Tento článek je první částí úplného návodu pro instalaci OSSEC serveru/agenta na Ubuntu 14.04 VPS . Tato část se zabývá instalací OSSEC 2.8.3 (nejnovější stabilní verze, kdy byl napsán tento tutoriál), je to instalace webového uživatelského rozhraní a ukazuje, jak povolit podporu MySQL pro OSSEC.
OSSEC je open source hostitelský systém detekce narušení. Kombinuje všechny aspekty HIDS (host-based intrusion detection) a Security Incident Management (SIM)/Security Information and Event Management (SIEM) dohromady v jednoduchém, výkonném a open source řešení.
Klíčové výhody OSSEC jsou:
- Požadavky na shodu
- Multi platforma
- Výstrahy v reálném čase a konfigurovatelné výstrahy
- Integrace se současnou infrastrukturou
- Centralizované řízení
- Monitorování agentů a bez agentů
OSSEC provádí analýzu protokolů, kontrolu integrity souborů, monitorování zásad, detekci rootkitů, upozornění v reálném čase a aktivní odezvu. Chcete-li zkontrolovat operační systémy a formáty protokolů, které OSSEC podporuje, navštivte jejich stránku.
POŽADAVKY
V tomto tutoriálu budeme používat náš plán hostování SSD 1 Linux VPS.
Přihlaste se na svůj server přes SSH:
# ssh root@server_ip
Než začnete, zadejte níže uvedený příkaz a zkontrolujte, zda máte na svém počítači nainstalovanou správnou verzi Ubuntu:
# lsb_release -a
Mělo by vám to poskytnout následující výstup:
Distributor ID: Ubuntu Description: Ubuntu 14.04.3 LTS Release: 14.04 Codename: trusty
AKTUALIZOVAT SYSTÉM
Ujistěte se, že je váš server plně aktuální:
# apt-get update && apt-get upgrade
Nyní nainstalujte Apache, MySQL, PHP a některé potřebné moduly pomocí níže uvedeného příkazu:
# apt-get install mysql-server libmysqlclient-dev mysql-client apache2 php5 libapache2-mod-php5 php5-mysql php5-curl php5-gd php5-intl php-pear php5-imagick php5-imap php5-mcrypt php5-memcache php5-ming php5-ps php5-pspell php5-recode php5-snmp php5-sqlite php5-tidy php5-xmlrpc php5-xsl
INSTALOVAT OSSEC
Zadejte /opt adresář:
# cd /opt
Stáhnout OSSEC:
# wget https://bintray.com/artifact/download/ossec/ossec-hids/ossec-hids-2.8.3.tar.gz
Rozbalte archiv a zadejte rozbalený adresář:
# tar -xzf ossec-hids-2.8.3.tar.gz # cd ossec-hids-2.8.3
Povolte podporu databáze MySQL:
# cd src # make setdb
Přejít zpět do předchozího adresáře:
# cd ../
Nyní spusťte instalační skript OSSEC a postupujte podle jednoduchých pokynů:
# ./install.sh
Níže je uveden výstup celého postupu instalace a funkcí, které jsme povolili. Samozřejmě si vyberete, které možnosti povolíte/zakážete, ale doporučujeme vám postupovat podle níže uvedeného výstupu. Můžete stisknout enter, pokud chcete použít výchozí volbu (která je uvedena v závorkách) pro každou položenou otázku.
OSSEC HIDS v2.8.3 Installation Script - http://www.ossec.net You are about to start the installation process of the OSSEC HIDS. You must have a C compiler pre-installed in your system. If you have any questions or comments, please send an e-mail to [email protected] (or [email protected]). - System: Linux vps 2.6.32-042stab113.11 - User: root - Host: vps.rosehosting.com -- Press ENTER to continue or Ctrl-C to abort. --
Stiskněte enter.
1- What kind of installation do you want (server, agent, local, hybrid or help)? server
- Server installation chosen.
2- Setting up the installation environment.
- Choose where to install the OSSEC HIDS [/var/ossec]:
- Installation will be made at /var/ossec .
3- Configuring the OSSEC HIDS.
3.1- Do you want e-mail notification? (y/n) [y]:
- What's your e-mail address? [email protected]
- What's your SMTP server ip/host? smtp.example.com
3.2- Do you want to run the integrity check daemon? (y/n) [y]:
- Running syscheck (integrity check daemon).
3.3- Do you want to run the rootkit detection engine? (y/n) [y]:
- Running rootcheck (rootkit detection).
3.4- Active response allows you to execute a specific
command based on the events received. For example,
you can block an IP address or disable access for
a specific user.
More information at:
http://www.ossec.net/en/manual.html#active-response
- Do you want to enable active response? (y/n) [y]:
- Active response enabled.
- By default, we can enable the host-deny and the
firewall-drop responses. The first one will add
a host to the /etc/hosts.deny and the second one
will block the host on iptables (if linux) or on
ipfilter (if Solaris, FreeBSD or NetBSD).
- They can be used to stop SSHD brute force scans,
portscans and some other forms of attacks. You can
also add them to block on snort events, for example.
- Do you want to enable the firewall-drop response? (y/n) [y]:
- firewall-drop enabled (local) for levels >= 6
- Default white list for the active response:
- xxx.xxx.xxx.xx
- xx.xxx.xx.xxx
- Do you want to add more IPs to the white list? (y/n)? [n]:
3.5- Do you want to enable remote syslog (port 514 udp)? (y/n) [y]:
- Remote syslog enabled.
3.6- Setting the configuration to analyze the following logs:
-- /var/log/messages
-- /var/log/auth.log
-- /var/log/syslog
-- /var/log/mail.info
-- /var/log/dpkg.log
-- /var/log/apache2/error.log (apache log)
-- /var/log/apache2/access.log (apache log)
- If you want to monitor any other file, just change
the ossec.conf and add a new localfile entry.
Any questions about the configuration can be answered
by visiting us online at http://www.ossec.net .
--- Press ENTER to continue --- Nyní stiskněte Enter a pokračujte v instalaci, která by neměla trvat déle než 2 minuty. Po dokončení všeho dostanete:
- System is Debian (Ubuntu or derivative).
- Init script modified to start OSSEC HIDS during boot.
- Configuration finished properly.
- To start OSSEC HIDS:
/var/ossec/bin/ossec-control start
- To stop OSSEC HIDS:
/var/ossec/bin/ossec-control stop
- The configuration can be viewed or modified at /var/ossec/etc/ossec.conf
Thanks for using the OSSEC HIDS.
If you have any question, suggestion or if you find any bug,
contact us at [email protected] or using our public maillist at
[email protected]
( http://www.ossec.net/main/support/ ).
More information can be found at http://www.ossec.net
--- Press ENTER to finish (maybe more information below). ---
- In order to connect agent and server, you need to add each agent to the server.
Run the 'manage_agents' to add or remove them:
/var/ossec/bin/manage_agents Spusťte OSSEC:
# /var/ossec/bin/ossec-control start
Dalším krokem je vytvoření uživatele a databáze MySQL pro OSSEC. Zadejte MySQL jako root:
# mysql -u root -p mysql> create database ossec; Query OK, 1 row affected (0.00 sec) mysql> grant all privileges on ossec.* to ossecuser@localhost identified by 'your_password'; Query OK, 0 rows affected (0.00 sec) mysql> flush privileges; Query OK, 0 rows affected (0.00 sec) mysql> exit Bye
OSSEC poskytuje schéma pro databázi a je umístěno v adresáři src/os_dbd/. Proto jej importujte do své nově vytvořené databáze ossec:
# mysql -u ossecuser -p ossec < src/os_dbd/mysql.schema
Po zobrazení výzvy zadejte heslo ossecuser.
Nyní přidejte konfiguraci databáze do konfiguračního souboru OSSEC:
# nano /var/ossec/etc/ossec.conf
<database_output> <hostname>127.0.0.1</hostname> <username>ossecuser</username> <password>your_password</password> <database>ossec</database> <type>mysql</type> </database_output>
Výše uvedené řádky můžete umístit kamkoli do bloku
# /var/ossec/bin/ossec-control enable database # /var/ossec/bin/ossec-control restart
NAINSTALUJTE WEBOVÉ ROZHRANÍ OSSEC
Nainstalujte OSSEC Web UI do výchozího kořenového adresáře dokumentů Apache. Zadejte adresář:
# cd /var/www/html/
Stáhněte si nejnovější OSSEC WUI a rozbalte archiv:
# wget https://github.com/ossec/ossec-wui/archive/master.zip # unzip master.zip
Přejmenujte adresář na ossec:
# mv ossec-wui-master/ ossec/
Vytvořte uvnitř adresář tmp a nastavte správné vlastnictví souborů a oprávnění:
# mkdir ossec/tmp/ # chown www-data: -R ossec/ # chmod 666 /var/www/html/ossec/tmp
Nyní můžete přistupovat k webovému uživatelskému rozhraní otevřením svého oblíbeného webového prohlížeče a přechodem na http://IP_IP_vašeho_serveru/ossec/
Gratulujeme, úspěšně jste nainstalovali OSSEC server a jeho webové uživatelské rozhraní na Ubuntu 14.04 VPS. Další informace naleznete v podrobné dokumentaci OSSEC.
V druhé části tohoto tutoriálu se budeme věnovat instalaci OSSEC agenta na jiný počítač a nainstalujeme Analogi Web Dashboard, který poskytuje lepší a informativnější rozhraní ve srovnání se standardním webovým uživatelským rozhraním.
Samozřejmě nemusíte nic z toho dělat, pokud používáte některou z našich hostingových služeb Linux VPS, v takovém případě můžete jednoduše požádat naše zkušené administrátory Linuxu, aby to udělali za vás. Jsou k dispozici 24×7 a okamžitě se postarají o váš požadavek.
PS . Pokud se vám tento příspěvek líbil, sdílejte jej se svými přáteli na sociálních sítích pomocí tlačítek vlevo nebo jednoduše zanechte odpověď níže. Děkuji.