Локальная установка OSSEC на Fedora 21

RHEL | Amber | Комментировать запись

OSSEC – это открытая хостовая система обнаружения вторжений (HIDS), которая выполняет анализ журналов, проверку целостности, отслеживает реестр Windows, обнаруживает руткиты, быстро и своевременно сообщает о проблемах. Это приложение позволяет следить за всем, что происходит внутри сервера.

Программу OSSEC можно настроить для отслеживания только того сервера, на котором она установлена, а можно отслеживать несколько серверов при помощи агентов. Данное руководство поможет установить OSSEC на сервер Fedora 21 или RHEL и отслеживать этот локальный сервер.

Требования

Для выполнения руководства нужен предварительно настроенный сервер Fedora 21; подробные инструкции по настройке можно найти здесь.

Руководство рекомендуется выполнять при помощи учётной записи пользователя с доступом к sudo.

1: Установка пакетов

Для начала нужно установить все необходимые пакеты.

Запустите следующую команду, чтобы установить bind-utils, gcc, make и inotify-tools:

sudo yum install -y bind-utils gcc make inotify-tools

bind-utils содержит утилиты DNS, gcc и make необходимы инсталлятору OSSEC, а inotify-tools позволяют OSSEC отправлять извещения в режиме реального времени.

2: Загрузка и подтверждение пакета OSSEC

OSSEC поставляется в виде сжатого тарбола. На данном этапе нужно загрузить тарбол и его контрольную сумму, которая подтверждает его подлинность.

Последнюю версию OSSEC можно узнать на сайте проекта. В данном руководстве устанавливается релиз OSSEC 2.8.1.

Загрузите тарбол:

wget -U ossec http://www.ossec.net/files/ossec-hids-2.8.1.tar.gz

Загрузите контрольную сумму:

wget -U ossec http://www.ossec.net/files/ossec-hids-2.8.1-checksum.txt

После этого проверьте md5sum сжатого тарбола.

md5sum -c ossec-hids-2.8.1-checksum.txt

На экране должно появиться:

ossec-hids-2.8.1.tar.gz: OK
md5sum: WARNING: 1 line is improperly formatted

Затем проверьте SHA1:

sha1sum -c ossec-hids-2.8.1-checksum.txt

Вывод должен быть таким:

ossec-hids-2.8.1.tar.gz: OK
sha1sum: WARNING: 1 line is improperly formatted

Проигнорируйте WARNING в каждом выводе; OK в первой строке каждого вывода подтверждает подлинность загруженного архива.

3: SMTP-сервер

При настройке уведомлений по электронной почте во время установки OSSEC программа запросит SMTP-сервер. Потому эту информацию нужно уточнить заранее.

Чтобы определить, какой SMTP-сервер нужно использовать для провайдера услуг электронной почты, запустите команду dig, чтобы запросить запись MX почтового обменника провайдера. Введите следующую команду, заменив example.com доменным именем провайдера электронной почты.

dig -t mx example.com

Вывод этой команды состоит из нескольких разделов, среди которых нужен только раздел ANSWER. В конце каждой строки данного раздела указан SMTP-сервер.

К примеру, если домен провайдера электронной почты – fastmail.com:

dig -t mx fastmail.com

Валидный SMTP-сервер указан в конце каждой строки раздела ANSWER:

;; ANSWER SECTION:
fastmail.com.           3600    IN      MX      10 in1-smtp.messagingengine.com.
fastmail.com.           3600    IN      MX      20 in2-smtp.messagingengine.com.

Согласно полученному результату, в данном случае можно использовать SMTP-сервер in1-smtp.messagingengine.com. или in2-smtp.messagingengine.com.

Выпишите имя одного из SMTP-серверов, оно понадобится на следующем этапе.

Примечание: Не забудьте про точку в конце.

4: Установка OSSEC

Теперь можно приступать к установке OSSEC.

Распакуйте архив:

tar xf ossec-hids-2.8.1.tar.gz

Архив будет распакован в каталог ossec-hids-2.8.1. Откройте этот каталог:

cd ossec-hids-2.8.1

Запустите установку:

sudo ./install.sh

Во время установки программа задаст несколько вопросов и запросит некоторые данные. В большинстве случаев можно просто нажать Enter, чтобы принять стандартные значения.

Сначала программа предложит выбрать язык установки; по умолчанию выбран английский (en). Чтобы оставить настройку по умолчанию, нажмите Enter; чтобы выбрать другой язык, введите сокращенное название из двух букв, которое можно найти в списке поддерживаемых языков, и нажмите Enter.

Программа предложит выбрать тип установки; в данном случае выберите локальную:

1- What kind of installation do you want (server, agent, local, hybrid or help)? local

На все остальные вопросы можно ответить, просто нажав клавишу Enter. Вопрос 3.1 предложит указать адрес электронной почты и SMTP-сервер. Введите эти данные, используя SMTP-сервер, обнаруженный в предыдущем разделе.

Если установка прошла успешно, на экране появится вывод:

- Configuration finished properly.
...
More information can be found at http://www.ossec.net
---  Press ENTER to finish (maybe more information below). ---

Нажмите Enter, чтобы завершить установку.

5: Настройки почты OSSEC

Теперь нужно убедиться, что учётные данные почты указаны верно, и что автоматически сгенерированные OSSEC данные валидны.

Настройки почты находятся в файле ossec.conf, который хранится в каталоге /var/ossec/etc. Чтобы редактировать файлы OSSEC, нужно перейти в сессию пользователя root:

sudo su

Откройте каталог /var/ossec/etc:

cd /var/ossec/etc

Создайте резервную копию конфигурационного файла.

cp ossec.conf ossec.conf.00

После этого откройте оригинальный файл.

nano ossec.conf

Настройки почты находятся в верхней части файла.

• <email_to> указывает почтовый адрес, указанный во время установки OSSEC. На этот адрес OSSEC будет отправлять предупреждения и извещения.
• <email_from> – адрес отправителя предупреждений. Укажите в этом поле валидный почтовый адрес, в противном случае предупреждения могут быть отмечены как спам.
• <smtp_server> – указанный во время установки SMTP-сервер.

Обратите внимание: строки <email_to> и <email_from> могут содержать один и тот же адрес. Если у вас есть свой собственный сервер электронной почты на хосте, на котором установлен сервер OSSEC, вы можете изменить параметр <smtp_server> на localhost.

После редактирования данный раздел будет выглядеть так:

<global>
<email_notification>yes</email_notification>
<email_to>8host@example.com</email_to>
<smtp_server>mail.example.com.</smtp_server>
<email_from>8host@example.com</email_from>
</global>

Отредактировав настройки почты, можете сохранить и закрыть файл.

Запустите OSSEC.

/var/ossec/bin/ossec-control start

После запуска OSSEC отправляет приветственное извещение на электронный адрес. Проверьте входящие письма. Если в нём появилось приветственное письмо, значит, функция доставки извещений настроена правильно. Если письма не появилось, проверьте спам.

6: Извещения и предупреждения

По умолчанию OSSEC присылает уведомления об изменении файлов и других подобных событиях на сервере, но не сообщает о добавлении файлов. Также по умолчанию система начинает работать в режиме реального времени только после запланированного сканирования системы, которое занимает 22 часа. В данном разделе показано, как настроить извещения о добавлении файлов в режиме реального времени.

Откройте ossec.conf:

nano ossec.conf

Затем найдите раздел <syscheck>, который начинается так:

<syscheck>
<!-- Frequency that syscheck is executed - default to every 22 hours -->
<frequency>79200</frequency>

После тега <frequency> добавьте следующую строку:

<syscheck>
<!-- Frequency that syscheck is executed - default to every 22 hours -->
<frequency>79200</frequency>
<alert_new_files>yes</alert_new_files>

Просмотрите в файле список системных каталогов, которые отслеживает OSSEC.

<!-- Directories to check  (perform all possible verifications) -->
<directories check_all="yes">/etc,/usr/bin,/usr/sbin</directories>
<directories check_all="yes">/bin,/sbin</directories>

Для каждого списка добавьте опции report_changes=”yes” и realtime=”yes”:

<!-- Directories to check  (perform all possible verifications) -->
<directories report_changes="yes" realtime="yes" check_all="yes">/etc,/usr/bin,/usr/sbin</directories>
<directories report_changes="yes" realtime="yes" check_all="yes">/bin,/sbin</directories>

Кроме стандартного списка каталогов OSSEC может мониторить и другие каталоги. К примеру, можно настроить отслеживание домашнего каталога (в данном руководстве это /home/8host). Для этого добавьте в список каталогов следующую строку, указав свой домашний каталог:

<directories report_changes="yes" realtime="yes" check_all="yes">/home/8host</directories>

Сохраните и закройте ossec.conf.

После этого нужно отредактировать файл в каталоге /var/ossec/rules:

cd /var/ossec/rules

В этом каталоге хранится множество файлов XML, среди которых можно найти ossec_rules.xml и local_rules.xml; первый файл хранит стандартные определения правил OSSEC, а второй – пользовательские правила.

Внимание! Редактировать можно только local_rules.xml.

В файле ossec_rules.xml есть правило, которое отвечает за извещения о добавлении файлов. Это правило 554:

<rule id="554" level="0">
<category>ossec</category>
<decoded_as>syscheck_new_entry</decoded_as>
<description>File added to the system.</description>
<group>syscheck,</group>
</rule>

Если level=”0″, то правило не отправляет извещений о добавленных файлах. Скопируйте правило в local_rules.xml; откройте этот файл:

nano local_rules.xml

Добавьте в конец файла следующую строку:

<rule id="554" level="7" overwrite="yes">
<category>ossec</category>
<decoded_as>syscheck_new_entry</decoded_as>
<description>File added to the system.</description>
<group>syscheck,</group>
</rule>

Сохраните и закройте файл. Перезапустите OSSEC:

/var/ossec/bin/ossec-control restart

Теперь OSSEC будет отправлять извещения о добавленных файлах.

Примечание: Более подробную информацию о OSSEC можно найти в официальной документации.