Обновление OSSEC 2.8.1 до OSSEC 2.8.2
Linux, VPS | Комментировать запись
OSSEC – это открытая хостовая система обнаружения вторжений (HIDS), позволяющая выполнять анализ журналов, проверку целостности, мониторинг сетевого реестра Windows, обнаруживать руткиты, настраивать оповещения и многое другое. Данная система способна мониторить тысячи серверов.
В этом руководстве показано, как обновить установку OSSEC 2.8.1 до последней поддерживаемой версии, OSSEC 2.8.2, которая устраняет недавно обнаруженный баг.
Требования
- Сервер Linux
- Предварительно установленная система OSSEC 2.8.1
Примечание: Чтобы обновить OSSEC 2.8.1 в системе FreeBSD 10.1, просто используйте стандартный менеджер пакетов.
1: Загрузка OSSEC 2.8.2
Сначала нужно загрузить архив и файл контрольной суммы OSSEC, который подтверждает подлинность архива.
Чтобы скачать архив, используйте:
wget -U ossec http://www.ossec.net/files/ossec-hids-2.8.2.tar.gz
Файл контрольной суммы можно получить так:
wget -U ossec http://www.ossec.net/files/ossec-hids-2.8.2-checksum.txt
Чтобы убедиться в надёжности архива, проверьте контрольную сумму MD5.
md5sum -c ossec-hids-2.8.2-checksum.txt
На экране появится вывод:
ossec-hids-2.8.2.tar.gz: OK
md5sum: WARNING: 1 line is improperly formatted
Затем проверьте контрольную сумму SHA1:
sha1sum -c ossec-hids-2.8.2-checksum.txt
Появится вывод:
ossec-hids-2.8.2.tar.gz: OK
sha1sum: WARNING: 1 line is improperly formatted
2: Исправление ошибки
Версия OSSEC 2.8.2 исправляет ошибку безопасности, однако оставляет устойчивую неисправность системы, которая заставляет OSSEC переписывать содержимое файла /etc/hosts.deny. Эту ошибку нужно устранит вручную, прежде чем приступать к обновлению программы. Для этого нужно отредактировать файл из только что загруженного архива.
Распакуйте архив:
tar xf ossec-hids-2.8.2.tar.gz
Архив будет распакован в каталог, одноимённый версии программы. Откройте этот каталог:
cd ossec-hids-2.8.2
Теперь нужно отредактировать файл host-deny.sh в каталоге active-response:
nano active-response/host-deny.sh
В конце файла найдите строку TMP_FILE =, которая расположена под строкой # Deleting from hosts.deny. Отредактируйте эти строки; уберите пробелы возле символа =, в результате его блок будет иметь такой вид:
# Deleting from hosts.deny
elif [ "x${ACTION}" = "xdelete" ]; then
lock;
TMP_FILE=`mktemp /var/ossec/ossec-hosts.XXXXXXXXXX`
if [ "X${TMP_FILE}" = "X" ]; then
# Cheap fake tmpfile, but should be harder then no random data
TMP_FILE="/var/ossec/ossec-hosts.`cat /dev/urandom | tr -dc 'a-zA-Z0-9' | fold -w 32 | head -1 `"
fi
Сохраните и закройте файл.
3: Обновление OSSEC 2.8.1
Итак, теперь можно приступать к обновлению версии OSSEC 2.8.1.
sudo ./install.sh
Программа предложит выбрать язык установки; чтобы принять стандартное значение, нажмите Enter. Чтобы установить какой-либо другой язык, введите 2-буквенный код этого языка, а затем нажмите Enter. Среди прочих инструкций программа задаст следующие два вопроса:
- You already have OSSEC installed. Do you want to update it? (y/n): y
Do you want to update the rules? (y/n): y
Обновление займёт пару минут. После завершения инсталлятор перезапустит OSSEC, а затем отправит вам электронное письмо с подтверждением о перезапуске и обновлении системы.
Чтобы убедиться, что обновление OSSEC прошло успешно, проверьте состояние:
sudo /var/ossec/bin/ossec-control status
Вывод должен сообщить о том, что процессы запущены.
Tags: HIDS, OSSEC, OSSEC 2.8.1, OSSEC 2.8.2