Rozpoczęcie pracy z Ossec
System wykrywania włamań może nas ostrzec przed DDO, brutalną siłą, exploitami, wyciekiem danych i nie tylko, monitoruje naszą sieć w czasie rzeczywistym i wchodzi w interakcje z nami i naszym systemem, kiedy decydujemy.
W Linuxhint wcześniej poświęciliśmy parskawkę, Snort jest jednym z wiodących systemów wykrywania włamań na rynku i prawdopodobnie pierwszym. Artykuły instalowały i używali systemu wykrywania wtargnięcia Snort w celu ochrony serwerów i sieci oraz konfigurowania identyfikatorów Snort i tworzenia reguł.
Tym razem pokażę, jak skonfigurować Ossec. Serwer jest rdzeniem oprogramowania, zawiera reguły, wpisy do zdarzeń i zasady, podczas gdy agenci są instalowani na urządzeniach do monitorowania. Agenci dostarczają dzienniki i informują o incydentach do serwera. W tym samouczka.
Instalacja OSSEC:
Przede wszystkim uciekaj:
apt instaluj libmariadb2
W przypadku pakietów Debian i Ubuntu możesz pobrać serwer OSSEC na stronie https: // aktualizacje.Atomicorp.com/kanały/OSSEC/debian/pula/main/o/Ossec-Hids-Server/
W tym samouczku pobieram bieżącą wersję, wpisując konsolę:
wget https: // aktualizacje.Atomicorp.com/kanały/OSSEC/debian/pula/main/o//
Ossec-Hids-Server/Ossec-Hids-Server_3.3.0.6515stretch_amd64.Deb
Następnie uruchomić:
dpkg -i Ossec-Hids-Server_3.3.0.6515stretch_amd64.Deb
Rozpocznij Ossec, wykonując:
/var/ossec/bin/ossec-control start
Domyślnie nasza instalacja nie włączała powiadomienia poczty, aby edytować typ IT
nano/var/ossec/etc/Ossec.conf
ZmianaNIE
DlaTak
I dodaj:TWÓJ ADRES Serwer SMTP OSSECM@LocalHost
Naciskać Ctrl+x I Y Aby uratować i wyjść i rozpocząć ponownie Ossec:
/var/ossec/bin/ossec-control start
Notatka: Jeśli chcesz zainstalować agenta Ossec na innym typu urządzenia:
wget https: // aktualizacje.Atomicorp.com/kanały/OSSEC/debian/pula/main/o//
OSSEC-HIDS-AGENT/OSSEC-HIDS-AGENT_3.3.0.6515stretch_amd64.Deb
dpkg -i Ossec-Hids-Agent_3.3.0.6515stretch_amd64.Deb
Ponownie sprawdźmy plik konfiguracyjny dla OSSEC
nano/var/ossec/etc/Ossec.conf
Przewiń w dół, aby dotrzeć do sekcji syscheck
Tutaj możesz określić katalogi sprawdzone przez OSSEC i interwały rewizji. Możemy również zdefiniować katalogi i pliki do zignorowania.
Aby ustawić OSSEC, aby zgłosić zdarzenia w czasie rzeczywistym, edytuj wiersze
/etc,/usr/bin,/usr/sbin /bin,/sbin
Do/etc,/usr/bin,
/usr/sbin/bin,/sbin
Aby dodać nowy katalog Ossec, aby sprawdzić, dodaj wiersz:
/Dir1,/Dir2
Zamknij Nano, naciskając Ctrl+x I Y i wpisz:
nano/var/ossec/reguła/Ossec_rules.XML
Ten plik zawiera reguły Ossec, poziom reguł określi odpowiedź systemu. Na przykład domyślnie Ossec zgłasza tylko ostrzeżenia na poziomie 7, jeśli istnieje jakakolwiek reguła o poziomie niższym niż 7 i chcesz zostać poinformowany, gdy Ossec identyfikuje incydent edytuj numer poziomu dla 7 lub więcej. Na przykład, jeśli chcesz zostać poinformowany, gdy host zostanie odblokowany przez aktywną odpowiedź Ossec, edytuj następującą regułę:
600 Zapora ogniowa.cii usuwać Gospodarz odblokowany przez zaporę ogniową.SH Aktywna odpowiedź Active_response,
Do:600 Zapora ogniowa.cii usuwać Gospodarz odblokowany przez zaporę ogniową.SH Aktywna odpowiedź Active_response,
Bezpieczniejszą alternatywą może być dodanie nowej reguły na końcu pliku przepisującego poprzedni:
600 Zapora ogniowa.cii usuwać Gospodarz odblokowany przez zaporę ogniową.SH Aktywna odpowiedź
Teraz mamy zainstalowany Ossec na poziomie lokalnym, w następnym samouczku dowiemy się więcej o regułach i konfiguracji OSSEC.
Mam nadzieję, że ten samouczek był przydatny, aby zacząć od Ossec, śledź Linuxhint.com, aby uzyskać więcej wskazówek i aktualizacji na Linux.