Installer OSSEC på Ubuntu 14.04

OSSECDenne artikel er den første del af den fulde vejledning til installerer OSSEC server / agent på en Ubuntu 14.04 VPS. Denne del dækker installationen af ​​OSSEC 2.8.3 (den seneste stabile version, da denne vejledning blev skrevet), det er Web UI-installation og viser, hvordan du aktiverer MySQL-support til OSSEC.

OSSEC er et Open Source Host-baseret Intrusion Detection System. Det kombinerer alle aspekter af HIDS (værtbaseret indtrængningsdetektering) og Security Incident Management (SIM) / Security Information and Event Management (SIEM) sammen i en simpel, kraftfuld og open source-løsning.

OSSECs vigtigste fordele er:

  • Overensstemmelseskrav
  • Multi platform
  • Realtid og konfigurerbare advarsler
  • Integration med den nuværende infrastruktur
  • Centraliseret forvaltning
  • Agent og agentless overvågning

OSSEC udfører log analyse, fil integritet kontrol, politik overvågning, rootkit detektion, real-time alarm og aktiv respons. For at kontrollere operativsystemerne og logformaterne, som OSSEC understøtter, kan du besøge deres side.

KRAV

Vi bruger vores SSD 1 Linux VPS Hosting plan for denne tutorial.

Log ind på din server via SSH:

# ssh [Email protected]_IP

Før du starter, skal du indtaste nedenstående kommando for at kontrollere, om du har den korrekte version af Ubuntu installeret på din maskine:

# lsb_release -a

Det skal give dig nedenstående output:

Distributør-id: Ubuntu Beskrivelse: Ubuntu 14.04.3 LTS Udgivelse: 14.04 Kodenavn: Trusty

OPDATER SYSTEMET

Sørg for, at din server er fuldt opdateret:

# apt-get update && apt-get opgradering

Installer nu Apache, MySQL, PHP og nogle nødvendige moduler med nedenstående kommando:

# apt-get install mysql-server libmysqlclient-dev mysql-klient apache2 php5 libapache2-mod-php5 php5-mysql php5-curl php5-gd php5-intl php-pear php5-imagick php5-imap php5-mcrypt php5-memcache php5-memcache php5- ming php5-ps php5-pspell php5-rekode php5-snmp php5-sqlite php5-ryddelige php5-xmlrpc phpXNUMX-xsl

INSTALLER OSSEC

Indtast / opt vejviser:

# cd / opt

Download OSSEC:

# wget https://bintray.com/artifact/download/ossec/ossec-hids/ossec-hids-2.8.3.tar.gz

Udpak arkivet og indtast det udpakket bibliotek:

# tar -xzf ossec-hids-2.8.3.tar.gz # cd osec-hids-2.8.3

Aktivér MySQL-databasestøtten:

# cd src # make setdb

Gå tilbage til den forrige mappe:

# cd ../

Start nu OSSEC installations script og følg de nemme instruktioner:

# ./install.sh

Under er output fra hele installationsproceduren og de funktioner, vi har aktiveret. Selvfølgelig vælger du hvilke muligheder der skal aktiveres / deaktiveres, men vi anbefaler dig at følge nedenstående output. Du kan trykke på enter, hvis du vil gå med standardvalg (som sættes i parentes) for hvert spørgsmål, der stilles.

OSSEC HIDS v2.8.3 installations script - http://www.ossec.net Du er ved at starte installationen af ​​OSSEC HIDS. Du skal have en C-kompiler forudinstalleret i dit system. Hvis du har spørgsmål eller kommentarer, så send en e-mail til [Email protected] (eller [Email protected]). - System: Linux vps 2.6.32-042stab113.11 - Bruger: root - Host: vps.rosehosting.com - Tryk på ENTER for at fortsætte eller Ctrl-C for at afbryde. -

Tryk på enter.

1- Hvilken type installation vil du have (server, agent, lokal, hybrid eller hjælp)? server - serverinstallation valgt. 2- Opsætning af installationsmiljøet. - Vælg hvor du skal installere OSSEC HIDS [/ var / ossec]: - Installation vil ske på / var / ossec. 3- Konfiguration af OSSEC HIDS. 3.1- Vil du have en e-mail-besked? (y / n) [y]: - Hvad er din e-mail-adresse? [Email protected]
   - Hvad er din SMTP-server ip / vært? smtp.example.com 3.2- Vil du køre integritetscheckdemonen? (y / n) [y]: - Running syscheck (integrity check daemon). 3.3 - Vil du køre rootkit detektionsmotor? (y / n) [y]: - Running rootcheck (rootkit detektion). 3.4-Aktiv svar giver dig mulighed for at udføre en bestemt kommando baseret på de modtagne hændelser. Du kan f.eks. Blokere en IP-adresse eller deaktivere adgang for en bestemt bruger. Flere oplysninger på: http://www.ossec.net/en/manual.html#active-response - Vil du aktivere aktivt svar? (y / n) [y]: - Aktiv svar aktiveret. - Som standard kan vi aktivere host-deny og firewall-drop respons. Den første vil tilføje en vært til /etc/hosts.deny og den anden vil blokere værten på iptables (hvis Linux) eller på ipfilter (hvis Solaris, FreeBSD eller NetBSD). - De kan bruges til at stoppe SSHD brute force scans, portscans og nogle andre former for angreb. Du kan også tilføje dem for at blokere for snorthændelser, for eksempel. - Vil du aktivere firewall-drop respons? (y / n) [y]: - firewall-drop aktiveret (lokal) for niveauer> = 6 - Standard hvid liste for aktivt svar: - xxx.xxx.xxx.xx - xx.xxx.xx.xxx - Gør du Vil du tilføje flere IP'er til den hvide liste? (Y / n)? [n]: 3.5- Vil du aktivere ekstern syslog (port 514 udp)? (y / n) [y]: - Fjern syslog aktiveret. 3.6 - Indstilling af konfiguration for at analysere følgende logfiler: - / var / log / messages - /var/log/auth.log - / var / log / syslog - /var/log/mail.info - / var / log / dpkg.log - /var/log/apache2/error.log (apache log) - /var/log/apache2/access.log (apache log) - Hvis du vil overvåge en anden fil, skal du bare Skift osec.conf og tilføj en ny lokalfil indgang. Eventuelle spørgsmål om konfigurationen kan besvares ved at besøge os online på http://www.ossec.net. --- Tryk ENTER for at fortsætte ---

Tryk nu enter for at fortsætte med installationen, som ikke skal tage mere end 2 minutter. Når alt er gennemført får du:

- Systemet er Debian (Ubuntu eller derivat). - Init script ændret til at starte OSSEC HIDS under opstart. - Konfigurationen er færdig korrekt. - For at starte OSSEC HIDS: / var / osec / bin / ossec-kontrol start - For at stoppe OSSEC HIDS: / var / osec / bin / ossec-kontrol stop - Konfigurationen kan ses eller ændres på / var / osec / etc / osec.conf Tak for at bruge OSSEC HIDS. Hvis du har spørgsmål, forslag eller hvis du finder nogen fejl, kontakt os på [Email protected] eller ved hjælp af vores offentlige maillist på
    [Email protected]
    (http://www.ossec.net/main/support/). Flere oplysninger kan findes på http://www.ossec.net --- Tryk ENTER for at afslutte (måske flere oplysninger nedenfor). --- - For at forbinde agent og server skal du tilføje hver agent til serveren. Kør 'manage_agents' for at tilføje eller fjerne dem: / var / ossec / bin / manage_agents

Start OSSEC:

# / var / ossec / bin / ossec-kontrol start

Det næste skridt er at oprette en MySQL-bruger og database til OSSEC. Indtast MySQL som root:

# mysql -u root -p mysql> Opret database osec; Forespørgsel OK, berørt 1 række (0.00 sec) mysql> give alle privilegier på osec. * Til [Email protected] identificeret af 'din_password'; Forespørgsel OK, påvirket 0 rækker (0.00 sek) mysql> flush privilegier; Forespørgsel OK, påvirket 0 rækker (0.00 sek) mysql> exit Bye

OSSEC giver et skema til databasen, og det er placeret i src / os_dbd / directory. Importer derfor det til din nyoprettede osec database:

# mysql -d osecuser -p ossec <src / os_dbd / mysql.schema

Indtast osecuser-adgangskoden, når du bliver bedt om det.

Tilføj nu database-konfigurationen til OSSEC-konfigurationsfilen:

# nano /var/ossec/etc/ossec.conf
<database_output> <hostname> 127.0.0.1 </ hostname> <brugernavn> osecuser </ username> <password> din_password </ password> <database> osec </ database> <type> mysql </ type> </ database_output>

Du kan sætte ovenstående linjer overalt i <ossec_config> -blokken. Gem og afslut filen. Aktivér derefter databasen og genstart OSSEC:

# / var / osec / bin / ossec-kontrol aktiver database # / var / osec / bin / ossec-kontrol genstart

INSTALLER OSSEC WEB UI

Installer OSSEC Web UI i Apache's standard dokument root. Indtast biblioteket:

# cd / var / www / html /

Download den nyeste OSSEC WUI og udpak arkivet:

# wget https://github.com/ossec/ossec-wui/archive/master.zip # unzip master.zip

Omdøb mappen til osec:

# mv osec-wui-master / osec /

Opret en tmp-katalog inde og sæt de rigtige filer ejerskab og tilladelser:

# mkdir ossec / tmp / # chown www-data: -R ossec / # chmod 666 / var / www / html / osec / tmp

Du kan nu få adgang til web-brugergrænsefladen ved at åbne din yndlingswebbrowser og navigere til http://your_server_IP/ossec/

Tillykke med, du har installeret OSSEC-serveren succesfuldt, og det er webbrugergrænsefladen på en Ubuntu 14.04 VPS. For mere information, se venligst OSSEC grundigt dokumentation.

I anden del af denne vejledning dækker vi OSSEC-agentinstallationen på en anden maskine, og vi installerer Analogi Web Dashboard, der giver en bedre og mere informativ grænseflade sammenlignet med standardwebbrugerwebben.

Giv en kommentar

Dette websted bruger Akismet til at reducere spam. Lær, hvordan dine kommentardata behandles.