Защита вашего сервера с помощью системы обнаружения вторжений на основе хоста

Защита вашего сервера с помощью системы обнаружения вторжений на основе хоста

Версия 1.0
Автор: Фалко Тимме

Эта статья показывает, как установить и запустить OSSEC HIDS, открытую систему обнаружения вторжений на основе хоста. Она выполняет анализ журналов, проверку целостности, обнаружение руткитов, оповещение по времени и активный ответ. Она помогает вам обнаруживать атаки, злоупотребление программным обеспечением, нарушения политики и другие формы неподобающей деятельности.

С помощью OSSEC HIDS вы можете мониторить несколько систем, одна из которых является сервером OSSEC HIDS, а другие - агентами OSSEC HIDS, которые отчитываются обратно на сервер. Однако в этом руководстве я хочу мониторить только одну систему, поэтому я выполняю “локальную” установку, чтобы OSSEC HIDS выполнял свою работу локально на этой системе.

В следующем я использую систему Debian Sarge (3.1) для установки OSSEC HIDS.

Я хочу сначала сказать, что это не единственный способ настройки такой системы. Существует множество способов достижения этой цели, но это тот путь, который я выбрал. Я не даю никаких гарантий, что это сработает для вас!

1 Установка OSSEC HIDS

Установка OSSEC HIDS очень проста, это всего лишь вопрос загрузки исходников, запуска скрипта установки и ответов на вопросы скрипта установки. Сначала мы загружаем и распаковываем исходники OSSEC HIDS:

cd /tmp  
wget http://www.ossec.net/files/ossec-hids-0.9-1a.tar.gz  
tar xvfz ossec-hids-0.9-1a.tar.gz

Затем мы запускаем скрипт установки:

cd ossec-hids-0.9-1a  
./install.sh

Скрипт установки задаст вам несколько вопросов:

 Para instalação em português, escolha [br].  
 Fur eine deutsche Installation wohlen Sie [de].  
 For installation in English, choose [en].  
 Para instalar en Español , eliga [es].  
 Pour une installation en français, choisissez [fr]  
 Per l'installazione in Italiano, scegli [it].  
 æ¥æ¬èªã§ã¤ã³ã¹ãã¼ã«ãã¾ãï¼é¸æãã¦ä¸ãã  
ï¼[jp].  
 Aby instalowaÄ w jÄzyku Polskim, wybierz [pl].  
 ÐÐ»Ñ Ð¸Ð½ÑÑÑÑкÑий по ÑÑÑановке на ÑÑÑÑком ,введиÑе [ru].  
 Türkçe kurulum için seçin [tr].  
(en/br/de/es/fr/it/jp/pl/ru/tr) [en]: <-- en (или один из других вариантов, если вы не хотите использовать английский)

Скрипт установки OSSEC HIDS v0.9-1 - http://www.ossec.net

Вы собираетесь начать процесс установки OSSEC HIDS.  
У вас должен быть предварительно установленный C компилятор в вашей системе.  
Если у вас есть какие-либо вопросы или комментарии, пожалуйста, отправьте электронное письмо  
на [email protected] (или [email protected]).

- Система: Linux server1.example.com 2.6.8-2-386  
- Пользователь: root  
- Хост: server1.example.com

– Нажмите ENTER, чтобы продолжить, или Ctrl-C, чтобы прервать. – <– [ENTER]

1- Какой тип установки вы хотите (сервер, агент, локальная или помощь)? <– local

• Выберите, где установить OSSEC HIDS [/var/ossec]: <– /var/ossec

3.1- Хотите ли вы уведомление по электронной почте? (y/n) [y]: <– y

• Какой ваш адрес электронной почты? <– [email protected] (пожалуйста, введите свой собственный адрес электронной почты здесь)

• Мы нашли ваш SMTP сервер как: mail.example.com.

• Хотите ли вы его использовать? (y/n) [y]: <– y (обычно вы можете принять предложение установщика, если не хотите использовать другой SMTP сервер)

3.2- Хотите ли вы запустить демон проверки целостности? (y/n) [y]: <– y

3.3- Хотите ли вы запустить движок обнаружения руткитов? (y/n) [y]: <– y

• Хотите ли вы включить активный ответ? (y/n) [y]: <– y

• Хотите ли вы включить ответ firewall-drop? (y/n) [y]: <– y

• Хотите ли вы добавить больше IP в белый список? (y/n)? [n]: <– n (если только вы не хотите добавить больше IP адресов в белый список)

3.6- Установка конфигурации для анализа следующих журналов:
– /var/log/messages
– /var/log/auth.log
– /var/log/syslog
– /var/log/mail.info

- Если вы хотите мониторить любой другой файл, просто измените  
ossec.conf и добавьте новую запись localfile.  
Любые вопросы о конфигурации можно решить,  
посетив нас онлайн по адресу http://www.ossec.net .

— Нажмите ENTER, чтобы продолжить — <– [ENTER]

• Система - Linux (SysV).
• Скрипт инициализации изменен для запуска OSSEC HIDS во время загрузки.
  Добавление автозапуска системы для /etc/init.d/ossec …
  /etc/rc0.d/K20ossec -> ../init.d/ossec
  /etc/rc1.d/K20ossec -> ../init.d/ossec
  /etc/rc6.d/K20ossec -> ../init.d/ossec
  /etc/rc2.d/S20ossec -> ../init.d/ossec
  /etc/rc3.d/S20ossec -> ../init.d/ossec
  /etc/rc4.d/S20ossec -> ../init.d/ossec
  /etc/rc5.d/S20ossec -> ../init.d/ossec

- Конфигурация завершена успешно.

- Чтобы запустить OSSEC HIDS:  
/var/ossec/bin/ossec-control start

- Чтобы остановить OSSEC HIDS:  
/var/ossec/bin/ossec-control stop

- Конфигурацию можно просмотреть или изменить по адресу /var/ossec/etc/ossec.conf

Спасибо за использование OSSEC HIDS.  
Если у вас есть какие-либо вопросы, предложения или если вы нашли какую-либо ошибку,  
свяжитесь с нами по адресу [email protected] или используя наш публичный список рассылки на  
[email protected]  
(http://mailman.underlinux.com.br/mailman/listinfo/ossec-list).

Больше информации можно найти по адресу http://www.ossec.net

— Нажмите ENTER, чтобы завершить (возможно, ниже есть дополнительная информация). — <– [ENTER]

Вот и всё, OSSEC HIDS теперь установлен и готов к запуску.

2 Запуск и работа OSSEC HIDS

Чтобы запустить OSSEC HIDS, мы выполняем эту команду:

/etc/init.d/ossec start

Вывод должен выглядеть следующим образом:

server1:/etc/init.d# /etc/init.d/ossec start  
Запуск OSSEC HIDS v0.9-1 (от Даниэля Б. Сида)...  
Запущен ossec-maild...  
Запущен ossec-execd...  
Запущен ossec-analysisd...  
Запущен ossec-logcollector...  
Запущен ossec-syscheckd...  
Завершено.  
server1:/etc/init.d#

Как вы могли заметить во время установки OSSEC HIDS, установщик также создал необходимые ссылки автозапуска для OSSEC HIDS, так что OSSEC HIDS будет автоматически запущен каждый раз, когда вы загружаете/перезагружаете вашу систему.

После того как OSSEC HIDS был запущен, он будет работать в фоновом режиме, выполняя анализ журналов, проверку целостности, обнаружение руткитов и т. д. Вы можете проверить, что он работает, выполнив

ps aux

В выводе вы должны найти что-то вроде этого:

ossecm    2038  0.0  0.4  1860  792 ?        S    12:40   0:00 /var/ossec/bin/ossec-maild root      2042  0.0  0.3  1736  648 ?        S    12:40   0:00 /var/ossec/bin/ossec-execd ossec     2046  0.2  0.5  2192 1136 ?        S    12:40   0:00 /var/ossec/bin/ossec-analysisd root      2050  0.0  0.2  1592  556 ?        S    12:40   0:00 /var/ossec/bin/ossec-logcollector root      2054 12.2  0.3  1756  616 ?        S    12:40   0:05 /var/ossec/bin/ossec-syscheckd

Файл журнала OSSEC HIDS находится по адресу /var/ossec/logs/ossec.log, поэтому вы можете проверить его, чтобы увидеть, что происходит, например, с помощью команды tail.

tail -f /var/ossec/logs/ossec.log

показывает, что происходит в реальном времени. Нажмите CTRL-C, чтобы выйти.

tail -n 100 /var/ossec/logs/ossec.log

показывает вам последние 100 строк журнала OSSEC HIDS.

Каждый раз, когда OSSEC HIDS обнаруживает что-то подозрительное, он отправляет электронное письмо с отчетом о деятельности на адрес электронной почты, который вы указали во время установки:

Если вы хотите изменить настройки OSSEC HIDS (например, изменить адрес электронной почты, добавить пользовательские наборы правил и т. д.), вы можете сделать это, отредактировав файл конфигурации /var/ossec/etc/ossec.conf (который в формате XML). Вы можете сделать это, используя текстовый редактор командной строки, такой как vi:

vi /var/ossec/etc/ossec.conf

Файл выглядит так:

| yes [email protected] mail.example.com. [email protected] [...] |

Если вы измените файл, убедитесь, что вы перезапустили OSSEC HIDS после этого:

/etc/init.d/ossec restart

Чтобы узнать, как добавить пользовательские наборы правил и т. д. в конфигурацию OSSEC HIDS, пожалуйста, обратитесь к руководству OSSEC HIDS: http://www.ossec.net/en/manual.html

3 Ссылки

• OSSEC HIDS: http://www.ossec.net