介绍
OSSEC是一个开源的基于主机的入侵检测系统(HIDS),可以执行日志分析,完整性检查,Windows注册表监控,rootkit检测,基于时间的警报和主动响应。 它可以安装以监视单个服务器或数千个服务器。
本教程介绍如何将OSSEC 2.8.1的安装升级到最新发布的OSSEC 2.8.2,该版本解决了最近发现的错误。
先决条件
- Droplet已经运行OSSEC 2.8.1,设置以下我们的教程的Ubuntu 14.04 , Debian 8或Fedora的21 。
如果您在使用FreeBSD的安装10.1 2.8.1 OSSEC 本教程中 ,你可以使用该发行版的包管理器,而不是轻易进行升级,而不必遵循该指南。
第1步 - 下载和验证OSSEC 2.8.2
升级OSSEC的第一步是下载tarball及其校验和文件,这将用于验证tarball是否已被破坏。
首先,下载新的tarball。
wget -U ossec http://www.ossec.net/files/ossec-hids-2.8.2.tar.gz
然后下载校验和文件。
wget -U ossec http://www.ossec.net/files/ossec-hids-2.8.2-checksum.txt
为了验证tarball是否已经被破解,首先验证MD5校验和。
md5sum -c ossec-hids-2.8.2-checksum.txt
输出应为:
ossec-hids-2.8.2.tar.gz: OK
md5sum: WARNING: 1 line is improperly formatted
然后验证SHA1校验和。
sha1sum -c ossec-hids-2.8.2-checksum.txt
预期输出为:
ossec-hids-2.8.2.tar.gz: OK
sha1sum: WARNING: 1 line is improperly formatted
第2步 - 修复错误
虽然OSSEC 2.8.2修复了安全漏洞,它并没有解决导致OSSEC覆盖内容的长期错误/etc/hosts.deny文件。 必须在启动升级之前手动应用该修补程序。 修复涉及编辑新下载的tarball中的文件。
这意味着我们必须首先解压缩tarball。
tar xf ossec-hids-2.8.2.tar.gz
它应该被解包到一个目录,其名称包括程序的版本号。 更改( cd )进入该目录。
cd ossec-hids-2.8.2
我们需要编辑文件, host-deny.sh ,是active-response目录。 所以打开它使用:
nano active-response/host-deny.sh
在接近文件的末尾,寻找两行代码与TMP_FILE =开始时,#从hosts.deny的评论删除下面。 编辑两条线,以消除等号(=)两侧的空间,这样的代码块看起来是这样的。
# Deleting from hosts.deny
elif [ "x${ACTION}" = "xdelete" ]; then
lock;
TMP_FILE=`mktemp /var/ossec/ossec-hosts.XXXXXXXXXX`
if [ "X${TMP_FILE}" = "X" ]; then
# Cheap fake tmpfile, but should be harder then no random data
TMP_FILE="/var/ossec/ossec-hosts.`cat /dev/urandom | tr -dc 'a-zA-Z0-9' | fold -w 32 | head -1 `"
fi
保存并关闭文件。
第3步 - 升级OSSEC 2.8.1
现在我们可以启动升级。
sudo ./install.sh
系统将提示您选择安装语言。 按ENTER键接受默认值,或代表您的首选语言的2个字母的代码类型,然后按ENTER键 。 按照屏幕上的说明,在某个时候,你会被问两个简单的问题。 对于每一个,键入y,然后按ENTER键 。
- You already have OSSEC installed. Do you want to update it? (y/n): y
- Do you want to update the rules? (y/n): y
升级过程大约需要两分钟。 安装程序将停止,然后在结束时重新启动OSSEC,您应该收到一封电子邮件,确认OSSEC已重新启动。
您可以通过查询OSSEC的状态来仔细检查。
sudo /var/ossec/bin/ossec-control status
输出应该表明,所有的进程都在运行 。
结论
按照这些简单的步骤,您刚刚升级OSSEC 2.8.1到OSSEC 2.8.2。
