Erste Schritte mit OSSEC

Erste Schritte mit OSSEC
OSEC vermarktet sich selbst als das am häufigsten verwendete Intrusion Detection -System der Welt. Ein Intrusionserkennungssystem (allgemein als IDS bezeichnet) ist eine Software, die uns hilft, unser Netzwerk auf Anomalien, Vorfälle oder ein Ereignis zu überwachen, das wir als gemeldet feststellen,. Intrusion Detection Systems sind wie eine Firewall anpassbar. Sie können so konfiguriert werden.

Ein Intrusionserkennungssystem kann uns vor DDOs, brutaler Gewalt, Exploits, Datenlecks und mehr warnen.

Bei LinuxHint haben wir zuvor Snort Two Tutorials gewidmet. Snort ist eines der führenden Intrusion -Erkennungssysteme auf dem Markt und wahrscheinlich das erste. Die Artikel wurden ein Snort Intrusion Intrusion Detection System zum Schutz von Servern und Netzwerken installiert und verwendet, um Snort -IDs zu konfigurieren und Regeln zu erstellen.

Diesmal werde ich zeigen, wie man OSSEC einrichtet. Der Server ist der Kern der Software, er enthält die Regeln, Ereigniseinträge und Richtlinien, während Agenten auf den Geräten installiert werden, um zu überwachen. Agenten liefern Protokolle und informieren den Server über Vorfälle. In diesem Tutorial installieren wir die Serverseite nur, um das verwendete Gerät zu überwachen. Der Server enthält bereits die Funktionen des Agenten an dem Gerät, in dem er installiert ist.

OSEC -Installation:

Zunächst einmal rennen:

APT INSTALLIERT LIBMARIADB2

Für Debian- und Ubuntu -Pakete können Sie den OSSEC -Server unter https: // updates herunterladen.Atomicorp.com/kanäle/ossec/debian/pool/main/o/ossec-hids-server/

Für dieses Tutorial lade ich die aktuelle Version herunter, indem ich in die Konsole eingreift:

WGet https: // Updates.Atomicorp.com/kanäle/ossec/debian/pool/main/o//o/
OSSEC-HIDS-SERVER/OSSEC-HIDS-SERVER_3.3.0.6515TRetch_amd64.Deb

Dann renne:

dpkg -i ossec-hids-server_3.3.0.6515TRetch_amd64.Deb

Starten Sie OSEC durch Ausführung:

/var/OSSEC/bin/OSSEC-Control Start

Standardmäßig ermöglichte unsere Installation keine E -Mail -Benachrichtigung, um sie zu bearbeiten

Nano/var/ossec/etc/OSSec.Conf
Ändern
NEIN
Für
Ja
Und fügen Sie hinzu:
DEINE ADRESSE
SMTP -Server
OSSECM@localhost

Drücken Sie Strg+x Und Y Um zu speichern und zu beenden und OSEC erneut zu beginnen:

/var/OSSEC/bin/OSSEC-Control Start

Notiz: Wenn Sie den Agenten von OSSEC an einem anderen Gerätetyp installieren möchten:

WGet https: // Updates.Atomicorp.com/kanäle/ossec/debian/pool/main/o//o/
OSSEC-HIDS-Agent/OSSEC-HIDS-Agent_3.3.0.6515TRetch_amd64.Deb
dpkg -i ossec-hids-Agent_3.3.0.6515TRetch_amd64.Deb

Lassen Sie uns erneut die Konfigurationsdatei für OSSEC überprüfen

Nano/var/ossec/etc/OSSec.Conf

Scrollen Sie nach unten, um den SYSCHECK -Abschnitt zu erreichen

Hier können Sie die von OSSEC und die Revisionsintervalle überprüften Verzeichnisse bestimmen. Wir können auch Verzeichnisse und Dateien definieren, die ignoriert werden sollen.

So setzen Sie OSSEC so, dass Ereignisse in Echtzeit melden

/etc,/usr/bin,/usr/sbin
/bin,/sbin
Zu
/etc,/usr/bin,
/usr/sbin

/bin,/sbin

So fügen Sie ein neues Verzeichnis für OSSEC hinzu, um zu überprüfen, ob Sie eine Zeile hinzufügen:

/Dir1,/dir2

Nano durch Drücken schließen Strg+x Und Y und Typ:

nano/var/ossec/Regeln/OSSEC_RULES.xml

Diese Datei enthält die Regeln von OSSEC. Die Regelstufe bestimmt die Antwort des Systems. Beispielsweise standardmäßig OSSEC -Berichte auf Level 7 -Warnungen, wenn es eine Regel mit einem Niveau von weniger als 7 gibt und Sie informiert werden möchten, wenn OSSEC den Vorfall identifiziert, bearbeiten Sie die Ebene der Ebene für 7 oder höher. Zum Beispiel, wenn Sie informiert werden möchten, wenn ein Host von der aktiven Antwort von OSSEC entsperrt wird. Bearbeiten Sie die folgende Regel:


600
Firewall-Drop.Sch
löschen
Host ohne Firewall-Drop entsperren.SH aktive Reaktion
Active_Response,

Zu:

600
Firewall-Drop.Sch
löschen
Host ohne Firewall-Drop entsperren.SH aktive Reaktion
Active_Response,

Eine sicherere Alternative kann darin bestehen, eine neue Regel am Ende der Datei hinzuzufügen, die die vorherige umschreiben:


600
Firewall-Drop.Sch
löschen
Host ohne Firewall-Drop entsperren.SH aktive Reaktion

Jetzt haben wir OSSEC auf lokaler Ebene installiert. In einem nächsten Tutorial erfahren Sie mehr über OSSEC -Regeln und Konfiguration.

Ich hoffe, Sie haben dieses Tutorial als nützlich gefunden, um mit OSSEC zu beginnen, weiterhin LinuxHint folgen.Com für weitere Tipps und Updates unter Linux.