Nainstalujte agent OSSEC na Ubuntu 14.04

ossecTento článek je druhou částí našeho článku Nainstalujte aplikaci OSSEC na Ubuntu 14.04 výukový program.

V první části jsme nainstalovali server OSSEC as a jeho uživatelské rozhraní na webu Ubuntu 14.04 VPS.

Dnes nainstalujeme Analogi Web Dashboard a pokryjeme instalaci agenta OSSEC na jiné Ubuntu 14.04 VPS. Poté přidáme nainstalovaný agent (klient) na server OSSEC.

Takže začněte.

Přihlaste se do Linux VPS kde jste nainstalovali server OSSEC as:

# ssh [Email chráněn]_ip

Aktualizujte index balíčku a zkontrolujte, zda máte k dispozici aktualizace pro server:

# apt-get update && apt-get upgrade

Jakmile je obrázek mimo obrázek, nainstalujeme Analogi Web Dashboard. Zadejte výchozí kořenový dokument pro Apache, který je '/ var / www / html':

# cd / var / www / html /

Klonujte repo Analogi GIT:

#git clone https://github.com/ECSC/analogi.git

Zkopírujte konfigurační soubor databáze a upravte nastavení databáze hodnotami databáze vytvořené v části první tohoto tutoriálu:

# cp analogi / db_ossec.php.new analog / db_ossec.php # nano analog / db_ossec.php

Jakmile upravíte hodnoty, měly by vypadat takto:

definovat ('DB_USER_O', 'ossecuser'); define ('DB_PASSWORD_O', 'váš_password'); define ('DB_HOST_O', '127.0.0.1'); definovat ('DB_NAME_O', 'ossec');

Uložte a zavřete soubor.

Nyní můžete navštívit panel Analogi z vašeho oblíbeného webového prohlížeče. Otevřete http: // your_IP_address / analogi

INSTALACE AGENTŮ OSSEC

Poté musíte nainstalovat OSSEC jako agenta v jiné instanci Ubuntu. Ale nejprve nainstalujte moduly, jak je uvedeno v první části tohoto tutoriálu. Pokud už máte nainstalovaný zásobník LAMP ubuntu 14.04 instance, pak pokračujte a proveďte následující příkaz:

# apt-get instalace libmysqlclient-dev libapache2-mod-php5 php5-php5-php5-php5-php5-php5-php5-php5-php5-php5-php5-php5-pspell php5 -rekód php5-snmp php5-sqlite php5-uklizený php5-xmlrpc phpXNUMX-xsl

Stáhněte soubor OSSEC do adresáře '/ opt', rozbalte archiv a zadejte rozbalený adresář:

# cd / opt # wget https://bintray.com/artifact/download/ossec/ossec-hids/ossec-hids-2.8.3.tar.gz # tar -xzf ossec-hids-2.8.3.tar.gz # cd ossec- hids-2.8.3

Nyní spusťte instalační skript OSSEC a postupujte podle jednoduchých pokynů uvedených níže:

# .install.sh
1 - Jaký typ instalace chcete (server, agent, lokální, hybridní nebo nápověda)? zástupce

  - Vybrána instalace agent (klient). 2 - Nastavení instalačního prostředí. - Zvolte, kde nainstalovat OSSEC HIDS [/ var / ossec]: - Instalace bude provedena na / var / ossec. 3 - Konfigurace OSSEC HIDS. 3.1 - Jaká je IP adresa nebo název hostitele serveru OSSEC HIDS ?: zadejte adresu IP serveru serveru OSSEC

   - Přidání serveru IP xxx.xxx.xx.xxx 3.2- Chcete spustit démon kontroly integrity? (y / n) [y]: - Běžící syscheck (démon kontroly integrity). 3.3- Chcete spustit nástroj pro detekci rootkitu? (y / n) [y]: - Spuštění kořenové kontroly (detekce rootkitů). 3.4 - Chcete aktivovat aktivní reakci? (y / n) [y]: 3.5 - Nastavení konfigurace pro analýzu následujících protokolů: - / var / log / messages - /var/log/auth.log - / var / log / syslog - / var /log/mail.info - /var/log/dpkg.log - /var/log/apache2/error.log (protokol apache) - /var/log/apache2/access.log (protokol apache) - Pokud chcete sledovat jakýkoli jiný soubor, stačí změnit ossec.conf a přidat nový záznam localfile. Jakékoli otázky týkající se konfigurace lze zodpovědět na adrese http://www.ossec.net. - systém je Debian (Ubuntu nebo derivát). - Init script upravený pro spuštění OSSEC HIDS během bootování. - Konfigurace byla dokončena správně. - spuštění OSSEC HIDS: / var / ossec / bin / ossec-control start - zastavení OSSEC HIDS: / var / ossec / bin / ossec-control stop - ossec.conf Díky za použití OSSEC HIDS. Pokud máte nějaké dotazy, návrhy nebo pokud najdete chybu, kontaktujte nás [Email chráněn] nebo pomocí našeho veřejného maillistu na
    [Email chráněn]
    (http://www.ossec.net/main/support/). Více informací naleznete na adrese http://www.ossec.net --- Potvrďte stisknutím klávesy ENTER (možná více informací níže). --- - Nejprve musíte přidat agent na server, aby mohli vzájemně komunikovat. Pokud tak učiníte, můžete spustit nástroj "manage_agents" a importovat ověřovací klíč ze serveru. / var / ossec / bin / manage_agents

Jak ukazuje výše uvedené prohlášení, měli byste nyní agent přidat na server OSSEC. Vraťte se zpět na konzolu serveru OSSEC a vygenerujte klíč pro agent. Použijte následující příkaz:

# / var / ossec / bin / manage_agents

Nyní zvolte možnost A, zadejte název nového agenta, jeho IP adresu a ID. Postupujte podle níže uvedeného výstupu:

******************************************** * OSSEC HIDS v2.8.3 Správce agentů. * * K dispozici jsou následující možnosti: * ******************************************** ( A) dd činidlo (A). (E) xtract klíč pro agent (E). (L) je již přidáno činidlo (L). (R) uvolňuje činidlo (R). (Přestat. Vyberte svou akci: A, E, L, R nebo Q: A

- Přidání nového agenta (pro návrat do hlavního menu použijte '\ q'). Zadejte prosím následující údaje: * Jméno nového agenta: ossec-klient
   * Adresa IP nového agenta: zde byste měli zadat adresu IP agenta OSSEC
   * ID nového agenta [001]: Informace o agenta: ID: 001 Jméno: ossec-client IP adresa: xxx.xx.xxx.xxx Potvrďte přidání? (Y / n): y
Agent přidal.

Spusťte / var / ossec / bin / manage_agents příkaz znovu a extrahujte klíč pro agenta:

# / var / ossec / bin / manage_agents ******************************************** * OSSEC HIDS v2.8.3 Správce agentů. * * K dispozici jsou následující možnosti: * ******************************************** ( A) dd činidlo (A). (E) xtract klíč pro agent (E). (L) je již přidáno činidlo (L). (R) uvolňuje činidlo (R). (Přestat. Vyberte svou akci: A, E, L, R nebo Q: E

Dostupné agenty: ID: 001, Název: ossec-client, IP: zadejte IP adresu agentu OSSEC. Zadáním ID agentu extrahujte klíč (nebo '\ q' ukončete): 001

Informace o klíči agenta pro "001" jsou:
MDAxIG9 == ......

** Stisknutím tlačítka ENTER se vrátíte do hlavního menu.

Zkopírujte klíč a přepněte na konzolu agenta OSSEC. Proveďte příkaz / var / ossec / bin / manage_agents:

# / var / ossec / bin / manage_agents ******************************************** * OSSEC HIDS v2.8.3 Správce agentů. * * K dispozici jsou následující možnosti: * ******************************************** ( I) klíč mport ze serveru (I). (Přestat. Vyberte svou akci: I nebo Q: I

* Zadejte klíč vygenerovaný serverem. * Nejlepším přístupem je snížit a vložit. *** OBS: Nezahrnujte mezery nebo nové čáry. Vložte jej zde (nebo '\ q' ukončete): vložte klíč, který jste vygenerovali na serveru OSSEC

Informace o agenta: ID: 001 Jméno: ossec-client IP adresa: IP adresa agenta OSSEC

Potvrďte přidání (y / n): y Přidáno.

Můžete zkontrolovat konfigurační soubor OSSEC a zjistit, zda byl úspěšně přidán server OSSEC:

# nano /var/ossec/etc/ossec.conf

Adresa IP serveru OSSEC je přidána na začátku souboru:

<klient> <server-hostname> xxx.xxx.xx.xxx </ server-hostname> </ client>

Jakmile to provedete, restartujte OSSEC na serverových i agentových strojích:

# / var / ossec / bin / ossec-restartování

Nyní můžete agent sledovat buď standardním Webový uživatelský rozhraní nebo Analogový přístrojový panel. Je to na tobě. Samozřejmě, OSSEC je komplexní systém detekce vniknutí a můžete ho přemístit do konfigurace a agentů, takže pro více informací prosím zkontrolujte OSSEC důkladně dokumentace.

Gratulace. Úspěšně jste konfigurovali a integrovali agent OSSEC s serverem OSSEC. Stejným postupem byste měli postupovat, pokud chcete do OSSEC přidat další agent.

Napsat komentář