Installer OSSEC-agent på Ubuntu 14.04

OSSECDenne artikel er anden del af vores Installer OSSEC på Ubuntu 14.04 tutorial.

I første del installerede vi OSSEC som server, og det er webbrugergrænseflade på en Ubuntu 14.04 VPS.

I dag installerer vi Analogi Web Dashboard og dækker OSSEC agent installationen på en anden Ubuntu 14.04 VPS. Derefter vil vi tilføje den installerede agent (klient) til OSSEC-serveren.

Så lad os starte.

Log ind på Linux VPS hvor du installerede OSSEC som server:

# ssh [Email protected]_IP

Opdater pakkeindekset og kontroller, om du har tilgængelige opgraderinger til serveren:

# apt-get update && apt-get opgradering

Når det er ude af billedet, lad os installere Analogi Web Dashboard. Indtast standarddokumentroteren til Apache, som er '/ var / www / html':

# cd / var / www / html /

Klon Analogi GIT repo:

# git klon https://github.com/ECSC/analogi.git

Kopier database-konfigurationsfilen og ændrer databasens indstillinger med værdierne i databasen, der er oprettet i del 1 af denne vejledning:

# cp analogi / db_ossec.php.new analogi / db_ossec.php # nano analogi / db_ossec.php

Når du har ændret værdierne, skal de se sådan ud:

define ('DB_USER_O', 'ossecuser'); define ('DB_PASSWORD_O', 'din_password'); define ('DB_HOST_O', '127.0.0.1'); define ('DB_NAME_O', 'ossec');

Gem og luk filen.

Du kan nu besøge Analogi dashboard fra din yndlingswebbrowser. Åbn http: // din_IP_address / analogi

OSSEC AGENT INSTALLATION

Derefter skal du installere OSSEC som agent på din anden Ubuntu-instans. Men først installer modulerne som vist i første del af denne vejledning. Hvis du allerede har LAMP-stakken installeret på din Ubuntu 14.04 eksempel, fortsæt og udfør følgende kommando:

# apt-get install libmysqlclient-dev libapache2-mod-php5 php5-mysql php5-curl php5-gd php5-intl php-pear php5-imagick php5-imap php5-mcrypt php5-memcache php5-ming php5-ps php5-pspell php5 -reaktor php5-snmp php5-sqlite php5-ryddelige php5-xmlrpc php5-xsl

Download OSSEC i '/ opt'-biblioteket, pakk arkivet og indtast det udpakket bibliotek:

# cd / opt # wget https://bintray.com/artifact/download/ossec/ossec-hids/ossec-hids-2.8.3.tar.gz # tar -xzf osec-hids-2.8.3.tar.gz # cd ossec- HIDS-2.8.3

Start nu OSSEC installations script og følg de lette instruktioner som vist i nedenstående output:

# ./install.sh
1- Hvilken type installation vil du have (server, agent, lokal, hybrid eller hjælp)? agent

  - Agent (klient) installation valgt. 2- Opsætning af installationsmiljøet. - Vælg hvor du skal installere OSSEC HIDS [/ var / ossec]: - Installation vil ske på / var / ossec. 3- Konfiguration af OSSEC HIDS. 3.1- Hvad er IP-adressen eller værtsnavnet på OSSEC HIDS-serveren ?: Indtast IP-adressen på OSSEC-servermaskinen

   - Tilføjelse af server IP xxx.xxx.xx.xxx 3.2- Vil du køre integritetscheckdemonen? (y / n) [y]: - Running syscheck (integrity check daemon). 3.3 - Vil du køre rootkit detektionsmotor? (y / n) [y]: - Running rootcheck (rootkit detektion). 3.4 - Vil du aktivere aktivt svar? (y / n) [y]: 3.5 - Indstilling af konfiguration for at analysere følgende logfiler: - / var / log / messages - /var/log/auth.log - / var / log / syslog - / var /log/mail.info - /var/log/dpkg.log - /var/log/apache2/error.log (apache log) - /var/log/apache2/access.log (apache log) - Hvis du vil overvåge enhver anden fil, skal du bare ændre osec.conf og tilføje en ny lokalfil indgang. Eventuelle spørgsmål om konfigurationen kan besvares ved at besøge os online på http://www.ossec.net. - Systemet er Debian (Ubuntu eller derivat). - Init script ændret til at starte OSSEC HIDS under boot. - Konfigurationen er færdig korrekt. - For at starte OSSEC HIDS: / var / osec / bin / ossec-kontrol start - For at stoppe OSSEC HIDS: / var / osec / bin / ossec-kontrol stop - Konfigurationen kan ses eller ændres på / var / osec / etc / osec.conf Tak for at bruge OSSEC HIDS. Hvis du har spørgsmål, forslag eller hvis du finder nogen fejl, kontakt os på [Email protected] eller ved hjælp af vores offentlige maillist på
    [Email protected]
    (http://www.ossec.net/main/support/). Flere oplysninger findes på http://www.ossec.net --- Tryk ENTER for at afslutte (måske flere oplysninger nedenfor). --- - Du skal først føje denne agent til serveren, så de kan kommunikere med hinanden. Når du har gjort det, kan du køre værktøjet 'manage_agents' til at importere godkendelsesnøglen fra serveren. / var / OSSEC / bin / manage_agents

Som ovenstående erklæring viser, skal du nu tilføje agenten til OSSEC-serveren. Gå tilbage til din OSSEC-serverkonsol og generer en nøgle til agenten. Brug kommandoen nedenfor:

# / var / ossec / bin / manage_agents

Vælg nu A-indstillingen, indtast navnet på den nye agent, det er IP-adresse og ID. Følg nedenstående output:

*************************************** * OSSEC HIDS v2.8.3 Agent manager. * * Følgende muligheder er tilgængelige: * *************************************** ( A) dd et middel (A). (E) xtract nøgle for en agent (E). (L) er allerede tilsat midler (L). (R) emove et middel (R). (Afslut. Vælg din handling: A, E, L, R eller Q: A

- Tilføjelse af en ny agent (brug '\ q' for at vende tilbage til hovedmenuen). Angiv venligst følgende: * Et navn på den nye agent: OSSEC-klient
   * Den nye agents IP-adresse: her skal du indtaste OSSEC-agentens IP-adresse
   * En id til den nye agent [001]: Agentinformation: ID: 001 Navn: osec-client IP-adresse: xxx.xx.xxx.xxx Bekræft at tilføje det? (Y / n): y
Agent tilføjet.

Kør / var / OSSEC / bin / manage_agents kommando igen og uddrag nøglen til agenten:

# / var / ossec / bin / manage_agents *************************************** * OSSEC HIDS v2.8.3 Agent manager. * * Følgende muligheder er tilgængelige: * *************************************** ( A) dd et middel (A). (E) xtract nøgle for en agent (E). (L) er allerede tilsat midler (L). (R) emove et middel (R). (Afslut. Vælg din handling: A, E, L, R eller Q: E

Tilgængelige agenter: ID: 001, Navn: ossec-client, IP: Indtast OSSEC-agentens IP-adresse Giv agentens ID til at hente nøglen (eller '\ q' for at afslutte): 001

Agent nøgleinformation for '001' er:
MDAxIG9 == ......

** Tryk på ENTER for at vende tilbage til hovedmenuen.

Kopier nøglen og skift til din OSSEC-agentkonsol. Udfør kommandoen / var / osec / bin / manage_agents:

# / var / ossec / bin / manage_agents *************************************** * OSSEC HIDS v2.8.3 Agent manager. * * Følgende muligheder er tilgængelige: * *************************************** ( I) mport nøgle fra serveren (I). (Afslut. Vælg din handling: I eller Q: I

* Giv nøglen genereret af serveren. * Den bedste tilgang er at klippe og indsætte det. *** OBS: Indsæt ikke mellemrum eller nye linjer. Indsæt det her (eller '\ q' for at afslutte): Indsæt nøglen, du genererede på din OSSEC-server

Agentinformation: ID: 001 Navn: osec-client IP-adresse: IP-adressen til OSSEC-agenten

Bekræft at tilføje det? (Y / n): y Tilføjet.

Du kan kontrollere OSSEC-konfigurationsfilen for at se, om OSSEC-serveren er blevet tilføjet succesfuldt:

# nano /var/ossec/etc/ossec.conf

IP-adressen på OSSEC-serveren tilføjes i begyndelsen af ​​filen:

<client> <server-hostname> xxx.xxx.xx.xxx </ server-hostname> </ client>

Når det er gjort, genstart OSSEC på både server og agent maskiner:

# / var / osec / bin / ossec-kontrol genstart

Du kan nu overvåge agenten fra enten standarden Web UI eller Analogi dashboard. Det er op til dig. Selvfølgelig er OSSEC et komplekst indbrudsdetekteringssystem, og du kan ryste den konfiguration og agenter, så for mere info, se venligst OSSEC grundig dokumentation.

Tillykke. Du har konfigureret og integreret et OSSEC-agent med OSSEC-serveren. Du bør følge denne samme procedure, hvis du vil tilføje en anden agent til OSSEC.

Giv en kommentar

Dette websted bruger Akismet til at reducere spam. Lær, hvordan dine kommentardata behandles.