Intrusion Detection: Snort (IDS), OSSEC (HbIDS) Und Prelude (HIDS) Auf Ubuntu Gutsy Gibbon - Seite 3

Teil 3 : Installation Und Konfiguration Von Ossec

Zuerst werden wir den ossec Quellcode herunterladen und entpacken:

cd /src  
wget http://www.ossec.net/files/ossec-hids-1.4.tar.gz  
tar xvzf ossec-hids-1.4.tar.gz

Jetzt machen Sie Folgendes, um die prelude Unterstützung hinzuzufügen:

cd ossec-hids-xx  
cd src  
make setprelude

Dann bearbeiten Sie Config.OS und fügen Sie -lgcc_s in allen Zeilen vor -lpthread hinzu, so:

CPRELUDE=-DPRELUDE -lprelude -pthread -lgcc_s -L/usr/lib -lprelude -lgnutls -lgcrypt -lrt -ldl

Der Großteil dieses HOWTO stammt direkt aus dem Installationshandbuch für OSSEC-HID, das ein sehr leicht verständliches Handbuch ist. Wenn Sie auf Probleme stoßen, schauen Sie bitte zuerst im Handbuch nach, da es immer die aktuellsten Informationen enthält.

Jetzt der einfache Teil. Ossec kommt mit einem Installationsskript install.sh, das die ganze harte Arbeit für uns erledigt.

cd ..   
./install.sh

Wählen Sie die Sprache, in der Sie alles lesen möchten, und drücken Sie die Eingabetaste.

Für die Installation auf Portugiesisch, wählen Sie [br]. Für eine deutsche Installation wählen Sie [de].
Für die Installation auf Englisch, wählen Sie [en]. Für die Installation auf Italienisch, wählen Sie [it].
Um auf Polnisch zu installieren, wählen Sie [pl]. Für die Installation auf Türkisch, wählen Sie [tr].
(en/br/de/it/pl/tr) [en]: en

Als nächstes wird es uns warnen, dass wir einen C-Compiler auf der Maschine benötigen, und Ihnen einige allgemeine Informationen über Ihren Computer (Kernel-Version, Benutzer und Host) geben.

Drücken Sie einfach die Eingabetaste, wie es gesagt wird.

Sie stehen kurz davor, den Installationsprozess des OSSEC HIDS zu starten.
Sie müssen einen C-Compiler vorinstalliert auf Ihrem System haben.
Wenn Sie Fragen oder Kommentare haben, senden Sie bitte eine E-Mail an [email protected] (oder [email protected]).

• System: Linux einige Informationen
• Benutzer: root
• Host: Ihr Hostname
  – Drücken Sie ENTER, um fortzufahren oder Ctrl-C, um abzubrechen. –

Wählen Sie als nächstes eine lokale Installation:

1- Welche Art von Installation möchten Sie (Server, Agent, lokal oder Hilfe)? local  

Wählen Sie jetzt, wo Sie es installieren möchten. Verwenden Sie den Standard oder ändern Sie es, wenn Sie möchten. Dieses HOWTO geht jedoch von dem Standardstandort aus.

Wählen Sie, wo das OSSEC HIDS installiert werden soll [/var/ossec]:   

Wählen Sie nun Ihre Benachrichtigungsoptionen. Sie können die in diesem HOWTO verwendeten Antworten oder andere wählen. Ich würde empfehlen, “Y” für alles einzustellen. Aktive Antworten sind wirklich schön. Es wird einige Standardkonfigurationsvariablen basierend auf Ihren Antworten und bestimmten Dingen, die es auf Ihrem System findet, festlegen.

3- Konfiguration des OSSEC HIDS.  
  
  3.1- Möchten Sie E-Mail-Benachrichtigungen? (j/n) [j]: j  
   - Wie lautet Ihre E-Mail-Adresse? [email protected]  
   - Wie lautet die IP/Host Ihres SMTP-Servers? Ihre SMTP-Serveradresse (localhost)  
  
  3.2- Möchten Sie den Integritätsprüfdaemon ausführen? (j/n) [j]: j  
   
   - Syscheck wird ausgeführt (Integritätsprüfdaemon).  
  
  3.3- Möchten Sie die Rootkit-Erkennungsengine ausführen? (j/n) [j]: j  
   
   - Rootcheck wird ausgeführt (Rootkit-Erkennung).  
  
  3.4- Die aktive Antwort ermöglicht es Ihnen, einen bestimmten  
       Befehl basierend auf den empfangenen Ereignissen auszuführen. Zum Beispiel  
       können Sie eine IP-Adresse blockieren oder den Zugriff für  
       einen bestimmten Benutzer deaktivieren.  
       Weitere Informationen unter:  
       http://www.ossec.net/en/manual.html#active-response  
  
   - Möchten Sie die aktive Antwort aktivieren? (j/n) [j]: j  
   
     - Aktive Antwort aktiviert.  
  
   - Standardmäßig können wir die Host-Deny- und die  
     Firewall-Drop-Antworten aktivieren. Die erste wird  
     einen Host zu /etc/hosts.deny hinzufügen und die zweite wird  
     den Host in iptables blockieren (wenn Linux) oder in  
     ipfilter (wenn Solaris, FreeBSD oder NetBSD).  
   - Sie können sie verwenden, um SSHD-Brute-Force-Scans,  
     Portscans und einige andere Angriffsformen zu stoppen. Sie können  
     sie auch hinzufügen, um bei Snort-Ereignissen zu blockieren, zum Beispiel.  
  
   - Möchten Sie die Firewall-Drop-Antwort aktivieren? (j/n) [j]: j  
   
     - Firewall-Drop aktiviert (lokal) für Stufen >= 6  
  
   - Standard-Whitelist für die aktive Antwort:  
      - 192.168.2.1  
  
   - Möchten Sie weitere IPs zur Whitelist hinzufügen? (j/n)? [n]: n  
  
  3.6- Konfiguration zum Analysieren der folgenden Protokolle festlegen:  
    -- /var/log/messages  
    -- /var/log/auth.log  
    -- /var/log/syslog  
    -- /var/log/mail.info  
    -- /var/log/apache2/error.log (Apache-Protokoll)  
    -- /var/log/apache2/access.log (Apache-Protokoll)  
  
 - Wenn Sie eine andere Datei überwachen möchten, ändern Sie einfach  
   die ossec.conf und fügen Sie einen neuen localfile-Eintrag hinzu.  
   Alle Fragen zur Konfiguration können beantwortet werden,  
   indem Sie uns online unter http://www.ossec.net besuchen.  
  
   --- Drücken Sie ENTER, um fortzufahren ---

Jetzt wird alles kompiliert. Das sollte nicht zu lange dauern. Es hat für meinen Rechner nur etwa 1-2 Minuten gedauert. Nachdem es abgeschlossen ist, drücken Sie die Eingabetaste, um zu beenden.

• Unbekanntes System. Kein Init-Skript hinzugefügt.
• Konfiguration erfolgreich abgeschlossen.
• Um OSSEC HIDS zu starten:/var/ossec/bin/ossec-control start
• Um OSSEC HIDS zu stoppen:/var/ossec/bin/ossec-control stop
• Die Konfiguration kann unter /var/ossec/etc/ossec.conf angezeigt oder geändert werden
  Danke, dass Sie das OSSEC HIDS verwenden. Wenn Sie Fragen, Vorschläge haben oder einen Fehler finden, kontaktieren Sie uns unter [email protected] oder über unsere öffentliche Mailingliste [email protected] (http://mailman.underlinux.com.br/mailman/listinfo/ossec-list). Weitere Informationen finden Sie unter http://www.ossec.net
  — Drücken Sie ENTER, um zu beenden (vielleicht weitere Informationen unten). —

Jetzt erkennt es leider Ubuntu nicht, sodass es kein Init-Skript erstellt. Das ist einfach genug zu beheben. (Ja, es ist grundlegend. Wenn Sie es verbessern möchten, fühlen Sie sich frei, dies zu tun) Kopieren Sie den folgenden Code in /etc/init.d/ossec:

#!/bin/sh
 
case "$1" in
start)
  /var/ossec/bin/ossec-control start
;;
stop)
  /var/ossec/bin/ossec-control stop
;;
restart)
  $0 stop && sleep 3
  $0 start
;;
reload)
  $0 stop
  $0 start
;;
*)
echo "Verwendung: $0 {start|stop|restart|reload}"
exit 1
esac

Jetzt machen Sie es ausführbar:

chmod +x /etc/init.d/ossec 

Fügen Sie es zu unseren Runlevels hinzu, damit es beim Booten startet:

update-rc.d ossec defaults

ossec.conf

/var/ossec/etc/ossec.conf

ossec

prelude:

 ...
yes

Schließlich fügen wir ossec als Agent in prelude hinzu:

prelude-adduser registration-server prelude-manager

Auf dem Management-Server tun Sie:

prelude-adduser register OSSEC "idmef:w" localhost --uid ossec --gid ossec

Hinweis: Der Sensorname MUSS in Großbuchstaben sein > OSSEC.

Starten Sie das ossec mit dem init.d-Skript, das von OSSEC unterstützt wird (Version 1.4 sollte jetzt Ubuntu/Debian erkennen und das Init-Skript wird funktionieren!) oder RShadow-Skript.

Wenn Sie dies sehen, sind Sie am Laufen.

Starte OSSEC HIDS v1.4 (von Daniel B. Cid)…
Verbinde mit 127.0.0.1:4690 Prelude Manager-Server.
TLS-Authentifizierung erfolgreich mit Prelude Manager.

Gehen Sie jetzt zu der URL, wo Sie prewikka installiert haben, und melden Sie sich mit dem Benutzer admin und dem Passwort admin an. Ändern Sie dieses Passwort sofort, um unbefugten Zugriff zu verhindern.