Ein Intrusionserkennungssystem kann uns vor DDOs, brutaler Gewalt, Exploits, Datenlecks und mehr warnen.
Bei LinuxHint haben wir zuvor Snort Two Tutorials gewidmet. Snort ist eines der führenden Intrusion -Erkennungssysteme auf dem Markt und wahrscheinlich das erste. Die Artikel wurden ein Snort Intrusion Intrusion Detection System zum Schutz von Servern und Netzwerken installiert und verwendet, um Snort -IDs zu konfigurieren und Regeln zu erstellen.
Diesmal werde ich zeigen, wie man OSSEC einrichtet. Der Server ist der Kern der Software, er enthält die Regeln, Ereigniseinträge und Richtlinien, während Agenten auf den Geräten installiert werden, um zu überwachen. Agenten liefern Protokolle und informieren den Server über Vorfälle. In diesem Tutorial installieren wir die Serverseite nur, um das verwendete Gerät zu überwachen. Der Server enthält bereits die Funktionen des Agenten an dem Gerät, in dem er installiert ist.
OSEC -Installation:
Zunächst einmal rennen:
APT INSTALLIERT LIBMARIADB2
Für Debian- und Ubuntu -Pakete können Sie den OSSEC -Server unter https: // updates herunterladen.Atomicorp.com/kanäle/ossec/debian/pool/main/o/ossec-hids-server/
Für dieses Tutorial lade ich die aktuelle Version herunter, indem ich in die Konsole eingreift:
WGet https: // Updates.Atomicorp.com/kanäle/ossec/debian/pool/main/o//o/
OSSEC-HIDS-SERVER/OSSEC-HIDS-SERVER_3.3.0.6515TRetch_amd64.Deb
Dann renne:
dpkg -i ossec-hids-server_3.3.0.6515TRetch_amd64.Deb
Starten Sie OSEC durch Ausführung:
/var/OSSEC/bin/OSSEC-Control Start
Standardmäßig ermöglichte unsere Installation keine E -Mail -Benachrichtigung, um sie zu bearbeiten
Nano/var/ossec/etc/OSSec.Conf
ÄndernNEIN
FürJa
Und fügen Sie hinzu:DEINE ADRESSE SMTP -Server OSSECM@localhost
Drücken Sie Strg+x Und Y Um zu speichern und zu beenden und OSEC erneut zu beginnen:
/var/OSSEC/bin/OSSEC-Control Start
Notiz: Wenn Sie den Agenten von OSSEC an einem anderen Gerätetyp installieren möchten:
WGet https: // Updates.Atomicorp.com/kanäle/ossec/debian/pool/main/o//o/
OSSEC-HIDS-Agent/OSSEC-HIDS-Agent_3.3.0.6515TRetch_amd64.Deb
dpkg -i ossec-hids-Agent_3.3.0.6515TRetch_amd64.Deb
Lassen Sie uns erneut die Konfigurationsdatei für OSSEC überprüfen
Nano/var/ossec/etc/OSSec.Conf
Scrollen Sie nach unten, um den SYSCHECK -Abschnitt zu erreichen
Hier können Sie die von OSSEC und die Revisionsintervalle überprüften Verzeichnisse bestimmen. Wir können auch Verzeichnisse und Dateien definieren, die ignoriert werden sollen.
So setzen Sie OSSEC so, dass Ereignisse in Echtzeit melden
/etc,/usr/bin,/usr/sbin /bin,/sbin
Zu/etc,/usr/bin,
/usr/sbin/bin,/sbin
So fügen Sie ein neues Verzeichnis für OSSEC hinzu, um zu überprüfen, ob Sie eine Zeile hinzufügen:
/Dir1,/dir2
Nano durch Drücken schließen Strg+x Und Y und Typ:
nano/var/ossec/Regeln/OSSEC_RULES.xml
Diese Datei enthält die Regeln von OSSEC. Die Regelstufe bestimmt die Antwort des Systems. Beispielsweise standardmäßig OSSEC -Berichte auf Level 7 -Warnungen, wenn es eine Regel mit einem Niveau von weniger als 7 gibt und Sie informiert werden möchten, wenn OSSEC den Vorfall identifiziert, bearbeiten Sie die Ebene der Ebene für 7 oder höher. Zum Beispiel, wenn Sie informiert werden möchten, wenn ein Host von der aktiven Antwort von OSSEC entsperrt wird. Bearbeiten Sie die folgende Regel:
600 Firewall-Drop.Sch löschen Host ohne Firewall-Drop entsperren.SH aktive Reaktion Active_Response,
Zu:600 Firewall-Drop.Sch löschen Host ohne Firewall-Drop entsperren.SH aktive Reaktion Active_Response,
Eine sicherere Alternative kann darin bestehen, eine neue Regel am Ende der Datei hinzuzufügen, die die vorherige umschreiben:
600 Firewall-Drop.Sch löschen Host ohne Firewall-Drop entsperren.SH aktive Reaktion
Jetzt haben wir OSSEC auf lokaler Ebene installiert. In einem nächsten Tutorial erfahren Sie mehr über OSSEC -Regeln und Konfiguration.
Ich hoffe, Sie haben dieses Tutorial als nützlich gefunden, um mit OSSEC zu beginnen, weiterhin LinuxHint folgen.Com für weitere Tipps und Updates unter Linux.