La combinación de Logwatch y OSSEC - Parte 3

17 de febrero 2010 por Chris Dejar una respuesta »

En mis dos últimos mensajes, y yo discutimos Logwatch OSSEC, así como la forma en que puede ser el apalancamiento para aumentar su nivel de seguridad. En esta entrega voy a hablar sobre cómo instalar estas dos herramientas.

Instalación Logwatch

Logwatch es bastante fácil de instalar. De hecho, se instala por defecto en muchas distribuciones de Linux que puede que ya tenga una copia en el sistema. Para comprobarlo, de inicio de sesión como root e intente ejecutar Logwatch con el "-v" switch. Si usted ve:

[Root @ Fubar logwatch] # logwatch-v

Logwatch 7.3.6 (liberada 19/05/07)

Logwatch está instalado y usted tiene una copia de la última versión. Si usted no tiene la última versión, lo pueda levantar de la página de descarga Logwatch .

Hay tres sabores de Logwatch que se pueden descargar; binarios en formato RPM, fuente en formato RPM, o la fuente en una bola de alquitrán. Si su sistema es compatible con la gestión de paquete RPM, el RPM binario es su mejor opción. Es fácil de instalar y RPM actualizará automáticamente el software cuando las nuevas versiones están disponibles.

Instalación de RPM Logwatch

Para instalar la versión binaria de la RPM, simplemente inicie una sesión como root y vaya al directorio donde descargó el archivo RPM. Ahora ejecuta el comando:

rpm-U-7.3.6-logwatch 1.noarch.rpm

No olvide que usted puede utilizar la tecla de tabulación para auto-completar el nombre de archivo en lugar de tener que escribir toda la cosa.

Instalación Logwatch De Fuente

Instalación desde el código fuente está consumiendo un poco más de tiempo. Recuerde que para poder instalar el código fuente que ya debe tener un compilador (como gcc) instalado en su sistema. Logon como root y vaya al directorio donde descargó la bola de alquitrán. Para extraer el archivo, ejecute el comando:

tar xvzf logwatch-7.3.6.tar.gz

Usted verá una estructura de directorios por debajo de su ubicación actual y se crean un montón de archivos que se copien en ella Ahora tenemos que entrar en el directorio superior que se creó:

cd logwatch-7.3.6

Con el fin de Logwatch a correr, hay un montón de directorios que se deben crear en el sistema. Estos se encuentran documentados en el archivo README en el directorio actual. Por suerte, Logwatch incluye un script de instalación que puede hacer todo el trabajo por usted. Por desgracia, el guión tiene los permisos incorrectos establecidos para que no se ejecuta de forma predeterminada. Esto es bastante fácil de solucionar sin embargo, con el comando chmod:

chmod 500 install_logwatch.sh

Ahora podemos ejecutar el script para configurar nuestro sistema:

. / Install_logwatch.sh

No te olvides el punto al principio de la línea.

Pruebas Logwatch

Para probar la configuración de su Logwatch, ejecute el comando:

logwatch | less

Verá la pantalla del terminal se queda en blanco, pero eso es normal. Es muy probable que vea un informe Logwatch se imprime en la pantalla que se puede navegar a través del uso de la "Page Up" y "Page Down" llaves. ¿Cómo acceder se necesita para el informe para mostrar en la pantalla dependerá de la cantidad de información de registro se tiene que analizar. Se podría tardar unos segundos o un par de minutos. De cualquier manera, le dará la oportunidad de familiarizarse con el formato del informe.

Instalación OSSEC

Como ya he mencionado en mi último post, tienes dos opciones de instalación con OSSEC, local o cliente / servidor. En este post voy a centrar en la estructura de cliente / servidor, ya que es un poco más complejo. Si está realizando una instalación local, sólo tiene que seleccionar el "local" durante el proceso de instalación y omitir la sección sobre la creación de un canal seguro entre el agente y el servidor.

Comience con el servidor

OSSEC utiliza el cifrado Blowfish para proteger la comunicación entre el cliente y el servidor. Blowfish es la clave simétrica basada, por lo que ambas partes deben saber cuál es el valor clave que se utiliza para comunicarse. El servidor es responsable de generar la clave simétrica, por lo que tenemos que instalar el software de servidor en primer lugar. Durante la instalación del cliente que se le solicitará un valor clave así que obviamente vamos a necesitar para tener esa mano antes de tiempo.

He aquí un consejo de ahorro de tiempo. El valor de la clave es larga y casi imposible de recordar. La manera más fácil para mover el valor de clave del sistema de servidor para el sistema de agente es usar SSH. Crear una conexión segura con el servidor OSSEC, y extraer la tecla adecuada (direcciones a continuación). En una ventana de terminal en segundo lugar, crear una sesión de SSH para el sistema donde va a instalar el agente. Cuando la instalación del cliente que solicita el valor de la clave, sólo tiene que copiar / pegar entre las dos terminales.

Instalación del servidor OSSEC

El software del servidor está disponible como una bola de alquitrán, por lo que puede hacerse con una copia de la última versión de la página de descarga OSSEC . A continuación, tendrá que extraer el contenido de la bola de alquitrán:

tar xvzf ossec-HIDS-2.3.tar.gz

A continuación, pasar a la estructura de directorios que acabas de crear:

cd ossec-HIDS-2.3

OSSEC ofrece un script de instalación que le guiará por el proceso de instalación del servidor. Para iniciar la secuencia de comandos, escriba:

. / Install.sh

No te olvides el punto al principio del comando. Ahora se le pedirá a través de una serie de opciones de instalación:

  • Idioma - El valor por defecto es el Inglés. Cambiar según sea necesario.
  • La confirmación de la instalación - Pulse Intro una vez que usted ha leído la pantalla.
  • Coloque el tipo - Escriba "servidor" sin las comillas y presione Enter.
  • Ubicación de instalación - Acepte el valor predeterminado.
  • Notificación por correo electrónico - por defecto es sí, seleccione si desea alertas por correo electrónico. Si selecciona Sí, se le pedirá una dirección válida de correo electrónico y servidor de correo.
  • Comprobación de integridad - no está en sí. Seleccione si desea que el sistema local de control periódico para detectar intrusiones.
  • Detección de rootkit - Por defecto es sí. Una buena opción, ya que necesitamos mantener un alto nivel de integridad en el sistema.
  • Respuesta activa - por defecto es sí. Seleccione esta opción si desea ser capaz de responder a los eventos.
  • Caída de Firewall - Permite al servidor OSSEC para defenderla auto si un ataque directo que se detecte.
  • Lista blanca - Esto le permitirá agregar direcciones IP desde las que los posibles ataques serán ignorados. Tenga cuidado con esta opción. Si usted no tendrá acceso a la consola con el servidor OSSEC, podría ser sabio para identificar una dirección IP que siempre se puede entrar sólo garantizar la IP de origen es un sistema de confianza.
  • Habilitar Syslog - Por defecto es sí. Seleccione esta opción si desea recolectar los registros de sistema que no se puede ejecutar un agente OSSEC (como firewalls, switches, routers, puntos de acceso, etc.)
  • Los archivos de registro a controlar - Esta pantalla identifica todos los archivos de registro local OSSEC hará un seguimiento. Es puramente información, así que todo lo que puedes hacer es presionar Enter para mover pasado. Si observa uno o más archivos de registro que faltan de la lista, puede añadirlo más tarde en el fichero de ossec.conf.

En este punto se accede a la OSSEC compilador local e instalar todos los archivos necesarios en el sistema. Una vez completado, puede iniciar el servidor OSSEC ejecutando el comando:

/ Var / ossec / bin / ossec de control de arranque

Definición de Agentes OSSEC

No hemos terminado con el servidor OSSEC todavía. A continuación, tenemos que pre-definir los sistemas que se ejecutan el agente OSSEC (cliente) de software. Esto se realiza mediante el comando manage_agents. Primero, sin embargo, que tenemos que hacer un poco de tarea. Haga una lista de todos los sistemas que se ejecutan el software del agente OSSEC. Para cada sistema, usted necesitará un nombre descriptivo, así como la dirección IP de ese sistema.

Ahora, ejecute lo siguiente desde la línea de comandos:

/ Var / ossec / bin / manage_agents

Esto producirá el menú del Gestor de agentes principal. Presione "A", seguido de la tecla Intro para definir el primer sistema. Escriba un nombre descriptivo para el sistema en primer lugar, seguido de la dirección IP del sistema. No te preocupes por el número de identificación del agente. Basta con aceptar el valor predeterminado y la OSSEC se auto-asigna el siguiente número de identificación disponible. Una vez confirmada la información introducida, se le devuelve al menú principal del Gestor de agentes. Repita el proceso anterior para cada sistema que se está ejecutando un agente OSSEC.

Generación de claves

Una vez que haya añadido en todos sus sistemas, es el momento para generar claves de cifrado. Este paso también se realiza con la utilidad manage_agents. Si ha cerrado la herramienta después de que el último paso, relanzar ahora.

Pulse la tecla "E" seguido de Enter para seleccionar la "clave Extracto de un agente" opción de menú. A continuación, se le solicitará el número de identificación de la clave que desea extraer. Los nombres descriptivos y las direcciones IP se muestran con cada número de identificación, por lo que debería ser trivial para identificar cuál de ellos desea. Empiece con el sistema va a instalar el software del agente en primer lugar.

OSSEC Agente de instalación en Linux

Al instalar el software del agente en un cliente Linux o UNIX, se utiliza la pelota exacta Tar misma que utilizó para instalar el software de servidor. Ejecute el script de instalación misma, pero esta vez cuando se le pregunte por el tipo de instalación que desea realizar, el tipo de "agente", seguido de la tecla Enter.

La instalación del cliente tiene muchas de las mismas indicaciones que la instalación del servidor. Utilice la información anterior que le guiará a través del proceso. El mensaje que puede variar sin embargo, es que se le pedirá proporcionar la dirección IP del servidor OSSEC. Una vez terminado, tendrá acceso a la OSSEC compilador local e instalar todos los archivos necesarios en el sistema.

A continuación tenemos que importar la clave del servidor Blowfish OSSEC. Aunque todavía en el sistema de agente, ejecute el comando:

/ Var / ossec / bin / manage_agents

Cuando aparezca el menú del Gestor de agentes aparece, seleccione "I" para importar la clave Blowfish.

Cuando aparezca el mensaje siguiente aparece, tendrá que introducir manualmente la llave correspondiente Blowfish. Una vez más, si está ejecutando SSH para ambos sistemas, al mismo tiempo, usted puede simplemente copiar / pegar entre las dos terminales. Asegúrese de que la clave es correcta, pulse la tecla Intro, y luego seleccionar "y" para confirmar que la clave es correcta. Volverá al menú del Gestor de agentes. Seleccione "q" con el fin de volver a la línea de comandos.

Ahora simplemente tenemos que iniciar el agente de OSSEC. Puede hacerlo ejecutando el siguiente comando:

/ Var / ossec / bin / ossec de control de arranque

Usted debe ver a todos los componentes del agente OSSEC la puesta en marcha, seguido de un mensaje "COMPLETADO".

OSSEC Agente de instalar en Windows

OSSEC tiene un archivo ejecutable autoextraíble que le permitirá instalar el software de agente en un sistema Windows. Simplemente haga doble clic en el ejecutable para iniciar el proceso de instalación. Se le solicita que acepte la licencia, así como los componentes que desea instalar. Simplemente siga las. Indicaciones hasta la ventana del Agente Administrador OSSEC aparece

El Agente de OSSEC ventana del Administrador le pedirá la dirección IP del servidor OSSEC. También le preguntará por el valor de la clave Blowfish de usar, así extraer la clave correspondiente en el servidor e introduzca el valor en este campo. Asegúrese de que elimina el mensaje dentro de este campo antes de pegar en la clave de Blowfish. De lo contrario la comunicación con el servidor puede fallar.

A continuación, seleccione "Administrar" en el menú Agente Administrador OSSEC, seguido de "Start OSSEC". Ahora debería ver el "Estado:" indicador de cambio de "Ejecución de ...".

Pruebas OSSEC

Una vez que tenga el servidor y el software de agente instalado, iniciado y configurado las teclas correspondientes, ahora es el momento de comprobar nuestra configuración. Ejecute el siguiente comando en el servidor OSSEC:

cd / var / ossec / logs

Y echa un vistazo al archivo ossec.log:

menos ossec.log

Revise el archivo de registro de los errores. Un error común es que los informes OSSEC no puede enviar un correo electrónico. Asegúrese de que el servidor de correo se está ejecutando y que está aceptando conexiones. Una vez que esté satisfecho con la configuración del servidor, ahora es el momento de revisar los agentes. Bajar a la "alertas" de la guía:

cd alertas

Y echa un vistazo al archivo alerts.log:

menos alerts.log

En concreto, usted está buscando entradas similares a lo siguiente:

17 de febrero 2010 16:09:16 (escritorio) 192.168.1.10-> ossec

Regla: 501 (nivel 3) -> "Nuevo agente de ossec conectado."

Src IP: (ninguno)

Usuario: (ninguno)

ossec: Agente de empezar: "test_system-> 192.168.1.10".

Usted debe ver una entrada para cada sistema en el que instaló el software del agente.

Más Venir

¡Menos mal! Eso es más que suficiente para un post! En mi próximo post voy a entrar en el aprovechamiento Logwatch para analizar toda la información de alerta generada por OSSEC.

Puestos relacionados con:

  1. La combinación de Logwatch y OSSEC - Parte 2
  2. La combinación de Logwatch y OSSEC - Parte 4
  3. La combinación de Logwatch y OSSEC
  4. Establecer un Sistema de Gestión de Seguridad de la Información-Parte 6

Publicado en 3-err , el registro

Puedes seguir cualquier respuesta a esta entrada a través del feed RSS 2.0 . Puedes dejar una respuesta , o trackback desde tu propio sitio.

Anuncio

Deja un comentario