介绍
OSSEC是一个开源的基于主机的入侵检测系统(HIDS),可以执行日志分析,完整性检查,Windows注册表监控,rootkit检测,基于时间的警报和主动响应。这是应用程序安装在您的服务器上,如果你想看看里面发生了什么。 可以安装OSSEC以仅监视其安装的服务器,这是OSSEC的本地安装,或者安装为服务器以监视一个或多个代理。在本教程中,您将学习如何安装OSSEC以监视其安装的Fedora 21或RHEL服务器:本地OSSEC安装。
先决条件
要完成本教程,您需要:
- Fedora的21Droplet,你已经按照建立本教程 。
本教程应遵循作为sudo非root用户。
第1步 - 安装必需的软件包
在本节中,您将安装一些必需的软件包。 特别是,安装
bind-utils ,
gcc ,
make和
inotify-tools使用以下命令。
sudo yum install -y bind-utils gcc make inotify-tools
bind-utils提供域名系统(DNS)公用事业,
gcc ,并
make将由OSSEC安装使用,并且
inotify-tools被用于OSSEC实时通知需要。
第2步 - 下载和验证OSSEC
OSSEC作为压缩压缩包提供。在此步骤中,您将下载它及其校验和文件,验证tarball是否已被篡改。 您可以检查项目的网站获取最新版本。 在写这篇文章的时候,
OSSEC 2.8.1是最新的稳定版本。 首先,下载tarball。
wget -U ossec http://www.ossec.net/files/ossec-hids-2.8.1.tar.gz
然后,下载校验和文件。
wget -U ossec http://www.ossec.net/files/ossec-hids-2.8.1-checksum.txt
下载这两个文件后,验证压缩tarball的md5sum。
md5sum -c ossec-hids-2.8.1-checksum.txt
输出应为:
ossec-hids-2.8.1.tar.gz: OK
md5sum: WARNING: 1 line is improperly formatted
通过验证SHA1校验和。
sha1sum -c ossec-hids-2.8.1-checksum.txt
其输出应为:
ossec-hids-2.8.1.tar.gz: OK
sha1sum: WARNING: 1 line is improperly formatted
在每一种情况下,忽略了
警戒线 。
确定线就是确认该文件是好的。
第3步 - 查找SMTP服务器
在安装OSSEC期间设置电子邮件通知时,OSSEC将要求您提供SMTP服务器。在这一步,我们会找出这些信息。 要确定正确的SMTP服务器使用的电子邮件服务提供商,您可以使用
dig命令查询提供商的邮件交换器(MX)资源记录。 输入以下命令,替换
example.com与您的电子邮件服务提供商的域名:
dig -t mx example.com
输出是由几个部分,但我们只在
应答部分,其中包含一或多个行的兴趣。在每行的结尾是要使用的SMTP服务器。 例如,如果运行使用命令
fastmail.com :
dig -t mx fastmail.com
提供者的有效SMTP服务器将在ANSWER部分中每个列表的末尾,应为:
;; ANSWER SECTION:
fastmail.com. 3600 IN MX 10 in1-smtp.messagingengine.com.
fastmail.com. 3600 IN MX 20 in2-smtp.messagingengine.com.
在这个例子中,您可以使用
in1-smtp.messagingengine.com.或
in2-smtp.messagingengine.com.作为SMTP服务器。 从电子邮件提供商复制其中一个SMTP服务器,并将其保存以在下一步中输入。一定要包括在年底
。(句号),太。
第4步 - 安装OSSEC
在这一步,我们将安装OSSEC。 在开始安装之前,请使用:
tar xf ossec-hids-2.8.1.tar.gz
它将被解压到一个名为
ossec-hids-2.8.1 。切换到该目录。
cd ossec-hids-2.8.1
然后开始安装。
sudo ./install.sh
在整个设置过程中,系统会提示您提供一些输入。在大多数的情况下,所有你需要做的就是按
回车键接受默认值。 将首先提示您选择安装语言。默认情况下,它是英语(en),所以按
ENTER键 ,如果这是你的首选语言。 否则,从支持的语言列表中输入2个字母。 然后再次按
ENTER键开始安装。 问题1会问你想要什么样的安装。在这里,进入
本地 。
1- What kind of installation do you want (server, agent, local, hybrid or help)? local
对于所有的下列问题,按
ENTER键接受默认。问题3.1将另外提示您的电子邮件地址,然后请求您的SMTP服务器ip /主机。在这里,输入您的电子邮件地址和从第3步保存的SMTP服务器。 如果安装成功,最后,您应该看到这个输出:
- Configuration finished properly.
...
More information can be found at http://www.ossec.net
--- Press ENTER to finish (maybe more information below). ---
按
ENTER键完成安装。
第5步 - 验证OSSEC的电子邮件设置
这里我们将验证在上一步中指定的电子邮件凭证和OSSEC自动配置的电子邮件凭据是否正确。 电子邮件设置在OSSEC的主配置文件,
ossec.conf ,这是在
/var/ossec/etc目录中。要访问和修改任何OSSEC文件,您首先需要切换到root用户。
sudo su
现在,你的根,
cd到哪里OSSEC的配置文件所在的目录。
cd /var/ossec/etc
首先,制作该文件的备份副本。
cp ossec.conf ossec.conf.00
然后打开原始文件。在这里,我们使用了
nano文本编辑器,但你可以使用任何你喜欢的文本编辑器。
nano ossec.conf
电子邮件设置位于文件的顶部。这里是字段的描述。
- <EMAIL_TO>是在安装过程中给了电子邮件。警告将发送到该电子邮件地址。
- <EMAIL_FROM>是OSSEC的警报似乎是来自哪里。将其更改为有效的电子邮件地址,以减少电子邮件提供商的SMTP服务器将您的电子邮件标记为垃圾邮件的几率。
- <smtp_server>是在安装过程中所指定的SMTP服务器。
需要注意的是
<EMAIL_TO>和
<EMAIL_FROM>可以是相同的,如果你有自己的电子邮件服务器的同一主机作为OSSEC服务器上,您可以更改
<smtp_server>设置为
localhost。 下面是完成后该部分的外观。
<global>
<email_notification>yes</email_notification>
<email_to>sammy@example.com</email_to>
<smtp_server>mail.example.com.</smtp_server>
<email_from>sammy@example.com</email_from>
</global>
修改电子邮件设置后,保存并关闭文件。然后启动OSSEC。
/var/ossec/bin/ossec-control start
检查您的收件箱中是否有表示OSSEC已启动的电子邮件。如果您收到来自您的OSSEC安装的电子邮件,则您知道未来的警报也将到达您的收件箱。如果没有,请检查您的垃圾邮件文件夹。
第6步 - 添加警报
默认情况下,OSSEC将在服务器上发布文件修改和其他活动的警报,但它不会在新文件添加时发出警报,也不会实时警报 - 仅在预定系统扫描之后,即79200秒(或22小时) 默认。在本节中,我们将实时添加文件添加警报。 首先,打开
ossec.conf 。
nano ossec.conf
然后向下滚动到它与本文开头的
<SysCheck的>部分:
<syscheck>
<!-- Frequency that syscheck is executed - default to every 22 hours -->
<frequency>79200</frequency>
刚下
<频率>标签中,添加
<alert_new_files>yes</alert_new_files>
<syscheck>
<!-- Frequency that syscheck is executed - default to every 22 hours -->
<frequency>79200</frequency>
<alert_new_files>yes</alert_new_files>
虽然你仍然有
ossec.conf打开,看看系统目录的列表OSSEC显示器,它只是在你刚修改的最后一行。应为:
<!-- Directories to check (perform all possible verifications) -->
<directories check_all="yes">/etc,/usr/bin,/usr/sbin</directories>
<directories check_all="yes">/bin,/sbin</directories>
对于目录的每个列表,添加
report_changes="yes"和
realtime="yes"的选项。修改完成后,该部分应为:
<!-- Directories to check (perform all possible verifications) -->
<directories report_changes="yes" realtime="yes" check_all="yes">/etc,/usr/bin,/usr/sbin</directories>
<directories report_changes="yes" realtime="yes" check_all="yes">/bin,/sbin</directories>
除了OSSEC已配置为监视的默认目录列表外,还可以添加任何要监视的目录。例如,你可以为你的home目录,添加监控
/home/ sammy 。为此,请在其他目录行下添加此新行,替换为您的用户名:
<directories report_changes="yes" realtime="yes" check_all="yes">/home/sammy</directories>
现在,保存并关闭
ossec.conf 。 接下来的文件来修改是在
/var/ossec/rules目录,这样移动到该目录中。
cd /var/ossec/rules
将
/var/ossec/rules目录中包含多个XML文件,包括
ossec_rules.xml ,其中包含OSSEC的默认规则定义,
local_rules.xml ,这是在这里你可以添加自定义规则。
local_rules.xml是你应该编辑的唯一文件这个目录。 在
ossec_rules.xml ,时,将触发文件添加到受监控的目录规则554默认规则,OSSEC不会发出警报,当这条规则被触发,所以这里的任务就是改变这种行为。默认情况下,规则554是什么样子:
<rule id="554" level="0">
<category>ossec</category>
<decoded_as>syscheck_new_entry</decoded_as>
<description>File added to the system.</description>
<group>syscheck,</group>
</rule>
如果规则设置为0级OSSEC不会发出警报,因此我们将复制该规则
local_rules.xml并将其修改为触发警报。 要做到这一点,打开
local_rules.xml 。
nano local_rules.xml
添加如下在该文件的结束时,与前行
</group>标记。
<rule id="554" level="7" overwrite="yes">
<category>ossec</category>
<decoded_as>syscheck_new_entry</decoded_as>
<description>File added to the system.</description>
<group>syscheck,</group>
</rule>
保存并关闭文件。现在,重新启动OSSEC重新加载我们编辑的文件。
/var/ossec/bin/ossec-control restart
您现在应该从监视的目录和日志文件接收来自OSSEC的警报。
结论
现在你有一个基本的本地OSSEC安装设置。有很多可用的进一步定制,你可以在探索
其官方文档 。 有关如何在客户端-服务器或服务器代理模式(而不是本地模式)安装OSSEC一个想法,请参阅
如何监视OSSEC代理在Ubuntu 14.04使用OSSEC服务器 。
