Komme i gang med Ossec
Et inntrengingsdeteksjonssystem kan advare oss mot DDoS, brute force, utnyttelser, datalekkasje og mer, det overvåker nettverket vårt i sanntid og samhandler med oss og med systemet vårt som vi bestemmer oss.
Hos Linuxhint har vi tidligere dedikerte snort to tutorials, Snort er et av de ledende inntrengingsdeteksjonssystemene i markedet og sannsynligvis den første. Artiklene installerte og brukte snort inntrengingsdeteksjonssystem for å beskytte servere og nettverk og konfigurere snort -ID -er og opprette regler.
Denne gangen skal jeg vise hvordan jeg konfigurerer OSSEC. Serveren er kjernen i programvaren, den inneholder regler, hendelsesoppføringer og retningslinjer mens agenter er installert på enhetene for å overvåke. Agenter leverer logger og informerer om hendelser til serveren. I denne opplæringen vil vi bare installere serversiden for å overvåke enheten som er i bruk, serveren inneholder allerede agentens funksjoner på enheten den er installert i.
OSSEC -installasjon:
Først av alt løp:
apt installer libmariadb2
For Debian- og Ubuntu -pakker kan du laste ned OSSEC -serveren på https: // oppdateringer.Atomicorp.com/kanaler/OSSEC/Debian/Pool/Main/O/OSSEC-HIDS-SERVER/
For denne opplæringen vil jeg laste ned den gjeldende versjonen ved å skrive inn konsollen:
wget https: // oppdateringer.Atomicorp.com/kanaler/OSSEC/Debian/Pool/Main/O/
OSSEC-HIDS-SERVER/OSSEC-HIDS-SERVER_3.3.0.6515stretch_amd64.Deb
Løp deretter:
DPKG -I OSSEC-HIDS-SERVER_3.3.0.6515stretch_amd64.Deb
Start OSSEC ved å utføre:
/var/ossec/bin/ossec-control start
Som standard aktiverte ikke installasjonen vår e -postvarsel, å redigere den typen
Nano/var/OSSEC/etc/OSSEC.konf
EndringNei
Tilja
Og legg til:ADRESSEN DIN SMTP -server OSSECM@localhost
trykk Ctrl+x og Y For å lagre og avslutte og starte OSSEC igjen:
/var/ossec/bin/ossec-control start
Merk: Hvis du vil installere OSSECs agent på en annen enhetstype:
wget https: // oppdateringer.Atomicorp.com/kanaler/OSSEC/Debian/Pool/Main/O/
OSSEC-HIDS-AGENT/OSSEC-HIDS-AGENT_3.3.0.6515stretch_amd64.Deb
DPKG -I OSSEC-HIDS-AGENT_3.3.0.6515stretch_amd64.Deb
La oss igjen sjekke konfigurasjonsfilen for OSSEC
Nano/var/OSSEC/etc/OSSEC.konf
Bla ned for å nå Syscheck -seksjonen
Her kan du bestemme katalogene som er sjekket av OSSEC og revisjonsintervallene. Vi kan også definere kataloger og filer som skal ignoreres.
For å angi OSSEC for å rapportere hendelser i sanntids rediger linjene
/etc,/usr/bin,/usr/sbin /bin,/sbin
Til/etc,/usr/bin,
/usr/sbin/bin,/sbin
For å legge til en ny katalog for OSSEC for å sjekke Legg til en linje:
/Dir1,/dir2
Lukk Nano ved å trykke Ctrl+x og Y og type:
Nano/var/OSSEC/REGLER/OSSEC_RULES.XML
Denne filen inneholder OSSECs regler, regelnivået vil avgjøre systemets svar. For eksempel, som standard, rapporterer OSSEC bare advarsler om nivå 7, hvis det er noen regel med nivå lavere enn 7 og du vil bli informert når OSSEC identifiserer hendelsen redigerer nivånummeret for 7 eller høyere. For eksempel hvis du vil bli informert når en vert blir blokkert av OSSECs aktive respons redigerer følgende regel:
600 brannmur-slipp.sh slett Verten som ikke er blokkert av Firewall-Drop.sh aktiv respons Aktiv_response,
Til:600 brannmur-slipp.sh slett Verten som ikke er blokkert av Firewall-Drop.sh aktiv respons Aktiv_response,
Et tryggere alternativ kan være å legge til en ny regel på slutten av filen om å skrive om den forrige:
600 brannmur-slipp.sh slett Verten som ikke er blokkert av Firewall-Drop.sh aktiv respons
Nå har vi OSSEC installert på lokalt nivå, på en neste opplæring vil vi lære mer om OSSEC -regler og konfigurasjon.
Jeg håper du fant denne opplæringen nyttig for å komme i gang med OSSEC, fortsett å følge Linuxhint.com for flere tips og oppdateringer om Linux.