Cách thiết lập cài đặt OSSEC cục bộ trên Fedora 21

OSSEC là một hệ thống phát hiện xâm nhập dựa trên server (HIDS) open-souce , thực hiện phân tích log , kiểm tra tính toàn vẹn, giám sát register Windows, phát hiện rootkit, cảnh báo dựa trên thời gian và phản hồi tích cực. Đây là ứng dụng để cài đặt trên server của bạn nếu bạn muốn theo dõi những gì đang xảy ra bên trong nó.

---

OSSEC có thể được cài đặt để giám sát chỉ server mà nó được cài đặt, đây là một cài đặt local theo cách nói của OSSEC hoặc được cài đặt như một server để giám sát một hoặc nhiều tác nhân. Trong hướng dẫn này, bạn sẽ học cách cài đặt OSSEC để giám sát server Fedora 21 hoặc RHEL mà nó được cài đặt trên: cài đặt OSSEC local .

Yêu cầu

Để hoàn thành hướng dẫn này, bạn cần :

• Fedora 21 Server mà bạn đã cài đặt theo hướng dẫn này .

Hướng dẫn này nên được thực hiện với quyền là user không phải root có quyền sudo .

Bước 1 - Cài đặt các gói bắt buộc

Trong phần này, bạn sẽ cài đặt một số gói bắt buộc.

Đặc biệt, hãy cài đặt các công cụ bind-utils , gcc , make và inotify-tools bằng lệnh sau.

sudo yum install -y bind-utils gcc make inotify-tools 

bind-utils cung cấp các tiện ích Hệ thống domain (DNS), gcc và make sẽ được trình cài đặt OSSEC sử dụng và OSSEC cần inotify-tools để nhận thông báo thời gian thực.

Bước 2 - Download và xác minh OSSEC

OSSEC được phân phối dưới dạng tarball nén. Trong bước này, bạn sẽ download nó và file tổng kiểm tra của nó, file này xác minh tarball không bị giả mạo.

Bạn có thể kiểm tra trang web của dự án để biết version mới nhất. Tại thời điểm viết bài này, OSSEC 2.8.1 là bản phát hành ổn định mới nhất.

Đầu tiên, download tarball.

wget -U ossec http://www.ossec.net/files/ossec-hids-2.8.1.tar.gz 

Sau đó, download file tổng kiểm tra.

wget -U ossec http://www.ossec.net/files/ossec-hids-2.8.1-checksum.txt 

Sau khi download cả hai file , hãy xác minh md5sum rball đã nén.

md5sum -c ossec-hids-2.8.1-checksum.txt 

Đầu ra phải là:

ossec-hids-2.8.1.tar.gz: OK md5sum: WARNING: 1 line is improperly formatted 

Thực hiện theo điều đó bằng cách xác minh tổng kiểm tra SHA1.

sha1sum -c ossec-hids-2.8.1-checksum.txt 

Đầu ra của nó phải là:

ossec-hids-2.8.1.tar.gz: OK sha1sum: WARNING: 1 line is improperly formatted 

Trong mỗi trường hợp, hãy bỏ qua dòng CẢNH BÁO . Dòng OK là dòng xác nhận file tốt.

Bước 3 - Tìm Server SMTP của bạn

Khi cài đặt thông báo qua email trong quá trình cài đặt OSSEC, OSSEC sẽ yêu cầu server SMTP của bạn. Trong bước này, ta sẽ tìm ra thông tin đó.

Để xác định server SMTP chính xác để sử dụng cho nhà cung cấp dịch vụ email của bạn, bạn có thể sử dụng lệnh dig để truy vấn bản ghi tài nguyên của trình trao đổi thư (MX) của nhà cung cấp. Nhập lệnh sau, thay thế example.com bằng domain của nhà cung cấp dịch vụ email của bạn:

dig -t mx example.com 

Đầu ra được tạo thành từ một số phần, nhưng ta chỉ quan tâm đến phần TRẢ LỜI , chứa một hoặc nhiều dòng. Ở cuối mỗi dòng là server SMTP để sử dụng.

Ví dụ: nếu bạn chạy lệnh bằng fastmail.com :

dig -t mx fastmail.com 

Server SMTP hợp lệ cho nhà cung cấp sẽ nằm ở cuối mỗi danh sách trong phần TRẢ LỜI, sẽ đọc:

;; ANSWER SECTION: fastmail.com.           3600    IN      MX      10 in1-smtp.messagingengine.com. fastmail.com.           3600    IN      MX      20 in2-smtp.messagingengine.com.  

Trong ví dụ này, bạn có thể sử dụng in1-smtp.messagingengine.com. hoặc in2-smtp.messagingengine.com. như một server SMTP.

Sao chép một trong các server SMTP từ nhà cung cấp email của bạn và lưu nó để nhập trong bước tiếp theo. Hãy chắc chắn bao gồm . (dấu chấm) ở cuối cũng vậy.

Bước 4 - Cài đặt OSSEC

Trong bước này, ta sẽ cài đặt OSSEC.

Trước khi bắt đầu cài đặt, hãy mở khóa bằng cách sử dụng:

tar xf ossec-hids-2.8.1.tar.gz 

Nó sẽ được extract vào một folder có tên ossec-hids-2.8.1 . Thay đổi vào folder đó.

cd ossec-hids-2.8.1 

Sau đó bắt đầu cài đặt.

sudo ./install.sh 

Trong suốt quá trình cài đặt , bạn sẽ được yêu cầu cung cấp một số thông tin đầu vào. Trong hầu hết các trường hợp đó, tất cả những gì bạn cần làm là nhấn ENTER để chấp nhận giá trị mặc định.

Trước tiên, bạn sẽ được yêu cầu chọn ngôn ngữ cài đặt. Theo mặc định, nó là tiếng Anh (vi), vì vậy hãy nhấn ENTER nếu đó là ngôn ngữ bạn muốn . Nếu không, hãy nhập 2 chữ cái từ danh sách các ngôn ngữ được hỗ trợ. Sau đó nhấn ENTER lần nữa để bắt đầu cài đặt.

Câu hỏi 1 sẽ hỏi bạn muốn cài đặt kiểu gì. Tại đây, hãy nhập local .

1- What kind of installation do you want (server, agent, local, hybrid or help)? local 

Đối với tất cả các câu hỏi sau, nhấn ENTER để chấp nhận giá trị mặc định. Câu hỏi 3.1 cũng sẽ nhắc bạn nhập địa chỉ email và sau đó yêu cầu ip / server SMTP của bạn. Tại đây, nhập địa chỉ email của bạn và server SMTP mà bạn đã lưu từ Bước 3.

Nếu cài đặt thành công, ở cuối, bạn sẽ thấy kết quả này:

 - Configuration finished properly.  ...      More information can be found at http://www.ossec.net      ---  Press ENTER to finish (maybe more information below). --- 

Nhấn ENTER để kết thúc cài đặt.

Bước 5 - Xác minh Cài đặt Email của OSSEC

Ở đây ta sẽ xác minh thông tin đăng nhập email được chỉ định trong bước trước và thông tin đăng nhập mà OSSEC tự động cấu hình là chính xác.

Cài đặt email nằm trong file cấu hình chính của OSSEC, ossec.conf , nằm trong folder /var/ossec/etc Để truy cập và sửa đổi các file OSSEC nào, trước tiên bạn cần chuyển sang user root .

sudo su 

Đến đây bạn đã root, hãy cd vào folder chứa file cấu hình của OSSEC.

cd /var/ossec/etc 

Đầu tiên, tạo một bản backup của file đó.

cp ossec.conf ossec.conf.00 

Sau đó, mở file root . Ở đây, ta sử dụng editor nano , nhưng bạn có thể sử dụng bất kỳ editor nào bạn thích.

nano ossec.conf 

Cài đặt email nằm ở đầu file . Dưới đây là mô tả của các lĩnh vực.

• <email_to> là email bạn đã cung cấp trong quá trình cài đặt. Cảnh báo sẽ được gửi đến địa chỉ email đó.
• <email_from> là nơi xuất phát các cảnh báo của OSSEC. Thay đổi địa chỉ email đó thành địa chỉ email hợp lệ để giảm tỷ lệ email của bạn bị server SMTP của nhà cung cấp dịch vụ email của bạn gắn thẻ là spam.
• <smtp_server> là server SMTP bạn đã chỉ định trong khi cài đặt .

Lưu ý <email_to> và <email_from> có thể giống nhau và nếu bạn có server email của riêng mình trên cùng một server với server OSSEC, bạn có thể thay đổi cài đặt <smtp_server> thành localhost .

Đây là phần đó sẽ trông như thế nào khi bạn hoàn thành.

<global>     <email_notification>yes</email_notification>     <email_to>sammy@example.com</email_to>     <smtp_server>mail.example.com.</smtp_server>     <email_from>sammy@example.com</email_from> </global>  

Sau khi sửa đổi cài đặt email, hãy lưu file . Sau đó khởi động OSSEC.

/var/ossec/bin/ossec-control start 

Kiểm tra hộp thư đến của bạn để tìm email thông báo rằng OSSEC đã bắt đầu. Nếu bạn nhận được email từ cài đặt OSSEC của bạn , thì bạn biết rằng các cảnh báo trong tương lai cũng sẽ đến hộp thư đến của bạn. Nếu không, hãy kiểm tra folder thư rác của bạn.

Bước 6 - Thêm cảnh báo

Theo mặc định, OSSEC sẽ đưa ra cảnh báo về việc sửa đổi file và các hoạt động khác trên server , nhưng nó sẽ không cảnh báo về việc bổ sung file mới và cũng sẽ không cảnh báo trong thời gian thực - chỉ sau khi quét hệ thống theo lịch trình, là 79200 giây (hoặc 22 giờ ) theo mặc định. Trong phần này, ta sẽ thêm cảnh báo về việc bổ sung file trong thời gian thực.

Đầu tiên, mở ossec.conf .

nano ossec.conf 

Sau đó cuộn xuống phần <syscheck> bắt đầu bằng text này:

<syscheck>     <!-- Frequency that syscheck is executed - default to every 22 hours -->     <frequency>79200</frequency> 

Ngay dưới thẻ <frequency> , thêm <alert_new_files>yes</alert_new_files> .

<syscheck>     <!-- Frequency that syscheck is executed - default to every 22 hours -->     <frequency>79200</frequency>      <alert_new_files>yes</alert_new_files> 

Trong khi bạn vẫn mở ossec.conf , hãy xem danh sách các folder hệ thống mà OSSEC giám sát, nằm ngay dưới dòng cuối cùng bạn vừa sửa đổi. Nó sẽ đọc:

<!-- Directories to check  (perform all possible verifications) --> <directories check_all="yes">/etc,/usr/bin,/usr/sbin</directories> <directories check_all="yes">/bin,/sbin</directories> 

Đối với mỗi danh sách folder , hãy thêm các report_changes="yes" và realtime="yes" . Sau khi các sửa đổi đã được thực hiện, phần này nên đọc:

<!-- Directories to check  (perform all possible verifications) --> <directories report_changes="yes" realtime="yes" check_all="yes">/etc,/usr/bin,/usr/sbin</directories> <directories report_changes="yes" realtime="yes" check_all="yes">/bin,/sbin</directories> 

Ngoài danh sách folder mặc định mà OSSEC đã được cấu hình để giám sát, bạn cũng có thể thêm bất kỳ folder nào mà bạn muốn theo dõi. Ví dụ: bạn có thể thêm giám sát cho folder chính của bạn , /home/ sammy . Để làm điều đó, hãy thêm dòng mới này ngay dưới các dòng folder khác, thay thế bằng tên user của bạn:

<directories report_changes="yes" realtime="yes" check_all="yes">/home/sammy</directories> 

Bây giờ hãy lưu và đóng ossec.conf .

Tệp tiếp theo cần sửa đổi nằm trong folder /var/ossec/rules , vì vậy hãy chuyển đến folder đó.

cd /var/ossec/rules 

Thư mục /var/ossec/rules chứa nhiều file XML, bao gồm ossec_rules.xml , chứa các định nghĩa luật mặc định của OSSEC và local_rules.xml , là nơi bạn có thể thêm các luật tùy chỉnh. local_rules.xml là file duy nhất bạn nên chỉnh sửa trong folder này.

Trong ossec_rules.xml , luật kích hoạt khi file được thêm vào folder được giám sát là luật 554. Theo mặc định, OSSEC không gửi cảnh báo khi luật đó được kích hoạt, vì vậy nhiệm vụ ở đây là thay đổi hành vi đó. Đây là luật 554 theo mặc định:

<rule id="554" level="0"> <category>ossec</category> <decoded_as>syscheck_new_entry</decoded_as> <description>File added to the system.</description> <group>syscheck,</group> </rule> 

OSSEC không gửi cảnh báo nếu luật được đặt thành cấp 0, vì vậy ta sẽ sao chép luật đó vào local_rules.xml và sửa đổi luật đó để kích hoạt cảnh báo. Để làm điều đó, hãy mở local_rules.xml .

nano local_rules.xml 

Thêm phần sau vào cuối file , trước dòng có </group> .

<rule id="554" level="7" overwrite="yes"> <category>ossec</category> <decoded_as>syscheck_new_entry</decoded_as> <description>File added to the system.</description> <group>syscheck,</group> </rule> 

Lưu và đóng file . Bây giờ, khởi động lại OSSEC để reload các file ta đã chỉnh sửa.

/var/ossec/bin/ossec-control restart 

Đến đây bạn sẽ nhận được cảnh báo từ OSSEC về các folder được giám sát và file log .

Kết luận

Đến đây bạn đã cài đặt cài đặt OSSEC local cơ bản. Có rất nhiều tùy chỉnh có sẵn, bạn có thể khám phá trong tài liệu chính thức của nó .

Để biết ý tưởng về cách cài đặt OSSEC trong chế độ client - server hoặc server -tác nhân (thay vì chế độ local ), hãy xem Cách giám sát tác nhân OSSEC bằng server OSSEC trên Ubuntu 14.04 .

---

---

Các tin liên quan