Обнаружение вторжений: Snort (IDS), OSSEC (HbIDS) и Prelude (HIDS) на Ubuntu Gutsy Gibbon - Страница 3

Часть 3: Установка и настройка Ossec

Прежде всего, мы загрузим и распакуем исходный код ossec:

cd /src  
wget http://www.ossec.net/files/ossec-hids-1.4.tar.gz  
tar xvzf ossec-hids-1.4.tar.gz

Теперь сделайте следующее, чтобы добавить поддержку prelude:

cd ossec-hids-xx  
cd src  
make setprelude

Затем отредактируйте Config.OS и добавьте -lgcc_s во все строки перед -lpthread, как показано ниже:

CPRELUDE=-DPRELUDE -lprelude -pthread -lgcc_s -L/usr/lib -lprelude -lgnutls -lgcrypt -lrt -ldl

Большая часть этого HOWTO взята непосредственно из Руководства по установке OSSEC-HID, которое очень легко следовать. Если у вас возникли проблемы, пожалуйста, сначала посмотрите руководство, так как оно всегда будет содержать самую актуальную информацию.

Теперь легкая часть. Ossec поставляется со скриптом установки install.sh, который выполняет всю тяжелую работу за нас.

cd ..   
./install.sh

Выберите, на каком языке вы хотите читать все, и нажмите Enter.

Para instalação em português, escolha [br]. Fur eine deutsche Installation wohlen Sie [de].
For installation in English, choose [en]. Per l’installazione in Italiano, scegli [it].
Aby instalowa? w j?zyku Polskim, wybierz [pl]. Türkçe kurulum için seçin [tr].
(en/br/de/it/pl/tr) [en]: en

Далее он предупредит нас о том, что нам нужен компилятор C на машине и предоставит общую информацию о вашем компьютере (версия ядра, пользователь и хост).

Продолжайте и нажмите Enter, как указано.

Вы собираетесь начать процесс установки OSSEC HIDS.
Вы должны иметь предустановленный компилятор C в вашей системе.
Если у вас есть какие-либо вопросы или комментарии, пожалуйста, отправьте электронное письмо
на [email protected] (или [email protected]).

• Система: Linux некоторая информация
• Пользователь: root
• Хост: ваше имя хоста
  – Нажмите ENTER, чтобы продолжить, или Ctrl-C, чтобы прервать. –

Далее выберите локальную установку:

1- Какой тип установки вы хотите (сервер, агент, локальная или помощь)? local  

Теперь выберите, где вы хотите его установить. Используйте значение по умолчанию или измените его, если хотите. Этот howto, однако, будет предполагать местоположение по умолчанию.

Выберите, где установить OSSEC HIDS [/var/ossec]:   

Теперь выберите параметры уведомлений. Вы можете выбрать ответы, используемые в этом howto, или другие. Я бы рекомендовал установить “Y” для всего. Активные ответы действительно хороши. Это установит некоторые переменные конфигурации по умолчанию на основе ваших ответов и определенных вещей, которые он находит в вашей системе.

3- Настройка OSSEC HIDS.  
  3.1- Хотите ли вы уведомление по электронной почте? (y/n) [y]: y  
   - Какой ваш адрес электронной почты? [email protected]  
   - Какой ваш SMTP сервер ip/host? адрес вашего smtp сервера (localhost)  
  
  3.2- Хотите ли вы запустить демон проверки целостности? (y/n) [y]: y  
   
   - Запуск syscheck (демон проверки целостности).  
  
  3.3- Хотите ли вы запустить движок обнаружения руткитов? (y/n) [y]: y  
   
   - Запуск rootcheck (обнаружение руткитов).  
  
  3.4- Активный ответ позволяет вам выполнять конкретную  
       команду на основе полученных событий. Например,  
       вы можете заблокировать IP-адрес или отключить доступ для  
       конкретного пользователя.  
       Дополнительная информация на:  
       http://www.ossec.net/en/manual.html#active-response  
  
   - Хотите ли вы включить активный ответ? (y/n) [y]: y  
     
     - Активный ответ включен.  
  
   - По умолчанию мы можем включить host-deny и  
     firewall-drop ответы. Первый добавит  
     хост в /etc/hosts.deny, а второй  
     заблокирует хост на iptables (если linux) или на  
     ipfilter (если Solaris, FreeBSD или NetBSD).  
   - Их можно использовать для остановки брутфорс-сканирования SSHD,  
     портсканирования и некоторых других форм атак. Вы также  
     можете добавить их для блокировки на событиях snort, например.  
  
   - Хотите ли вы включить ответ firewall-drop? (y/n) [y]: y  
     
     - firewall-drop включен (локально) для уровней >= 6  
  
   - Белый список по умолчанию для активного ответа:  
      - 192.168.2.1  
  
   - Хотите ли вы добавить больше IP-адресов в белый список? (y/n)? [n]: n  
  
  3.6- Установка конфигурации для анализа следующих журналов:  
    -- /var/log/messages  
    -- /var/log/auth.log  
    -- /var/log/syslog  
    -- /var/log/mail.info  
    -- /var/log/apache2/error.log (журнал apache)  
    -- /var/log/apache2/access.log (журнал apache)  
  
 - Если вы хотите отслеживать любой другой файл, просто измените  
   ossec.conf и добавьте новую запись localfile.  
   Любые вопросы о конфигурации можно решить,  
   посетив нас онлайн на http://www.ossec.net .  
  
   --- Нажмите ENTER, чтобы продолжить ---

Теперь он скомпилирует все. Это не должно занять слишком много времени для завершения. У меня это заняло около 1-2 минут. После завершения нажмите Enter, чтобы закончить.

• Неизвестная система. Скрипт инициализации не добавлен.
• Конфигурация завершена успешно.
• Чтобы запустить OSSEC HIDS:/var/ossec/bin/ossec-control start
• Чтобы остановить OSSEC HIDS:/var/ossec/bin/ossec-control stop
• Конфигурацию можно просмотреть или изменить в /var/ossec/etc/ossec.conf
  Спасибо за использование OSSEC HIDS. Если у вас есть какие-либо вопросы, предложения или если вы нашли какой-либо баг, свяжитесь с нами по адресу [email protected] или используя нашу публичную почту [email protected] (http://mailman.underlinux.com.br/mailman/listinfo/ossec-list). Дополнительную информацию можно найти на http://www.ossec.net
  — Нажмите ENTER, чтобы завершить (возможно, ниже будет больше информации). —

Теперь, к сожалению, он не обнаруживает Ubuntu, поэтому он не создаст скрипт инициализации. Это достаточно просто исправить. (Да, это базово. Если вы хотите улучшить это, пожалуйста, не стесняйтесь это сделать) Скопируйте и вставьте следующее в /etc/init.d/ossec:

#!/bin/sh
 
case "$1" in
start)
  /var/ossec/bin/ossec-control start
;;
stop)
  /var/ossec/bin/ossec-control stop
;;
restart)
  $0 stop && sleep 3
  $0 start
;;
reload)
  $0 stop
  $0 start
;;
*)
echo "Usage: $0 {start|stop|restart|reload}"
exit 1
esac

Теперь сделайте его исполняемым:

chmod +x /etc/init.d/ossec 

Добавьте его в наши уровни запуска, чтобы он запускался при загрузке:

update-rc.d ossec defaults

ossec.conf

/var/ossec/etc/ossec.conf

ossec

prelude:

 ...
yes

Наконец, мы добавим ossec как агент в prelude:

prelude-adduser registration-server prelude-manager

На сервере управления выполните:

prelude-adduser register OSSEC "idmef:w" localhost --uid ossec --gid ossec

Примечание: Имя сенсора ДОЛЖНО быть заглавными буквами > OSSEC.

Запустите ossec с помощью скрипта init.d, поддерживаемого OSSEC (версия 1.4 теперь должна обнаруживать ubuntu/debian OS, и скрипт инициализации будет работать!) или скрипта RShadow.

Если вы видите это, вы уже работаете.

Запуск OSSEC HIDS v1.4 (от Даниэля Б. Сида)…
Подключение к 127.0.0.1:4690 серверу Prelude Manager.
TLS аутентификация прошла успешно с Prelude Manager.

Теперь перейдите по URL-адресу, где вы установили prewikka, и войдите с пользователем admin и паролем admin. Сразу измените этот пароль, чтобы предотвратить несанкционированный доступ.