Sichern Sie Ihren Server mit einem hostbasierten Intrusion Detection System

Version 1.0
Autor: Falko Timme

Dieser Artikel zeigt, wie man OSSEC HIDS, ein Open Source Host-basiertes Intrusion Detection System, installiert und betreibt. Es führt Protokollanalysen, Integritätsprüfungen, Rootkit-Erkennung, zeitbasierte Benachrichtigungen und aktive Reaktionen durch. Es hilft Ihnen, Angriffe, Softwaremissbrauch, Richtlinienverstöße und andere Formen unangemessener Aktivitäten zu erkennen.

Mit OSSEC HIDS können Sie mehrere Systeme überwachen, wobei ein System der OSSEC HIDS-Server und die anderen die OSSEC HIDS-Agenten sind, die an den Server zurückmelden. In diesem Tutorial möchte ich jedoch nur ein System überwachen, daher führe ich eine “lokale” Installation durch, damit OSSEC HIDS seine Arbeit lokal auf diesem System verrichtet.

Im Folgenden verwende ich ein Debian Sarge (3.1) System, um OSSEC HIDS zu installieren.

Ich möchte zunächst sagen, dass dies nicht der einzige Weg ist, ein solches System einzurichten. Es gibt viele Möglichkeiten, dieses Ziel zu erreichen, aber dies ist der Weg, den ich wähle. Ich gebe keine Garantie, dass dies für Sie funktioniert!

1 Installation von OSSEC HIDS

Die Installation von OSSEC HIDS ist sehr einfach, es ist nur eine Frage des Herunterladens der Quellen, Ausführens des Installationsskripts und Beantwortens der Fragen des Installationsskripts. Zuerst laden wir die OSSEC HIDS-Quellen herunter und entpacken sie:

cd /tmp  
wget http://www.ossec.net/files/ossec-hids-0.9-1a.tar.gz  
tar xvfz ossec-hids-0.9-1a.tar.gz

Dann führen wir das Installationsskript aus:

cd ossec-hids-0.9-1a  
./install.sh

Das Installationsskript wird Ihnen einige Fragen stellen:

 Para instalaÃ§Ã£o em portuguÃªs, escolha [br].  
 Fur eine deutsche Installation wohlen Sie [de].  
 For installation in English, choose [en].  
 Para instalar en EspaÃ±ol , eliga [es].  
 Pour une installation en franÃ§ais, choisissez [fr]  
 Per l'installazione in Italiano, scegli [it].  
 æ¥æ¬èªã§ã¤ã³ã¹ãã¼ã«ãã¾ãï¼é¸æãã¦ä¸ãã  
ï¼[jp].  
 Aby instalowaÄ w jÄzyku Polskim, wybierz [pl].  
 ÐÐ»Ñ Ð¸Ð½ÑÑÑÑÐºÑÐ¸Ð¹ Ð¿Ð¾ ÑÑÑÐ°Ð½Ð¾Ð²ÐºÐµ Ð½Ð° ÑÑÑÑÐºÐ¾Ð¼ ,Ð²Ð²ÐµÐ´Ð¸ÑÐµ [ru].  
 TÃ¼rkÃ§e kurulum iÃ§in seÃ§in [tr].  
(en/br/de/es/fr/it/jp/pl/ru/tr) [en]: <-- en (oder eine der anderen Optionen, wenn Sie kein Englisch verwenden möchten)

OSSEC HIDS v0.9-1 Installationsskript - http://www.ossec.net

Sie sind dabei, den Installationsprozess von OSSEC HIDS zu starten.  
Sie müssen einen C-Compiler vorinstalliert auf Ihrem System haben.  
Wenn Sie Fragen oder Kommentare haben, senden Sie bitte eine E-Mail  
zu [email protected] (oder [email protected]).

- System: Linux server1.example.com 2.6.8-2-386  
- Benutzer: root  
- Host: server1.example.com

– Drücken Sie ENTER, um fortzufahren oder Ctrl-C, um abzubrechen. – <– [ENTER]

1- Welche Art von Installation möchten Sie (Server, Agent, lokal oder Hilfe)? <– lokal

Wählen Sie, wo OSSEC HIDS installiert werden soll [/var/ossec]: <– /var/ossec

3.1- Möchten Sie E-Mail-Benachrichtigungen? (j/n) [j]: <– j

Was ist Ihre E-Mail-Adresse? <– [email protected] (bitte geben Sie hier Ihre eigene E-Mail-Adresse ein)
Wir haben Ihren SMTP-Server gefunden als: mail.example.com.
Möchten Sie ihn verwenden? (j/n) [j]: <– j (normalerweise können Sie den Vorschlag des Installationsprogramms akzeptieren, es sei denn, Sie möchten einen anderen SMTP-Server verwenden)

3.2- Möchten Sie den Integritätsprüfdaemon ausführen? (j/n) [j]: <– j

3.3- Möchten Sie die Rootkit-Erkennungsengine ausführen? (j/n) [j]: <– j

Möchten Sie die aktive Reaktion aktivieren? (j/n) [j]: <– j
Möchten Sie die Firewall-Drop-Reaktion aktivieren? (j/n) [j]: <– j
Möchten Sie weitere IPs zur Whitelist hinzufügen? (j/n)? [n]: <– n (es sei denn, Sie möchten weitere IP-Adressen auf die Whitelist setzen)

3.6- Konfiguration zum Analysieren der folgenden Protokolle festlegen:
– /var/log/messages
– /var/log/auth.log
– /var/log/syslog
– /var/log/mail.info

- Wenn Sie eine andere Datei überwachen möchten, ändern Sie einfach  
die ossec.conf und fügen Sie einen neuen localfile-Eintrag hinzu.  
Alle Fragen zur Konfiguration können beantwortet werden,  
indem Sie uns online unter http://www.ossec.net besuchen.

— Drücken Sie ENTER, um fortzufahren — <– [ENTER]

System ist Linux (SysV).
Init-Skript wurde geändert, um OSSEC HIDS beim Booten zu starten.
Füge Systemstart für /etc/init.d/ossec hinzu …
/etc/rc0.d/K20ossec -> ../init.d/ossec
/etc/rc1.d/K20ossec -> ../init.d/ossec
/etc/rc6.d/K20ossec -> ../init.d/ossec
/etc/rc2.d/S20ossec -> ../init.d/ossec
/etc/rc3.d/S20ossec -> ../init.d/ossec
/etc/rc4.d/S20ossec -> ../init.d/ossec
/etc/rc5.d/S20ossec -> ../init.d/ossec

- Konfiguration erfolgreich abgeschlossen.

- Um OSSEC HIDS zu starten:  
/var/ossec/bin/ossec-control start

- Um OSSEC HIDS zu stoppen:  
/var/ossec/bin/ossec-control stop

- Die Konfiguration kann unter /var/ossec/etc/ossec.conf angezeigt oder geändert werden.

Vielen Dank, dass Sie OSSEC HIDS verwenden.  
Wenn Sie Fragen, Vorschläge oder Fehler finden,  
kontaktieren Sie uns unter [email protected] oder über unsere öffentliche Mailingliste unter  
[email protected]  
(http://mailman.underlinux.com.br/mailman/listinfo/ossec-list).

Weitere Informationen finden Sie unter http://www.ossec.net

— Drücken Sie ENTER, um zu beenden (vielleicht weitere Informationen unten). — <– [ENTER]

Das war’s, OSSEC HIDS ist jetzt installiert und bereit, gestartet zu werden.

2 Starten und Ausführen von OSSEC HIDS

Um OSSEC HIDS zu starten, führen wir diesen Befehl aus:

/etc/init.d/ossec start

Die Ausgabe sollte so aussehen:

server1:/etc/init.d# /etc/init.d/ossec start  
Starte OSSEC HIDS v0.9-1 (von Daniel B. Cid)...  
Gestartet ossec-maild...  
Gestartet ossec-execd...  
Gestartet ossec-analysisd...  
Gestartet ossec-logcollector...  
Gestartet ossec-syscheckd...  
Abgeschlossen.  
server1:/etc/init.d#

Wie Sie vielleicht während der Installation von OSSEC HIDS gesehen haben, hat der Installer auch die notwendigen Systemstartlinks für OSSEC HIDS erstellt, sodass OSSEC HIDS automatisch gestartet wird, wann immer Sie Ihr System booten/neustarten.

Nachdem OSSEC HIDS gestartet wurde, läuft es still im Hintergrund und führt Protokollanalysen, Integritätsprüfungen, Rootkit-Erkennung usw. durch. Sie können überprüfen, ob es läuft, indem Sie ausführen

ps aux

In der Ausgabe sollten Sie etwas finden wie:

ossecm 2038 0.0 0.4 1860 792 ? S 12:40 0:00 /var/ossec/bin/ossec-maild root 2042 0.0 0.3 1736 648 ? S 12:40 0:00 /var/ossec/bin/ossec-execd ossec 2046 0.2 0.5 2192 1136 ? S 12:40 0:00 /var/ossec/bin/ossec-analysisd root 2050 0.0 0.2 1592 556 ? S 12:40 0:00 /var/ossec/bin/ossec-logcollector root 2054 12.2 0.3 1756 616 ? S 12:40 0:05 /var/ossec/bin/ossec-syscheckd

Die OSSEC HIDS-Protokolldatei ist /var/ossec/logs/ossec.log, sodass Sie sie überprüfen können, um zu sehen, was vor sich geht, z.B. mit dem tail-Befehl.

tail -f /var/ossec/logs/ossec.log

zeigt, was in Echtzeit passiert. Drücken Sie CTRL-C, um es zu verlassen.

tail -n 100 /var/ossec/logs/ossec.log

zeigt Ihnen die letzten 100 Zeilen des OSSEC HIDS-Protokolls.

Wann immer OSSEC HIDS etwas Verdächtiges erkennt, sendet es eine E-Mail mit einem Bericht über die Aktivität an die E-Mail-Adresse, die Sie während der Installation angegeben haben:

Wenn Sie die Einstellungen von OSSEC HIDS ändern möchten (z.B. die E-Mail-Adresse ändern, benutzerdefinierte Regelsets hinzufügen usw.), können Sie dies tun, indem Sie die Konfigurationsdatei /var/ossec/etc/ossec.conf (die im XML-Format vorliegt) bearbeiten. Sie können dies mit einem Kommandozeilen-Editor wie vi tun:

vi /var/ossec/etc/ossec.conf

Die Datei sieht so aus:

| yes [email protected] mail.example.com. [email protected] [...] |

Wenn Sie die Datei ändern, stellen Sie sicher, dass Sie OSSEC HIDS danach neu starten:

/etc/init.d/ossec restart

Um zu lernen, wie man benutzerdefinierte Regelsets usw. zur OSSEC HIDS-Konfiguration hinzufügt, lesen Sie bitte das OSSEC HIDS-Handbuch: http://www.ossec.net/en/manual.html

3 Links

OSSEC HIDS: http://www.ossec.net