat agenta na server OSSEC. Vraťte se do konzole serveru OSSEC a vygenerujte klíč pro agenta. Použijte níže uvedený příkaz:
# /var/ossec/bin/manage_agents
Nyní vyberte možnost A, zadejte jméno nového agenta, jeho IP adresu a ID. Postupujte podle níže uvedeného výstupu:
******************************************** Agent OSSEC HIDS v2.8.3 manažer. ** K dispozici jsou následující možnosti:************************************************* ( A) přidejte agenta (A). (E)extrahovat klíč pro agenta (E). (L)seznam již přidaných agentů (L). (R)odstranit agenta (R). (Q)uit.Vyberte svou akci:A,E,L,R nebo Q:A - Přidání nového agenta (pro návrat do hlavního menu použijte '\q'). Zadejte prosím následující:* Jméno nového agenta:ossec-client * IP adresa nového agenta:zde byste měli zadat IP adresu OSSEC agenta * ID nového agenta[001]:Informace o agentovi:ID:001 Jméno:IP adresa klienta ossec:xxx.xx.xxx.xxxPotvrdit přidání?(y/n):y Agent přidán.
Spusťte /var/ossec/bin/manage_agents příkaz znovu a extrahujte klíč pro agenta:
# /var/ossec/bin/manage_agents******************************************** *** OSSEC HIDS v2.8.3 Správce agentů. ** K dispozici jsou následující možnosti:************************************************* ( A) přidejte agenta (A). (E)extrahovat klíč pro agenta (E). (L)seznam již přidaných agentů (L). (R)odstranit agenta (R). (Q)uit.Vyberte svou akci:A,E,L,R nebo Q:E Dostupní agenti:ID:001, Jméno:ossec-client, IP:zadejte IP adresu agenta OSSECUveďte ID agenta pro extrahování klíče (nebo '\q' pro ukončení):001 Klíčová informace agenta pro '001' je:MDAxIG9==...... ** Stisknutím ENTER se vrátíte do hlavní nabídky.
Zkopírujte klíč a přepněte se do konzole agenta OSSEC. Spusťte příkaz /var/ossec/bin/manage_agents:
# /var/ossec/bin/manage_agents******************************************** *** OSSEC HIDS v2.8.3 Správce agentů. ** K dispozici jsou následující možnosti:************************************************* ( I)importuji klíč ze serveru (I). (Q)uit.Vyberte svou akci:I nebo Q:I * Poskytněte klíč vygenerovaný serverem.* Nejlepší způsob je vyjmout a vložit jej.*** OBS:Nevkládejte mezery ani nové řádky. Vložte jej sem (nebo '\q' pro ukončení):vložit klíč, který jste vygenerovali na svém OSSEC serveru Informace o agentovi:ID:001 Jméno:IP adresa klienta ossec:IP adresa agenta OSSEC Potvrdit přidání? (y/n):yPřidáno.
Můžete zkontrolovat konfigurační soubor OSSEC, abyste zjistili, zda byl server OSSEC úspěšně přidán:
# nano /var/ossec/etc/ossec.conf
IP adresa OSSEC serveru je přidána na začátek souboru:
xxx.xxx.xx.xxx
Jakmile to uděláte, restartujte OSSEC na serverech i na strojích agenta:
# /var/ossec/bin/ossec-control restart
Nyní můžete agenta sledovat buď ze standardního webového uživatelského rozhraní nebo Analogový řídicí panel . Je to na tobě. OSSEC je samozřejmě komplexní systém detekce narušení a můžete škubnout jeho konfigurací a agenty, takže pro více informací se prosím podívejte do důkladné dokumentace OSSEC.
Gratulujeme. Úspěšně jste nakonfigurovali a integrovali agenta OSSEC se serverem OSSEC. Stejný postup byste měli použít, pokud chcete do OSSEC přidat dalšího agenta.
Samozřejmě nemusíte nic z toho dělat, pokud používáte některou z našich hostingových služeb Linux VPS, v takovém případě můžete jednoduše požádat naše zkušené administrátory Linuxu, aby to udělali za vás. Jsou k dispozici 24×7 a okamžitě se postarají o váš požadavek.
PS . Pokud se vám tento příspěvek líbil, sdílejte jej se svými přáteli na sociálních sítích pomocí tlačítek vlevo nebo jednoduše zanechte odpověď níže. Děkuji.
Panels