-
OSSEC- dobry, darmowy IDS dla CentOS i nietylko
Dzisiaj po raz kolejny chciałbym poruszyć kwestie związane z bezpieczeństwem systemów. Niezwykle istotne jest szybkie wykrywanie i reagowanie na wszelkie incydenty związane z naszymi zasobami. Nie jesteśmy jednak w stanie non stop przeglądać / śledzić logów w poszukiwaniu zagrożenia. Od tego jest oprogramowanie takie jak OSSEC, które potrafi na bieżąco monitorować logi systemowe, informować administratora o możliwych nieprawidłowościach, a nawet podjąć działania zmierzające do unieszkodliwienia intruza.
Przystąpmy do instalacji. Niezbędne pakiety zainstalowałem z repozytorium ATOMIC. Najszybszym sposobem „podpięcia” się do tego repozytorium jest skorzystanie z gotowego skryptu i wykonanie poniższego polecenia:
wget -q -O - http://www.atomicorp.com/installers/atomic | sh
Postępujemy zgodnie z instrukcjami. Kolejnym krokiem jest instalacja pakietów:
yum install ossec-hids ossec-wui ossec-hids-server
Następnie przystępujemy do edycji głównego pliku konfiguracyjnego „/var/ossec/etc/ossec.conf”, gdzie znajdujemy poniższe sekcje i modyfikujemy wg przykładu:
yes
adres_email@do-admina
smtp.server.pl
[email protected]
127.0.0.1
192.168.2.1
192.168.2.190
192.168.2.32
192.168.2.10
72000
/etc,/usr/bin,/usr/sbin
/bin,/sbin
/etc/mtab
/etc/hosts.deny
/etc/mail/statistics
/etc/random-seed
/etc/adjtime
/var/log/httpd
/etc/openvpn/openvpn-status.log
/etc/openvpn/openvpn-status.log2
Kolejnym krokiem jest podpięcie tzw. agentów, których zadaniem jest m.in. przysyłanie logów do serwera./var/ossec/bin/manage_agents
Powinniśmy zobaczyć poniższe „menu”:
****************************************
* OSSEC HIDS v2.7.1 Agent manager. *
* The following options are available: *
****************************************
(A)dd an agent (A).
(E)xtract key for an agent (E).
(L)ist already added agents (L).
(R)emove an agent (R).
(Q)uit.
Choose your action: A,E,L,R or Q:
Wybieramy „A”, a następnie podajemy nazwę i adres IP agenta:
- Adding a new agent (use '\q' to return to the main menu).
Please provide the following:
* A name for the new agent: test
* The IP Address of the new agent: 77.25.11.2
* An ID for the new agent[002]:
Agent information:
ID:002
Name:test
IP Address:77.25.11.2Confirm adding it?(y/n): y
Agent added.
następnie:
****************************************
* OSSEC HIDS v2.7.1 Agent manager. *
* The following options are available: *
****************************************
(A)dd an agent (A).
(E)xtract key for an agent (E).
(L)ist already added agents (L).
(R)emove an agent (R).
(Q)uit.
Choose your action: A,E,L,R or Q: EAvailable agents:
ID: 001, Name: wdc, IP: 62.171.8.118
ID: 002, Name: test, IP: 77.25.11.2
Provide the ID of the agent to extract the key (or '\q' to quit): 002Agent key information for '002' is:
MDAyIHRlc3QgNzcuMjUuMTEuMiAyNzdjZDk4N2M2YmZiZjRmYzA3YWU1MDhhZjRhOTBlZmFlODQ1ZmRkZGJiZjhlMjRjNzg3YTQwZTYyN2I4NTQy
Powyższy klucz trzeba będzie zaimportować na komputerze pełniącym rolę agenta, ale o tym za chwilę. Najpierw instalacja. Pominę instalację repozytorium ATOMIC.
W konsoli wydajemy polecenie:
yum install ossec-hids-client
a następnie:
/var/ossec/bin/manage_client
****************************************
* OSSEC HIDS v2.7.1 Agent manager. *
* The following options are available: *
****************************************
(I)mport key from the server (I).
(Q)uit.
Choose your action: I or Q: I* Provide the Key generated by the server.
* The best approach is to cut and paste it.
*** OBS: Do not include spaces or new lines.Paste it here (or '\q' to quit): MDAyIHRlc3QgNzcuMjUuMTEuMiAyNzdjZDk4N2M2YmZiZjRmYzA3YWU1MDhhZjRhOTBlZmFlODQ1ZmRkZGJiZjhlMjRjNzg3YTQwZTYyN2I4NTQy
Następnie edytujemy plik „/var/ossec/etc/ossec.conf”, modyfikując poniższe sekcje:
ADRES_IP_SERWERA
7200
/etc,/usr/bin,/usr/sbin
/bin,/sbin
/etc/mtab
/etc/mnttab
/etc/hosts.deny
/etc/mail/statistics
/etc/random-seed
/etc/adjtime
/etc/httpd/logs
/etc/utmpx
/etc/wtmpx
/etc/cups/certs
Na koniec restartujemy serwer i klienta/ów wykonując poniższe polecenie na każdym z nich:/var/ossec/bin/ossec-control restart
Na serwerze trzeba zrestartować serwer www (np. Apache), aby konfiguracja z pliku „/etc/httpd/conf.d/ossec.conf” została zaczytana. Po wpisaniu w przeglądarce urla np. http://ip_naszeg_serwera/ossec, powinniśmy zobaczyć prośbę o zalogowanie (domyślne dane ossec/ossec). Logowanie oparte jest na pliku „/usr/share/ossec-wui/.htpasswd”, który modyfikujemy przy pomocy narzędzia „htpasswd”. W razie problemów, proszę pisać, może uda mi się pomóc.
Wszystkie zamieszczone w serwisie tutoriale stanowią własność CentOS.com.pl oraz ich autorów. Zabrania się kopiowania fragmentów lub całych artykułów bez naszej zgody. Istnieje od tego odstępstwo, o ile zostanie podany link zwrotny i prawowity autor.
