Локальная установка OSSEC на Fedora 21
OSSEC – это открытая хостовая система обнаружения вторжений (HIDS), которая выполняет анализ журналов, проверку целостности, отслеживает реестр Windows, обнаруживает руткиты, быстро и своевременно сообщает о проблемах. Это приложение позволяет следить за всем, что происходит внутри сервера.
Программу OSSEC можно настроить для отслеживания только того сервера, на котором она установлена, а можно отслеживать несколько серверов при помощи агентов. Данное руководство поможет установить OSSEC на сервер Fedora 21 или RHEL и отслеживать этот локальный сервер.
Требования
Для выполнения руководства нужен предварительно настроенный сервер Fedora 21; подробные инструкции по настройке можно найти здесь.
Руководство рекомендуется выполнять при помощи учётной записи пользователя с доступом к sudo.
1: Установка пакетов
Для начала нужно установить все необходимые пакеты.
Запустите следующую команду, чтобы установить bind-utils, gcc, make и inotify-tools:
sudo yum install -y bind-utils gcc make inotify-tools
bind-utils содержит утилиты DNS, gcc и make необходимы инсталлятору OSSEC, а inotify-tools позволяют OSSEC отправлять извещения в режиме реального времени.
2: Загрузка и подтверждение пакета OSSEC
OSSEC поставляется в виде сжатого тарбола. На данном этапе нужно загрузить тарбол и его контрольную сумму, которая подтверждает его подлинность.
Последнюю версию OSSEC можно узнать на сайте проекта. В данном руководстве устанавливается релиз OSSEC 2.8.1.
Загрузите тарбол:
wget -U ossec http://www.ossec.net/files/ossec-hids-2.8.1.tar.gz
Загрузите контрольную сумму:
wget -U ossec http://www.ossec.net/files/ossec-hids-2.8.1-checksum.txt
После этого проверьте md5sum сжатого тарбола.
md5sum -c ossec-hids-2.8.1-checksum.txt
На экране должно появиться:
ossec-hids-2.8.1.tar.gz: OK
md5sum: WARNING: 1 line is improperly formatted
Затем проверьте SHA1:
sha1sum -c ossec-hids-2.8.1-checksum.txt
Вывод должен быть таким:
ossec-hids-2.8.1.tar.gz: OK
sha1sum: WARNING: 1 line is improperly formatted
Проигнорируйте WARNING в каждом выводе; OK в первой строке каждого вывода подтверждает подлинность загруженного архива.
3: SMTP-сервер
При настройке уведомлений по электронной почте во время установки OSSEC программа запросит SMTP-сервер. Потому эту информацию нужно уточнить заранее.
Чтобы определить, какой SMTP-сервер нужно использовать для провайдера услуг электронной почты, запустите команду dig, чтобы запросить запись MX почтового обменника провайдера. Введите следующую команду, заменив example.com доменным именем провайдера электронной почты.
dig -t mx example.com
Вывод этой команды состоит из нескольких разделов, среди которых нужен только раздел ANSWER. В конце каждой строки данного раздела указан SMTP-сервер.
К примеру, если домен провайдера электронной почты – fastmail.com:
dig -t mx fastmail.com
Валидный SMTP-сервер указан в конце каждой строки раздела ANSWER:
;; ANSWER SECTION:
fastmail.com. 3600 IN MX 10 in1-smtp.messagingengine.com.
fastmail.com. 3600 IN MX 20 in2-smtp.messagingengine.com.
Согласно полученному результату, в данном случае можно использовать SMTP-сервер in1-smtp.messagingengine.com. или in2-smtp.messagingengine.com.
Выпишите имя одного из SMTP-серверов, оно понадобится на следующем этапе.
Примечание: Не забудьте про точку в конце.
4: Установка OSSEC
Теперь можно приступать к установке OSSEC.
Распакуйте архив:
tar xf ossec-hids-2.8.1.tar.gz
Архив будет распакован в каталог ossec-hids-2.8.1. Откройте этот каталог:
cd ossec-hids-2.8.1
Запустите установку:
sudo ./install.sh
Во время установки программа задаст несколько вопросов и запросит некоторые данные. В большинстве случаев можно просто нажать Enter, чтобы принять стандартные значения.
Сначала программа предложит выбрать язык установки; по умолчанию выбран английский (en). Чтобы оставить настройку по умолчанию, нажмите Enter; чтобы выбрать другой язык, введите сокращенное название из двух букв, которое можно найти в списке поддерживаемых языков, и нажмите Enter.
Программа предложит выбрать тип установки; в данном случае выберите локальную:
1- What kind of installation do you want (server, agent, local, hybrid or help)? local
На все остальные вопросы можно ответить, просто нажав клавишу Enter. Вопрос 3.1 предложит указать адрес электронной почты и SMTP-сервер. Введите эти данные, используя SMTP-сервер, обнаруженный в предыдущем разделе.
Если установка прошла успешно, на экране появится вывод:
- Configuration finished properly.
...
More information can be found at http://www.ossec.net
--- Press ENTER to finish (maybe more information below). ---
Нажмите Enter, чтобы завершить установку.
5: Настройки почты OSSEC
Теперь нужно убедиться, что учётные данные почты указаны верно, и что автоматически сгенерированные OSSEC данные валидны.
Настройки почты находятся в файле ossec.conf, который хранится в каталоге /var/ossec/etc. Чтобы редактировать файлы OSSEC, нужно перейти в сессию пользователя root:
sudo su
Откройте каталог /var/ossec/etc:
cd /var/ossec/etc
Создайте резервную копию конфигурационного файла.
cp ossec.conf ossec.conf.00
После этого откройте оригинальный файл.
nano ossec.conf
Настройки почты находятся в верхней части файла.
- <email_to> указывает почтовый адрес, указанный во время установки OSSEC. На этот адрес OSSEC будет отправлять предупреждения и извещения.
- <email_from> – адрес отправителя предупреждений. Укажите в этом поле валидный почтовый адрес, в противном случае предупреждения могут быть отмечены как спам.
- <smtp_server> – указанный во время установки SMTP-сервер.
Обратите внимание: строки <email_to> и <email_from> могут содержать один и тот же адрес. Если у вас есть свой собственный сервер электронной почты на хосте, на котором установлен сервер OSSEC, вы можете изменить параметр <smtp_server> на localhost.
После редактирования данный раздел будет выглядеть так:
<global>
<email_notification>yes</email_notification>
<email_to>8host@example.com</email_to>
<smtp_server>mail.example.com.</smtp_server>
<email_from>8host@example.com</email_from>
</global>
Отредактировав настройки почты, можете сохранить и закрыть файл.
Запустите OSSEC.
/var/ossec/bin/ossec-control start
После запуска OSSEC отправляет приветственное извещение на электронный адрес. Проверьте входящие письма. Если в нём появилось приветственное письмо, значит, функция доставки извещений настроена правильно. Если письма не появилось, проверьте спам.
6: Извещения и предупреждения
По умолчанию OSSEC присылает уведомления об изменении файлов и других подобных событиях на сервере, но не сообщает о добавлении файлов. Также по умолчанию система начинает работать в режиме реального времени только после запланированного сканирования системы, которое занимает 22 часа. В данном разделе показано, как настроить извещения о добавлении файлов в режиме реального времени.
Откройте ossec.conf:
nano ossec.conf
Затем найдите раздел <syscheck>, который начинается так:
<syscheck>
<!-- Frequency that syscheck is executed - default to every 22 hours -->
<frequency>79200</frequency>
После тега <frequency> добавьте следующую строку:
<syscheck>
<!-- Frequency that syscheck is executed - default to every 22 hours -->
<frequency>79200</frequency>
<alert_new_files>yes</alert_new_files>
Просмотрите в файле список системных каталогов, которые отслеживает OSSEC.
<!-- Directories to check (perform all possible verifications) -->
<directories check_all="yes">/etc,/usr/bin,/usr/sbin</directories>
<directories check_all="yes">/bin,/sbin</directories>
Для каждого списка добавьте опции report_changes=”yes” и realtime=”yes”:
<!-- Directories to check (perform all possible verifications) -->
<directories report_changes="yes" realtime="yes" check_all="yes">/etc,/usr/bin,/usr/sbin</directories>
<directories report_changes="yes" realtime="yes" check_all="yes">/bin,/sbin</directories>
Кроме стандартного списка каталогов OSSEC может мониторить и другие каталоги. К примеру, можно настроить отслеживание домашнего каталога (в данном руководстве это /home/8host). Для этого добавьте в список каталогов следующую строку, указав свой домашний каталог:
<directories report_changes="yes" realtime="yes" check_all="yes">/home/8host</directories>
Сохраните и закройте ossec.conf.
После этого нужно отредактировать файл в каталоге /var/ossec/rules:
cd /var/ossec/rules
В этом каталоге хранится множество файлов XML, среди которых можно найти ossec_rules.xml и local_rules.xml; первый файл хранит стандартные определения правил OSSEC, а второй – пользовательские правила.
Внимание! Редактировать можно только local_rules.xml.
В файле ossec_rules.xml есть правило, которое отвечает за извещения о добавлении файлов. Это правило 554:
<rule id="554" level="0">
<category>ossec</category>
<decoded_as>syscheck_new_entry</decoded_as>
<description>File added to the system.</description>
<group>syscheck,</group>
</rule>
Если level=”0″, то правило не отправляет извещений о добавленных файлах. Скопируйте правило в local_rules.xml; откройте этот файл:
nano local_rules.xml
Добавьте в конец файла следующую строку:
<rule id="554" level="7" overwrite="yes">
<category>ossec</category>
<decoded_as>syscheck_new_entry</decoded_as>
<description>File added to the system.</description>
<group>syscheck,</group>
</rule>
Сохраните и закройте файл. Перезапустите OSSEC:
/var/ossec/bin/ossec-control restart
Теперь OSSEC будет отправлять извещения о добавленных файлах.
Примечание: Более подробную информацию о OSSEC можно найти в официальной документации.
Tags: Fedora 21, OSSEC, SMTP