Dieser Artikel ist der zweite Teil unseres Install OSSEC on Ubuntu 14.04 Anleitung.
Im ersten Teil haben wir OSSEC als Server und seine Web-Benutzeroberfläche auf einem Ubuntu 14.04 VPS installiert.
Heute werden wir das Analogi Web Dashboard installieren und die Installation des OSSEC-Agenten auf einem anderen Ubuntu 14.04 VPS behandeln. Dann fügen wir den installierten Agenten (Client) zum OSSEC-Server hinzu.
Fangen wir also an.
Melden Sie sich bei dem Linux-VPS an, auf dem Sie OSSEC als Server installiert haben:
# ssh root@server_ip
Aktualisieren Sie den Paketindex und prüfen Sie, ob Sie verfügbare Upgrades für den Server haben:
# apt-get update && apt-get upgrade
Sobald das aus dem Bild ist, installieren wir das Analogi Web Dashboard. Geben Sie das Standard-Dokumentenstammverzeichnis für Apache ein, das „/var/www/html“ lautet:
# cd /var/www/html/
Klonen Sie das GIT-Repo von Analogi:
# git clone https://github.com/ECSC/analogi.git
Kopieren Sie die Datenbankkonfigurationsdatei und ändern Sie die Datenbankeinstellungen mit den Werten der Datenbank, die in Teil 1 dieses Tutorials erstellt wurde:
# cp analogi/db_ossec.php.new analogi/db_ossec.php # nano analogi/db_ossec.php
Nachdem Sie die Werte geändert haben, sollten sie wie folgt aussehen:
define ('DB_USER_O', 'ossecuser'); define ('DB_PASSWORD_O', 'your_password'); define ('DB_HOST_O', '127.0.0.1'); define ('DB_NAME_O', 'ossec');
Speichern und schließen Sie die Datei.
Sie können jetzt das Analogi-Dashboard von Ihrem bevorzugten Webbrowser aus aufrufen. Öffnen Sie http://Ihre_IP-Adresse/analogi
INSTALLATION DES OSSEC-AGENTEN
Als nächstes müssen Sie OSSEC als Agent auf Ihrer anderen Ubuntu-Instanz installieren. Installieren Sie jedoch zuerst die Module, wie im ersten Teil dieses Tutorials gezeigt. Wenn Sie den LAMP-Stack bereits auf Ihrer Ubuntu 14.04-Instanz installiert haben, fahren Sie fort und führen Sie den folgenden Befehl aus:
# apt-get install libmysqlclient-dev libapache2-mod-php5 php5-mysql php5-curl php5-gd php5-intl php-pear php5-imagick php5-imap php5-mcrypt php5-memcache php5-ming php5-ps php5-pspell php5-recode php5-snmp php5-sqlite php5-tidy php5-xmlrpc php5-xsl
Laden Sie OSSEC in das ‘/opt‘-Verzeichnis herunter, entpacken Sie das Archiv und geben Sie das entpackte Verzeichnis ein:
# cd /opt # wget https://bintray.com/artifact/download/ossec/ossec-hids/ossec-hids-2.8.3.tar.gz # tar -xzf ossec-hids-2.8.3.tar.gz # cd ossec-hids-2.8.3
Starten Sie nun das OSSEC-Installationsskript und befolgen Sie die einfachen Anweisungen, wie in der folgenden Ausgabe gezeigt:
# ./install.sh
1- What kind of installation do you want (server, agent, local, hybrid or help)? agent - Agent(client) installation chosen. 2- Setting up the installation environment. - Choose where to install the OSSEC HIDS [/var/ossec]: - Installation will be made at /var/ossec . 3- Configuring the OSSEC HIDS. 3.1- What's the IP Address or hostname of the OSSEC HIDS server?: enter the IP address of the OSSEC server machine - Adding Server IP xxx.xxx.xx.xxx 3.2- Do you want to run the integrity check daemon? (y/n) [y]: - Running syscheck (integrity check daemon). 3.3- Do you want to run the rootkit detection engine? (y/n) [y]: - Running rootcheck (rootkit detection). 3.4 - Do you want to enable active response? (y/n) [y]: 3.5- Setting the configuration to analyze the following logs: -- /var/log/messages -- /var/log/auth.log -- /var/log/syslog -- /var/log/mail.info -- /var/log/dpkg.log -- /var/log/apache2/error.log (apache log) -- /var/log/apache2/access.log (apache log) - If you want to monitor any other file, just change the ossec.conf and add a new localfile entry. Any questions about the configuration can be answered by visiting us online at http://www.ossec.net . - System is Debian (Ubuntu or derivative). - Init script modified to start OSSEC HIDS during boot. - Configuration finished properly. - To start OSSEC HIDS: /var/ossec/bin/ossec-control start - To stop OSSEC HIDS: /var/ossec/bin/ossec-control stop - The configuration can be viewed or modified at /var/ossec/etc/ossec.conf Thanks for using the OSSEC HIDS. If you have any question, suggestion or if you find any bug, contact us at [email protected] or using our public maillist at [email protected] ( http://www.ossec.net/main/support/ ). More information can be found at http://www.ossec.net --- Press ENTER to finish (maybe more information below). --- - You first need to add this agent to the server so they can communicate with each other. When you have done so, you can run the 'manage_agents' tool to import the authentication key from the server. /var/ossec/bin/manage_agents
Wie die obige Anweisung zeigt, sollten Sie nun den Agenten zum OSSEC-Server hinzufügen. Gehen Sie zurück zu Ihrer OSSEC-Serverkonsole und generieren Sie einen Schlüssel für den Agenten. Verwenden Sie den folgenden Befehl:
# /var/ossec/bin/manage_agents
Wählen Sie nun die Option A, geben Sie den Namen für den neuen Agenten, seine IP-Adresse und ID ein. Folgen Sie der unteren Ausgabe:
**************************************** * OSSEC HIDS v2.8.3 Agent manager. * * The following options are available: * **************************************** (A)dd an agent (A). (E)xtract key for an agent (E). (L)ist already added agents (L). (R)emove an agent (R). (Q)uit. Choose your action: A,E,L,R or Q: A - Adding a new agent (use '\q' to return to the main menu). Please provide the following: * A name for the new agent: ossec-client * The IP Address of the new agent: here you should enter the IP address of the OSSEC agent * An ID for the new agent[001]: Agent information: ID:001 Name:ossec-client IP Address:xxx.xx.xxx.xxx Confirm adding it?(y/n): y Agent added.
Führen Sie /var/ossec/bin/manage_agents aus Befehl erneut und extrahieren Sie den Schlüssel für den Agenten:
# /var/ossec/bin/manage_agents **************************************** * OSSEC HIDS v2.8.3 Agent manager. * * The following options are available: * **************************************** (A)dd an agent (A). (E)xtract key for an agent (E). (L)ist already added agents (L). (R)emove an agent (R). (Q)uit. Choose your action: A,E,L,R or Q: E Available agents: ID: 001, Name: ossec-client, IP: enter the IP address of the OSSEC agent Provide the ID of the agent to extract the key (or '\q' to quit): 001 Agent key information for '001' is: MDAxIG9==...... ** Press ENTER to return to the main menu.
Kopieren Sie den Schlüssel und wechseln Sie zu Ihrer OSSEC-Agentenkonsole. Führen Sie den Befehl /var/ossec/bin/manage_agents aus:
# /var/ossec/bin/manage_agents **************************************** * OSSEC HIDS v2.8.3 Agent manager. * * The following options are available: * **************************************** (I)mport key from the server (I). (Q)uit. Choose your action: I or Q: I * Provide the Key generated by the server. * The best approach is to cut and paste it. *** OBS: Do not include spaces or new lines. Paste it here (or '\q' to quit): paste the key that you generated on your OSSEC server Agent information: ID:001 Name:ossec-client IP Address: IP address of the OSSEC agent Confirm adding it?(y/n): y Added.
Sie können die OSSEC-Konfigurationsdatei überprüfen, um festzustellen, ob der OSSEC-Server erfolgreich hinzugefügt wurde:
# nano /var/ossec/etc/ossec.conf
Die IP-Adresse des OSSEC-Servers wird am Anfang der Datei hinzugefügt:
<client> <server-hostname>xxx.xxx.xx.xxx</server-hostname> </client>
Sobald dies erledigt ist, starten Sie OSSEC sowohl auf den Server- als auch auf den Agent-Rechnern neu:
# /var/ossec/bin/ossec-control restart
Sie können den Agenten jetzt entweder über die standardmäßige Web-Benutzeroberfläche überwachen oder das Analogi-Dashboard . Es liegt an dir. Natürlich ist OSSEC ein komplexes System zur Erkennung von Eindringlingen, und Sie können seine Konfiguration und seine Agenten anpassen. Weitere Informationen finden Sie in der ausführlichen Dokumentation von OSSEC.
Herzliche Glückwünsche. Sie haben erfolgreich einen OSSEC-Agenten mit dem OSSEC-Server konfiguriert und integriert. Gehen Sie genauso vor, wenn Sie OSSEC einen weiteren Agenten hinzufügen möchten.
Natürlich müssen Sie nichts davon tun, wenn Sie einen unserer Linux-VPS-Hosting-Dienste nutzen. In diesem Fall können Sie einfach unsere erfahrenen Linux-Administratoren bitten, dies für Sie zu tun. Sie sind rund um die Uhr erreichbar und kümmern sich umgehend um Ihr Anliegen.
PS . Wenn Ihnen dieser Beitrag gefallen hat, teilen Sie ihn bitte mit Ihren Freunden in den sozialen Netzwerken über die Schaltflächen auf der linken Seite oder hinterlassen Sie einfach unten eine Antwort. Danke.