Обновление OSSEC 2.8.1 до OSSEC 2.8.2

Published by Leave your thoughts

OSSEC – это открытая хостовая система обнаружения вторжений (HIDS), позволяющая выполнять анализ журналов, проверку целостности, мониторинг сетевого реестра Windows, обнаруживать руткиты, настраивать оповещения и многое другое. Данная система способна мониторить тысячи серверов.

В этом руководстве показано, как обновить установку OSSEC 2.8.1 до последней поддерживаемой версии, OSSEC 2.8.2, которая устраняет недавно обнаруженный баг.

Требования

  • Сервер Linux
  • Предварительно установленная система OSSEC 2.8.1

Примечание: Чтобы обновить OSSEC 2.8.1 в системе FreeBSD 10.1, просто используйте стандартный менеджер пакетов.

1: Загрузка OSSEC 2.8.2

Сначала нужно загрузить архив и файл контрольной суммы OSSEC, который подтверждает подлинность архива.

Чтобы скачать архив, используйте:

wget -U ossec http://www.ossec.net/files/ossec-hids-2.8.2.tar.gz

Файл контрольной суммы можно получить так:

wget -U ossec http://www.ossec.net/files/ossec-hids-2.8.2-checksum.txt

Чтобы убедиться в надёжности архива, проверьте контрольную сумму MD5.

md5sum -c ossec-hids-2.8.2-checksum.txt

На экране появится вывод:

ossec-hids-2.8.2.tar.gz: OK
md5sum: WARNING: 1 line is improperly formatted

Затем проверьте контрольную сумму SHA1:

sha1sum -c ossec-hids-2.8.2-checksum.txt

Появится вывод:

ossec-hids-2.8.2.tar.gz: OK
sha1sum: WARNING: 1 line is improperly formatted

2: Исправление ошибки

Версия OSSEC 2.8.2 исправляет ошибку безопасности, однако оставляет устойчивую неисправность системы, которая заставляет OSSEC переписывать содержимое файла /etc/hosts.deny. Эту ошибку нужно устранит вручную, прежде чем приступать к обновлению программы. Для этого нужно отредактировать файл из только что загруженного архива.

Распакуйте архив:

tar xf ossec-hids-2.8.2.tar.gz

Архив будет распакован в каталог, одноимённый версии программы. Откройте этот каталог:

cd ossec-hids-2.8.2

Теперь нужно отредактировать файл host-deny.sh в каталоге active-response:

nano active-response/host-deny.sh

В конце файла найдите строку TMP_FILE =, которая расположена под строкой # Deleting from hosts.deny. Отредактируйте эти строки; уберите пробелы возле символа =, в результате его блок будет иметь такой вид:

# Deleting from hosts.deny
elif [ "x${ACTION}" = "xdelete" ]; then
lock;
TMP_FILE=`mktemp /var/ossec/ossec-hosts.XXXXXXXXXX`
if [ "X${TMP_FILE}" = "X" ]; then
# Cheap fake tmpfile, but should be harder then no random data
TMP_FILE="/var/ossec/ossec-hosts.`cat /dev/urandom | tr -dc 'a-zA-Z0-9' | fold -w 32 | head -1 `"
fi

Сохраните и закройте файл.

3: Обновление OSSEC 2.8.1

Итак, теперь можно приступать к обновлению версии OSSEC 2.8.1.

sudo ./install.sh

Программа предложит выбрать язык установки; чтобы принять стандартное значение, нажмите Enter. Чтобы установить какой-либо другой язык, введите 2-буквенный код этого языка, а затем нажмите Enter. Среди прочих инструкций программа задаст следующие два вопроса:

- You already have OSSEC installed. Do you want to update it? (y/n): y
Do you want to update the rules? (y/n): y

Обновление займёт пару минут. После завершения инсталлятор перезапустит OSSEC, а затем отправит вам электронное письмо с подтверждением о перезапуске и обновлении системы.

Чтобы убедиться, что обновление OSSEC прошло успешно, проверьте состояние:

sudo /var/ossec/bin/ossec-control status

Вывод должен сообщить о том, что процессы запущены.

Tags: , , ,

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *


*

Можно использовать следующие HTML-теги и атрибуты: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>