In diesem Tutorial zeigen wir Ihnen, wie Sie OSSEC unter Ubuntu 14.04 installieren und konfigurieren. Für diejenigen unter Ihnen, die es nicht wussten, OSSEC ist ein kostenloser, hostbasierter Open-Source-Eindringling Detection System (HIDS). Es führt Protokollanalysen, Integritätsprüfungen, Überwachung der Windows-Registrierung, Rootkit-Erkennung, zeitbasierte Warnungen und aktive Reaktion durch. Es bietet Angriffserkennung für die meisten Betriebssysteme, einschließlich Linux, OpenBSD, FreeBSD, Mac OS X, Solaris und Windows OSSEC verfügt über eine zentralisierte, plattformübergreifende Architektur, die eine einfache Überwachung und Verwaltung mehrerer Systeme ermöglicht.
Dieser Artikel geht davon aus, dass Sie zumindest über Grundkenntnisse in Linux verfügen, wissen, wie man die Shell verwendet, und vor allem, dass Sie Ihre Website auf Ihrem eigenen VPS hosten. Die Installation ist recht einfach und setzt Sie voraus im Root-Konto ausgeführt werden, wenn nicht, müssen Sie möglicherweise 'sudo hinzufügen ‘ zu den Befehlen, um Root-Rechte zu erhalten. Ich zeige Ihnen Schritt für Schritt die Installation von OSSEC auf einem Ubuntu 14.04 Server.
Voraussetzungen
- Ein Server, auf dem eines der folgenden Betriebssysteme ausgeführt wird:Ubuntu 14.04 und jede andere Debian-basierte Distribution wie Linux Mint.
- Es wird empfohlen, dass Sie eine neue Betriebssysteminstallation verwenden, um potenziellen Problemen vorzubeugen.
- SSH-Zugriff auf den Server (oder öffnen Sie einfach das Terminal, wenn Sie sich auf einem Desktop befinden).
- Ein
non-root sudo useroder Zugriff auf denroot user. Wir empfehlen, alsnon-root sudo userzu agieren , da Sie Ihr System beschädigen können, wenn Sie als Root nicht aufpassen.
Installieren Sie OSSEC auf Ubuntu 14.04
Schritt 1. Stellen Sie zunächst sicher, dass alle Ihre Systempakete auf dem neuesten Stand sind, indem Sie das folgende apt-get ausführen Befehle im Terminal.
sudo apt-get update sudo apt-get upgrade
Schritt 2. Installieren Sie den LAMP-Server (Linux, Apache, MariaDB, PHP).
Ein Ubuntu 14.04 LAMP-Server ist erforderlich. Wenn Sie LAMP nicht installiert haben, können Sie unserer Anleitung hier folgen.
Schritt 3. OSSEC installieren.
Das erste, was Sie tun müssen, ist, auf die Download-Seite von OSSEC zu gehen und die neueste stabile Version von OSSEC herunterzuladen. Zum Zeitpunkt des Schreibens dieses Artikels ist es Version 2.8.3 :
wget https://bintray.com/artifact/download/ossec/ossec-hids/ossec-hids-2.8.3.tar.gz
Entpacken Sie das OSSEC-Archiv in das Dokumentenstammverzeichnis auf Ihrem Server:
tar -xzf ossec-hids-2.8.3.tar.gz cd ossec-hids-2.8.3 cd src make setdb
Gehe zurück zum vorherigen Verzeichnis:
cd ../ ./install.sh
Sie können auswählen, welche Optionen aktiviert/deaktiviert werden sollen, aber wir empfehlen Ihnen, der Ausgabe unten zu folgen. Sie können die Eingabetaste drücken, wenn Sie mit der Standardauswahl fortfahren möchten ( was in Klammern steht) für jede gestellte Frage:
OSSEC HIDS v2.8.3 Installation Script - http://www.ossec.net You are about to start the installation process of the OSSEC HIDS. You must have a C compiler pre-installed in your system. If you have any questions or comments, please send an e-mail to [email protected] (or [email protected]). - System: Linux vps 2.6.32-042stab113.11 - User: root - Host: vps.idroot.us -- Press ENTER to continue or Ctrl-C to abort. --
Drücken Sie die Eingabetaste.
1- What kind of installation do you want (server, agent, local, hybrid or help)? server - Server installation chosen. 2- Setting up the installation environment. - Choose where to install the OSSEC HIDS [/var/ossec]: - Installation will be made at /var/ossec . 3- Configuring the OSSEC HIDS. 3.1- Do you want e-mail notification? (y/n) [y]: - What's your e-mail address? [email protected] - What's your SMTP server ip/host? smtp.example.com 3.2- Do you want to run the integrity check daemon? (y/n) [y]: - Running syscheck (integrity check daemon). 3.3- Do you want to run the rootkit detection engine? (y/n) [y]: - Running rootcheck (rootkit detection). 3.4- Active response allows you to execute a specific command based on the events received. For example, you can block an IP address or disable access for a specific user. More information at: http://www.ossec.net/en/manual.html#active-response - Do you want to enable active response? (y/n) [y]: - Active response enabled. - By default, we can enable the host-deny and the firewall-drop responses. The first one will add a host to the /etc/hosts.deny and the second one will block the host on iptables (if linux) or on ipfilter (if Solaris, FreeBSD or NetBSD). - They can be used to stop SSHD brute force scans, portscans and some other forms of attacks. You can also add them to block on snort events, for example. - Do you want to enable the firewall-drop response? (y/n) [y]: - firewall-drop enabled (local) for levels >= 6 - Default white list for the active response: - xxx.xxx.xxx.xx - xx.xxx.xx.xxx - Do you want to add more IPs to the white list? (y/n)? [n]: 3.5- Do you want to enable remote syslog (port 514 udp)? (y/n) [y]: - Remote syslog enabled. 3.6- Setting the configuration to analyze the following logs: -- /var/log/messages -- /var/log/auth.log -- /var/log/syslog -- /var/log/mail.info -- /var/log/dpkg.log -- /var/log/apache2/error.log (apache log) -- /var/log/apache2/access.log (apache log) - If you want to monitor any other file, just change the ossec.conf and add a new localfile entry. Any questions about the configuration can be answered by visiting us online at http://www.ossec.net . --- Press ENTER to continue ---
Drücken Sie als Nächstes die Eingabetaste, um mit der Installation fortzufahren, die nicht länger als 3 Minuten dauern sollte. Nachdem alles abgeschlossen ist, erhalten Sie:
- System is Debian (Ubuntu or derivative). - Init script modified to start OSSEC HIDS during boot. - Configuration finished properly. - To start OSSEC HIDS: /var/ossec/bin/ossec-control start - To stop OSSEC HIDS: /var/ossec/bin/ossec-control stop - The configuration can be viewed or modified at /var/ossec/etc/ossec.conf Thanks for using the OSSEC HIDS. If you have any question, suggestion or if you find any bug, contact us at [email protected] or using our public maillist at [email protected] ( http://www.ossec.net/main/support/ ). More information can be found at http://www.ossec.net --- Press ENTER to finish (maybe more information below). --- - In order to connect agent and server, you need to add each agent to the server. Run the 'manage_agents' to add or remove them: /var/ossec/bin/manage_agents
OSSEC starten:
/var/ossec/bin/ossec-control start
Schritt 4. MariaDB für OSSEC konfigurieren.
Standardmäßig ist MariaDB nicht gehärtet. Sie können MariaDB mit mysql_secure_installation sichern Skript. Sie sollten jeden Schritt sorgfältig lesen und befolgen, der ein Root-Passwort festlegt, anonyme Benutzer entfernt, Remote-Root-Login verbietet und die Testdatenbank und den Zugriff auf die sichere MariaDB entfernt:
mysql_secure_installation
Konfiguriere es so:
- Set root password? [Y/n] y - Remove anonymous users? [Y/n] y - Disallow root login remotely? [Y/n] y - Remove test database and access to it? [Y/n] y - Reload privilege tables now? [Y/n] y
Als Nächstes müssen wir uns bei der MariaDB-Konsole anmelden und eine Datenbank für OSSEC erstellen. Führen Sie den folgenden Befehl aus:
mysql -u root -p
Dadurch werden Sie zur Eingabe eines Passworts aufgefordert, geben Sie also Ihr MariaDB-Root-Passwort ein und drücken Sie die Eingabetaste. Sobald Sie sich bei Ihrem Datenbankserver angemeldet haben, müssen Sie eine Datenbank für erstellen OSSEC-Installation:
create database ossec; grant all privileges on ossec.* to ossecuser@localhost identified by 'your_password'; flush privileges; exit
Standardmäßig stellt OSSEC ein Schema für die Datenbank bereit und es befindet sich im Verzeichnis src/os_dbd/. Importieren Sie es in Ihre neu erstellte oOSSECssec-Datenbank:
mysql -u ossecuser -p ossec < src/os_dbd/mysql.schema
Fügen Sie nun die Datenbankkonfiguration zur OSSEC-Konfigurationsdatei hinzu:
nano /var/ossec/etc/ossec.conf
Sie können die obigen Zeilen überall im
<database_output> <hostname>127.0.0.1</hostname> <username>ossecuser</username> <password>your_password</password> <database>ossec</database> <type>mysql</type> </database_output>
Speichern und beenden Sie die Datei. Aktivieren Sie dann die Datenbank und starten Sie OSSEC neu:
/var/ossec/bin/ossec-control enable database /var/ossec/bin/ossec-control restart
Schritt 5. Installieren der OSSEC-Web-UI.
Installieren Sie die OSSEC-Web-Benutzeroberfläche im standardmäßigen Dokumentenstammverzeichnis von Apache. Geben Sie das Verzeichnis ein:
cd /var/www/html/ wget https://github.com/ossec/ossec-wui/archive/master.zip unzip master.zip mv ossec-wui-master/ ossec/
Erstellen Sie ein tmp das Verzeichnis darin und legen Sie den Besitz und die Berechtigungen der richtigen Datei fest:
mkdir ossec/tmp/ chown www-data: -R ossec/ chmod 666 /var/www/html/ossec/tmp
Schritt 6. Zugriff auf OSSEC.
OSSEC ist standardmäßig auf HTTP-Port 80 verfügbar. Öffnen Sie Ihren bevorzugten Browser und navigieren Sie zu http://yourdomain.com/ossec oder http://server-ip/ossec . Wenn Sie eine Firewall verwenden, öffnen Sie bitte Port 80, um den Zugriff auf das Control Panel zu ermöglichen.
Herzlichen Glückwunsch! Sie haben OSSEC erfolgreich installiert. Vielen Dank, dass Sie dieses Tutorial zur Installation von OSSEC auf einem Ubuntu 14.04-System verwendet haben. Für zusätzliche Hilfe oder nützliche Informationen empfehlen wir Ihnen, die offizielle OSSEC-Website zu besuchen.