如何建立一个本地OSSEC安装在Fedora 21

OSSEC是一个开源的,基于主机的入侵检测系统(HIDS)执行日志分析,完整性检查时,Windows注册表监控,rootkit检测,基于时间的警报和主动响应。它的应用程序安装在服务器上,如果你想保持眼睛里面是什么它的发生。在本教程中,您将学习如何安装OSSEC监视它安装在Fedora的21服务器:本地OSSEC安装。

介绍

OSSEC是一个开源的基于主机的入侵检测系统(HIDS),可以执行日志分析,完整性检查,Windows注册表监控,rootkit检测,基于时间的警报和主动响应。这是应用程序安装在您的服务器上,如果你想看看里面发生了什么。 可以安装OSSEC以仅监视其安装的服务器,这是OSSEC的本地安装,或者安装为服务器以监视一个或多个代理。在本教程中,您将学习如何安装OSSEC以监视其安装的Fedora 21或RHEL服务器:本地OSSEC安装。

先决条件

要完成本教程,您需要:
  • Fedora的21Droplet,你已经按照建立本教程
本教程应遵循作为sudo非root用户。

第1步 - 安装必需的软件包

在本节中,您将安装一些必需的软件包。 特别是,安装bind-utilsgccmakeinotify-tools使用以下命令。
sudo yum install -y bind-utils gcc make inotify-tools
bind-utils提供域名系统(DNS)公用事业, gcc ,并make将由OSSEC安装使用,并且inotify-tools被用于OSSEC实时通知需要。

第2步 - 下载和验证OSSEC

OSSEC作为压缩压缩包提供。在此步骤中,您将下载它及其校验和文件,验证tarball是否已被篡改。 您可以检查项目的网站获取最新版本。 在写这篇文章的时候, OSSEC 2.8.1是最新的稳定版本。 首先,下载tarball。
wget -U ossec http://www.ossec.net/files/ossec-hids-2.8.1.tar.gz
然后,下载校验和文件。
wget -U ossec http://www.ossec.net/files/ossec-hids-2.8.1-checksum.txt
下载这两个文件后,验证压缩tarball的md5sum。
md5sum -c ossec-hids-2.8.1-checksum.txt
输出应为:
ossec-hids-2.8.1.tar.gz: OK
md5sum: WARNING: 1 line is improperly formatted
通过验证SHA1校验和。
sha1sum -c ossec-hids-2.8.1-checksum.txt
其输出应为:
ossec-hids-2.8.1.tar.gz: OK
sha1sum: WARNING: 1 line is improperly formatted
在每一种情况下,忽略了警戒线确定线就是确认该文件是好的。

第3步 - 查找SMTP服务器

在安装OSSEC期间设置电子邮件通知时,OSSEC将要求您提供SMTP服务器。在这一步,我们会找出这些信息。 要确定正确的SMTP服务器使用的电子邮件服务提供商,您可以使用dig命令查询提供商的邮件交换器(MX)资源记录。 输入以下命令,替换example.com与您的电子邮件服务提供商的域名:
dig -t mx example.com
输出是由几个部分,但我们只在应答部分,其中包含一或多个行的兴趣。在每行的结尾是要使用的SMTP服务器。 例如,如果运行使用命令fastmail.com
dig -t mx fastmail.com
提供者的有效SMTP服务器将在ANSWER部分中每个列表的末尾,应为:
;; ANSWER SECTION:
fastmail.com.           3600    IN      MX      10 in1-smtp.messagingengine.com.
fastmail.com.           3600    IN      MX      20 in2-smtp.messagingengine.com.

在这个例子中,您可以使用in1-smtp.messagingengine.com.in2-smtp.messagingengine.com.作为SMTP服务器。 从电子邮件提供商复制其中一个SMTP服务器,并将其保存以在下一步中输入。一定要包括在年底。(句号),太。

第4步 - 安装OSSEC

在这一步,我们将安装OSSEC。 在开始安装之前,请使用:
tar xf ossec-hids-2.8.1.tar.gz
它将被解压到一个名为ossec-hids-2.8.1 。切换到该目录。
cd ossec-hids-2.8.1
然后开始安装。
sudo ./install.sh
在整个设置过程中,系统会提示您提供一些输入。在大多数的情况下,所有你需要做的就是按回车键接受默认值。 将首先提示您选择安装语言。默认情况下,它是英语(en),所以按ENTER键 ,如果这是你的首选语言。 否则,从支持的语言列表中输入2个字母。 然后再次按ENTER键开始安装。 问题1会问你想要什么样的安装。在这里,进入本地
1- What kind of installation do you want (server, agent, local, hybrid or help)? local
对于所有的下列问题,按ENTER键接受默认。问题3.1将另外提示您的电子邮件地址,然后请求您的SMTP服务器ip /主机。在这里,输入您的电子邮件地址和从第3步保存的SMTP服务器。 如果安装成功,最后,您应该看到这个输出:
 - Configuration finished properly.

...

    More information can be found at http://www.ossec.net

    ---  Press ENTER to finish (maybe more information below). ---
ENTER键完成安装。

第5步 - 验证OSSEC的电子邮件设置

这里我们将验证在上一步中指定的电子邮件凭证和OSSEC自动配置的电子邮件凭据是否正确。 电子邮件设置在OSSEC的主配置文件, ossec.conf ,这是在/var/ossec/etc目录中。要访问和修改任何OSSEC文件,您首先需要切换到root用户。
sudo su
现在,你的根, cd到哪里OSSEC的配置文件所在的目录。
cd /var/ossec/etc
首先,制作该文件的备份副本。
cp ossec.conf ossec.conf.00
然后打开原始文件。在这里,我们使用了nano文本编辑器,但你可以使用任何你喜欢的文本编辑器。
nano ossec.conf
电子邮件设置位于文件的顶部。这里是字段的描述。
  • <EMAIL_TO>是在安装过程中给了电子邮件。警告将发送到该电子邮件地址。
  • <EMAIL_FROM>是OSSEC的警报似乎是来自哪里。将其更改为有效的电子邮件地址,以减少电子邮件提供商的SMTP服务器将您的电子邮件标记为垃圾邮件的几率。
  • <smtp_server>是在安装过程中所指定的SMTP服务器。
需要注意的是<EMAIL_TO><EMAIL_FROM>可以是相同的,如果你有自己的电子邮件服务器的同一主机作为OSSEC服务器上,您可以更改<smtp_server>设置为localhost。 下面是完成后该部分的外观。
<global>
    <email_notification>yes</email_notification>
    <email_to>sammy@example.com</email_to>
    <smtp_server>mail.example.com.</smtp_server>
    <email_from>sammy@example.com</email_from>
</global>

修改电子邮件设置后,保存并关闭文件。然后启动OSSEC。
/var/ossec/bin/ossec-control start
检查您的收件箱中是否有表示OSSEC已启动的电子邮件。如果您收到来自您的OSSEC安装的电子邮件,则您知道未来的警报也将到达您的收件箱。如果没有,请检查您的垃圾邮件文件夹。

第6步 - 添加警报

默认情况下,OSSEC将在服务器上发布文件修改和其他活动的警报,但它不会在新文件添加时发出警报,也不会实时警报 - 仅在预定系统扫描之后,即79200秒(或22小时) 默认。在本节中,我们将实时添加文件添加警报。 首先,打开ossec.conf
nano ossec.conf
然后向下滚动到它与本文开头的<SysCheck的>部分:
<syscheck>
    <!-- Frequency that syscheck is executed - default to every 22 hours -->
    <frequency>79200</frequency>
刚下<频率>标签中,添加<alert_new_files>yes</alert_new_files>
<syscheck>
    <!-- Frequency that syscheck is executed - default to every 22 hours -->
    <frequency>79200</frequency>

    <alert_new_files>yes</alert_new_files>
虽然你仍然有ossec.conf打开,看看系统目录的列表OSSEC显示器,它只是在你刚修改的最后一行。应为:
<!-- Directories to check  (perform all possible verifications) -->
<directories check_all="yes">/etc,/usr/bin,/usr/sbin</directories>
<directories check_all="yes">/bin,/sbin</directories>
对于目录的每个列表,添加report_changes="yes"realtime="yes"的选项。修改完成后,该部分应为:
<!-- Directories to check  (perform all possible verifications) -->
<directories report_changes="yes" realtime="yes" check_all="yes">/etc,/usr/bin,/usr/sbin</directories>
<directories report_changes="yes" realtime="yes" check_all="yes">/bin,/sbin</directories>
除了OSSEC已配置为监视的默认目录列表外,还可以添加任何要监视的目录。例如,你可以为你的home目录,添加监控/home/ sammy 。为此,请在其他目录行下添加此新行,替换为您的用户名:
<directories report_changes="yes" realtime="yes" check_all="yes">/home/sammy</directories>
现在,保存并关闭ossec.conf 。 接下来的文件来修改是在/var/ossec/rules目录,这样移动到该目录中。
cd /var/ossec/rules
/var/ossec/rules目录中包含多个XML文件,包括ossec_rules.xml ,其中包含OSSEC的默认规则定义, local_rules.xml ,这是在这里你可以添加自定义规则。 local_rules.xml是你应该编辑的唯一文件这个目录。 在ossec_rules.xml ,时,将触发文件添加到受监控的目录规则554默认规则,OSSEC不会发出警报,当这条规则被触发,所以这里的任务就是改变这种行为。默认情况下,规则554是什么样子:
<rule id="554" level="0">
<category>ossec</category>
<decoded_as>syscheck_new_entry</decoded_as>
<description>File added to the system.</description>
<group>syscheck,</group>
</rule>
如果规则设置为0级OSSEC不会发出警报,因此我们将复制该规则local_rules.xml并将其修改为触发警报。 要做到这一点,打开local_rules.xml
nano local_rules.xml
添加如下在该文件的结束时,与前行</group>标记。
<rule id="554" level="7" overwrite="yes">
<category>ossec</category>
<decoded_as>syscheck_new_entry</decoded_as>
<description>File added to the system.</description>
<group>syscheck,</group>
</rule>
保存并关闭文件。现在,重新启动OSSEC重新加载我们编辑的文件。
/var/ossec/bin/ossec-control restart
您现在应该从监视的目录和日志文件接收来自OSSEC的警报。

结论

现在你有一个基本的本地OSSEC安装设置。有很多可用的进一步定制,你可以在探索其官方文档 。 有关如何在客户端-服务器或服务器代理模式(而不是本地模式)安装OSSEC一个想法,请参阅如何监视OSSEC代理在Ubuntu 14.04使用OSSEC服务器