Minun viimeisin viesti asensimme Logwatch sekä OSSEC. Nyt on aika saada Logwatch ja OSSEC pelissä samassa hiekkalaatikossa. Tässä postitse I'll keskustella siitä, miten saada Logwatch tiivistää tiedot ovat tuottaman OSSEC.

Asennusvaihtoehdot

Meillä on kaksi polkuja voimme seurata ja asettaa tämän:

1. Onko Logwatch jäsentää OSSEC kirjautuu suoraan.
2. Onko OSSEC lähettää hälytyksiä Syslog tyyppi palvelin, niin muodoin ajelu Logwatch on lokipalvelin.

Hyöty vaihtoehto # 1 on, että tarvitsemme vain yhden järjestelmän. Logwatch käynnistetään järjestelmään hosting OSSEC palvelimelle. Ongelma aiomme törmätä kuitenkin edellyttää OSSEC hälytys tiedosto. Lokitiedot eivät saa normalisoida. Tämä tarkoittaa muoto voi muuttua tultua pääsyn ja voi jopa jakaa usealle riville. Se tulee olemaan todellinen painajainen luoda Logwatch skripti, joka suodattaa ja yhteenveto ilmoituksilla.

Jos lähdemme optio # 2, vaadimme toinen laatikko toimia keskitettyjen kirjautumalla palvelimelle. Jotta OSSEC palvelin hyväksyä lokitiedot ei-agentti, siinä on kuuntelemaan UDP/514. Tämä sama portti käytössä keskitetty kirjautumalla palvelimelle, ja voit olla kaksi hakemusta sama portti (paitsi Windows, mutta pistorasia pääsy on erittäin sotkuinen). Hyvänä puolena, hälytys merkinnät saavat ennalleen, kun ne toimitetaan lokipalvelin niin luo Logwatch yhteenveto kirjoitus on paljon helpompaa. Lisäksi Logwatch jo tietää standardin Syslog tiedostoja, joten meillä on vähemmän muokkausta työtä.

Lopuksi mainitsin aiemmin postitse että OSSEC ei ole suunniteltu SIM. Tämä johtuu siitä, että ei nauhoittaa kaiken, vain tapahtumia, jotka tuottavat ilmoituksen. Joten olemme todennäköisesti menossa haluavat keskitetyn palvelimen joka tapauksessa, ja on järkevää olla se tallentaa tiedot ovat tuottaman OSSEC.

Joten jos se kuulostaa olen ohjaus sinua kohti vaihtoehto # 2, olette aivan oikeassa. Tämän sanoi, olen todella aikoo kattaa vaihtoehto # 1, koska se on paljon monimutkaisempi asennus.

Suhtautuminen Date / Time Postimerkit

Vilkaise tärkeimmät OSSEC logfile ja sinun pitäisi nähdä samanlaisia seuraavat:

[Root @ fubar lokit] # häntä -3 / var / ossec / logs / ossec.log

2010/02/18 12:32:05 ossec-rootcheck: INFO: Ending rootcheck skannata.

2010/02/18 14:27:06 ossec-syscheckd: INFO: Vuodesta syscheck skannata.

2010/02/18 14:39:21 ossec-syscheckd: INFO: Ending syscheck skannata.

Huomaa, miten päivämäärä / aikaleima on alustettu. Tämä on erilainen kuin useimmissa sovelluksissa, joten ensimmäinen asia, joka meidän täytyy tehdä, on kertoa Logwatch miten käsitellä tässä muodossa. Meidän täytyy luoda skriptin, että voimme soittaa tarvittaessa, että ymmärtää muodossa yllä.

Aloita siirtymällä yhteisen scripts hakemistoon:

cd / usr / share / logwatch / scripts / jaettu

Käyttämällä editorilla, luo tiedosto nimeltä "applylongdate":

vi applylongdate

Tässä on mitä sinun sisällä tiedoston. Voit vapaasti kopioida / liittää tältä sivulta:

käyttää Logwatch ": päivämäärät;

my $ Debug = $ ENV ('LOGWATCH_DEBUG ") | | 0;

$ SearchDate = TimeFilter (% Y /% m /% d% H:% M:% S ");

if ($ Debug> 5) (

print virheilmoituskanava "debug: Inside ApplyLongDate ... \ n";

print virheilmoituskanava "debug: Looking For". $ SearchDate. "\ N";

)

while (määritelty ($ ThisLine = <STDIN>)) (

if ($ ThisLine = ~ m / ^ $ SearchDate / o) (

print $ ThisLine = ~ s / ^ .... \ / .. \ / .. ..:..:.. / /;

print $ ThisLine;

)

)

# Vi: shiftwidth = 3 syntaksi = perl tabstop = 3 et

Kun olet tallentanut tiedoston, meidän on nyt asetettava tarvittavat käyttöoikeudet:

chmod 755 applylongdate

Määritä Lokitiedostot

Seuraavaksi meidän on kerrottava Logwatch jossa OSSEC lokitiedostot sijaitsevat. Aina kun lisäät uusia lokitiedostoja tai luoda uusia palveluja monitoria Logwatch, sinun tulee tehdä muutoksia yhteisön / etc / logwatch hakemistosta. Aiomme luoda kaksi asetustiedostot. Ensimmäinen käsittelee OSSEC viestejä, ja toinen käsittelee OSSEC hälytykset ja aktiivisia toimia muutoksia.

Aloitetaan luomalla asetustiedosto tärkeimpien OSSEC lokitiedosto:

cd / etc / logwatch / conf / lokitiedostoja

vi ossec.conf

Tiedoston sisältö on kuin seurata:

Lokitiedosto = / var / ossec / logs / ossec.log

* ApplyLongDate =

Voit nyt tallentaa ja poistua tiedosto. Seuraavaksi luomme config tiedosto jäljellä lokitiedostojen:

vi ossec-alert.conf

Tämän tiedoston sisällön pitäisi olla seuraa:

Lokitiedosto = / var / ossec / logs / aktiivinen-responses.log

Lokitiedosto = / var / ossec / logs / kuulutuksia / alerts.log

Lokitiedosto = / var / ossec / logs / palomuuri / firewall.log

Kun olet valmis, tallenna ja poistu. Oletuskäyttöoikeuksia pitäisi hyväksyä meidän setup.

Tehdään OSSEC Palvelut

Seuraavaksi meidän on määriteltävä OSSEC palvelut ja selvittää, mitä me haluamme käyttää otsikkoa, kun raportit syntyvät. Voit luoda ensimmäinen tiedosto:

cd / etc / logwatch / conf / palvelut

vi ossec.conf

Tämän tiedoston sisällön on melko yksinkertainen:

Title = "OSSEC viestit"

Logfile = ossec

Kun olet valmis, voit tallentaa ja poistua. Meidän on luotava yksi tiedosto tähän hakemistoon:

vi ossec-alert.conf

Tämän tiedoston sisällön pitäisi olla:

Title = "OSSEC hälytyksiä"

Lokitiedosto = ossec-hälytys

Kun olet valmis, tallenna ja poistu normaalisti.

Jäsennys Viestit

Seuraavaksi meidän täytyy kertoa Logwatch miten muotoilla lokitiedot kuluessa raportin. Meidän tulee luoda räätälöinnin käsikirjoituksen kutakin palveluja. Aiomme aloittaa käyttämällä Logwatch mukana testikoodi, vain varmistaa, että kaikki toimii.

Aloita siirtymällä tarvittaessa hakemistoon:

cd / etc / logwatch / scripts / palvelut

Käytä editorilla luoda ensimmäinen kirjoitus:

vi ossec

Sisältö käsikirjoituksen on oltava jälkeen:

#! / Bin / bash

# Tämä on niin mukava kirjoitus, joka näyttää rivejä tulee

# Voidaan käsittely ja raportointi. Se ensimmäinen näyttö

# Standardi ympäristömuuttujat ja sitten se vie STDIN ja

# Dumpata se takaisin ulos STDOUT.

# Nämä ovat standardin ympäristömuuttujat. Voit määrittää

# Enemmän palveluksessanne config-tiedosto (ks. edellä).

echo "Ajanjakso: $ LOGWATCH_DATE_RANGE"

echo "Detail Level: $ LOGWATCH_DETAIL_LEVEL"

echo "Temp Dir: $ LOGWATCH_TEMP_DIR"

echo "debug taso: $ LOGWATCH_DEBUG"

# Nyt ottaa STDIN ja dumpata se STDOUT

kissa

Nyt luo toinen kirjoitus:

vi ossec-hälytys

ja sisältää täsmälleen sama sisältö:

#! / Bin / bash

# Tämä on niin mukava kirjoitus, joka näyttää rivejä tulee

# Voidaan käsittely ja raportointi. Se ensimmäinen näyttö

# Standardi ympäristömuuttujat ja sitten se vie STDIN ja

# Dumpata se takaisin ulos STDOUT.

# Nämä ovat standardin ympäristömuuttujat. Voit määrittää

# Enemmän palveluksessanne config-tiedosto (ks. edellä).

echo "Ajanjakso: $ LOGWATCH_DATE_RANGE"

echo "Detail Level: $ LOGWATCH_DETAIL_LEVEL"

echo "Temp Dir: $ LOGWATCH_TEMP_DIR"

echo "debug taso: $ LOGWATCH_DEBUG"

# Nyt ottaa STDIN ja dumpata se STDOUT

kissa

Lopuksi, meidän on asetettava asianmukaiset käyttöoikeudet:

chmod 755 ossec *

Testaus asetukset

Helpoin tapa testata uusia asetukset on komento:

logwatch | vähemmän

Jos haluat vain nähdä muutoksia, voit luoda raportin kunkin palvelun, yksi kerrallaan:

logwatch-palvelu ossec | vähemmän

logwatch-palvelu ossec-hälytys | vähemmän

Muokata edelleen

Kun saat kaikki edellä mainitut toimii, voit keskittyä saamaan Logwatch suodattaa ja tiivistää lokitiedot. Logwatch on melko joustava, ja voit mukauttaa tuotanto haluamallasi tavalla. Yksi mukavia asioita edellä testikoodi edellä, että se osoittaa sinulle, mitä sinun täytyy työskennellä. Joten hieman säännöllinen lauseke magic voit tehdä yhteenvetoja merkinnät pidät tarvittaessa. Muutamia ajatuksia tarkistaa tiedostot sijaitsevat:

/ Usr / share / logwatch / scripts / palvelut

Nämä ovat oletusarvoisesti yhteenveto skriptejä mukana Logwatch. Erityisesti on tarkasteltava tiedostot "pam" ja "sshd. Ne ovat erinomaisia esimerkkejä sekä yksinkertainen ja monimutkainen yhteenveto suodattimet.

Kuten voit kehittää skriptejä, kiinnitä huomiota $ LOGWATCH_DETAIL_LEVEL "muuttuja. Tämä mahdollistaa te jotta asiakassuhde lähtötasoa raportin mukaan, kuinka paljon jaarittelu käyttäjä hakee. Esimerkiksi kun olet vielä edellä mainitut palvelut hakemistoon, suorita seuraava komento:

vähemmän sshd

Kun ensimmäinen sivu tiedoston sisältö on näkyvissä, kirjoita:

/ Detail <Anna Key>

Kenoviiva antaa meille etsi tiedosto tietyn merkkijonon. Tässä tapauksessa etsimme sana "yksityiskohta". Kun painat Enter haku hyppy kautta tiedosto kunnes se toteaa ensimmäisen oikeusasteen merkkijono. Siinä korostetaan myös löytyi. Ensimmäisessä ottelussa huomaat, että tekijän osoitetaan muuttuja "$ Tiedot" on sama kuin muuttuja $ LOGWATCH_DETAIL_LEVEL ". Tämä säästää ne jotkut kirjoittamalla.

Paina kenoviivaa näppäintä uudelleen sen jälkeen Enter-näppäintä. Tämä hypätä läpi tiedoston seuraava esiintymä "Tiedot". Sinun pitäisi nähdä:

if ($ Tiedot> = 20) (

$ Käyttäjät ($ user) ($ Host) ($ menetelmä) + +;

) Else (

if ($ Host! ~ / $ IgnoreHost /) (

$ Käyttäjät ($ user) ($ Host) ("(kaikki )"}++;

Huomaa kirjoittaja antaa lisätietoja, jos yksityiskohdat on määritetty 20 (puoli välissä pieni ja keskisuuri) tai korkeampi. Pidä hyppy kautta tiedosto ja näet muita esimerkkejä, joissa kirjoittaja velkaantuneiden tätä tekniikkaa.

Nyt sivu alas tiedoston loppuun ja sinun pitäisi nähdä tämä lausunto:

jos (avaimet% OtherList) (

print "\ n ** Ylivertainen Entries ** \ n";

print "$ _: $ OtherList ($ _) aika (s) \ n" foreach näppäimiä% OtherList;

)

Tämä osio on erittäin tärkeä, koska se on lopullinen Haavi. Ajattele palomuurin politiikan hetkeksi. Useimmat meistä luoda lopullinen sääntöä, joka sanoo, "Jos en ole erikseen sallia laskukierroksessa kautta, kieltää". Toisin sanoen, jos jotain odottamatonta tapahtuu, näin haluan voit käsitellä sitä.

Edellä mainittu palvelee samaa tarkoitusta jäsennettäessä logfile. Kaikki aikaisemmat "jos" lausuntoja yrittää sovittaa tietyn merkkijonon vuonna lokitapahtuman jotta muotoile se oikein. Tämä merkintä kertoo "Jos et ole vastaavaa ja painettu erityinen lokitapahtuman vielä, tulosta se on osio" ** Ylivertainen Entries ** ". Tämä vaihe on erittäin tärkeä, koska ilman sitä emme koskaan yllättäviä merkinnät. Se on odottamaton merkinnät, jotka ovat todennäköisesti tärkein ja kiinnostavin.

Exec Yhteenveto

Sekä OSSEC ja Logwatch ovat erinomaisia ilmaisia työkaluja. OSSEC kunnostautuu varoitus, kun tunnettu hyökkäys malli tapahtuu. Logwatch on loistava työkalu yhteenvedon aika kimpale tukki jotta ihmiset voivat todella järkeä, mitä on tekeillä. Yhdistämällä kaksi työkalua voit luoda paljon vakaampi puolustus perusteellinen asennon. Koko tulee enemmän kuin osiensa summa.

Minun kaksi viimeistä virkaa keskustelin Logwatch ja OSSEC sekä miten niitä voidaan hyödyntää laajentaa oman turvallisuuden ryhti. Tässä osassa I'll keskustella siitä, miten asentaa molemmat näistä välineistä.

Asentaminen Logwatch

Logwatch on melko helppo asentaa. Itse asiassa se on asennettu oletusarvoisesti monien Linux-jakeluiden niin saatat jo kopion järjestelmästä. Voit tarkistaa, liikemerkki pääkäyttäjänä ja kokeile Logwatch kanssa "-v" kytkin. Jos haluat nähdä:

[Root @ fubar logwatch] # logwatch-v

Logwatch 7.3.6 (julkaistu 05/19/07)

Logwatch on asennettu ja olet kopio uusimman version. Jos sinulla ei ole uusinta versiota, voit napata sen Logwatch lataussivulle .

On kolme makua Logwatch jonka voi ladata, binäärejä ja RPM-muodossa, lähde RPM-muodossa, tai lähde Tar pallo. Jos järjestelmä tukee RPM pakettien hallinnan, binary RPM on paras valinta. Se on yksinkertainen asentaa ja RPM automaattisesti päivittää ohjelmistoa, kun uudet versiot ovat saatavilla.

Asentaminen Logwatch RPM: stä

Jos haluat asentaa binary version RPM, yksinkertaisesti liikemerkki pääkäyttäjänä ja siirry hakemistoon, johon latasit RPM-tiedosto. Nyt suorittaa komento:

rpm-U logwatch-7.3.6-1.noarch.rpm

Älä unohda, että voit käyttää SARKAIMELLA automaattinen täydennys tiedostonimen sijaan, kirjoittaa koko juttu.

Asentaminen Logwatch lähteestä

Asentaminen lähde on vähän enemmän aikaa. Muista, että jotta asentaa lähdekoodiin täytyy jo olla kääntäjän (kuten GCC) asennettu järjestelmään. Kirjautuminen pääkäyttäjänä ja siirry hakemistoon, johon latasit Tar pallo. Pura arkisto, suorittaa komento:

tar xvzf logwatch-7.3.6.tar.gz

Näet hakemiston rakenteen alle nykyisen sijainnin saada perustettu ja paljon tiedostojen kopioinnin tuumaa Meillä on nyt siirtyä alkuun kaikkein hakemistoon luotu:

cd logwatch-7.3.6

Jotta Logwatch juosta, on joukko hakemistoja, jotka on luotu järjestelmään. Nämä on dokumentoitu README hakemistossa. Onneksi Logwatch myös asentaa skripti, joka voi tehdä kaiken työn puolestasi. Valitettavasti kirjoitus on väärässä oikeudet niin, se ei toimi oletuksena. Tämä on melko helppo korjata kuitenkin kanssa chmod-komennolla:

chmod 500 install_logwatch.sh

Nyt voimme käyttää skriptiä setup meidän järjestelmä:

. / Install_logwatch.sh

Älä unohda kauden alussa linja.

Testaus Logwatch

Jos haluat testata Logwatch asetukset, suorita komento:

logwatch | vähemmän

Näet terminaalin näyttö pimentyä, mutta tämä on normaalia. Tulet lopulta nähdä Logwatch kertomus saa tulostaa näytön, voit selata käyttämällä "Page Up" ja "Page Down"-näppäimiä. Miten halko se kestää kertomuksen näy ruudulla riippuu siitä, kuinka paljon lokitietoja pitää saada käsitellä. Se voi kestää muutaman sekunnin tai pari minuuttia. Joka tapauksessa, se antaa sinulle mahdollisuuden tutustua raportin muodossa.

Asentaminen OSSEC

Kuten sanoin viime post, sinulla on kaksi asennusvaihtoehtoja kanssa OSSEC, paikallisten tai client / server. Tässä postitse aion keskittyä client / server setup, koska se on vähän monimutkaisempi. Jos teet paikallinen asentaa, valitse vain "paikallisia" vaihtoehto asennuksen aikana prosessin ja ohittaa kohta perustaa suojatun kanavan välillä edustajan ja palvelin.

Aloita Server

OSSEC käyttää Blowfish-salausta turvata välistä viestintää asiakkaan ja palvelimen. Blowfish on symmetrinen avain perustuu, joten molempien osapuolten on tiedettävä, mitä tärkein arvo käyttää, jotta kommunikoida. Palvelin on synnyttänyt symmetrinen avain, niin meidän on asennettava palvelinohjelmisto ensimmäinen. Aikana asiakas asettaa me kysytään keskeinen arvo joten ilmeisesti meidän on oltava, että kätevä etuajassa.

Tässä on ajan säästö kärki. Arvoksi on pitkä ja lähes mahdoton muistaa. Helpoin tapa liikkua keskeinen arvo palvelimelta järjestelmän edustajan järjestelmää on käyttää SSH. Luo suojattua yhteyttä OSSEC palvelimelle, ja purkaa sopiva avain (ohjeet esitetään jäljempänä). Toisessa pääteikkunaa luoda ssh-istunto järjestelmä, jossa sinua asennuksen edustaja. Kun asiakas asentaa kysyy keskeinen arvo, voit kopioi / liitä molemmat terminaalit.

Asentaminen OSSEC Server

Palvelinohjelmisto on saatavilla Terva pallo, joten voit napata jäljennös uusin versio OSSEC lataussivulle . Tämän jälkeen sinun on pura sisältö Terva pallo:

tar xvzf ossec-hids-2.3.tar.gz

Seuraavaksi siirrymme hakemistorakennetta luomasi:

cd ossec-hids-2.3

OSSEC tarjoaa asentaa script sinut läpi asennuksen palvelimen. Voit aloittaa kirjoitus, tyyppi:

. / Install.sh

Älä unohda kauden alussa komennon. Olet nyt saanut läpi useita asentaa vaihtoehdoista:

• Kieli - Oletuksena on Englanti. Vaihda tarvittaessa.
• Vahvistaminen asennus - Paina Enter kun olet lukenut näytöllä.
• Asenna tyyppi - Kirjoita "palvelin" ilman lainausmerkkejä ja paina Enter.
• Asennuspaikka - Hyväksy oletusarvo.
• Sähköposti-ilmoitus - Oletus on, valita jos haluat sähköposti-ilmoituksia. Jos valitset kyllä, sinua pyydetään antamaan kelvollinen sähköpostiosoite ja sähköpostipalvelimen.
• Eheydentarkistus - Oletus on kyllä. Valitse jos haluat paikallinen järjestelmä tarkastettava ajoittain tunkeutumista.
• Root kit tunnistus - Oletus on kyllä. Hyvä vaihtoehto, koska meidän täytyy säilyttää korkean luotettavuuden tätä järjestelmää.
• Aktiivinen reagointi - Oletus on kyllä. Valitse tämä vaihtoehto, jos haluat pystyä reagoimaan tapahtumiin.
• Palomuuri pudota - Luvat OSSEC palvelin puolustaa sitä itse, jos suora hyökkäys havaitaan.
• Valkoinen lista - Tällä tavoin voit lisätä IP-osoitteet, joista mahdollisia iskuja ohitetaan. Ole varovainen tämän vaihtoehdon. Jos sinulla ei ole konsoli pääsy OSSEC palvelimelle, se saattaa olla järkevää määritellä yhden IP-osoitteen, joka voi aina saada sisään vain varmistaa lähde IP on luotettava järjestelmä.
• Ota Syslog - Oletus on kyllä. Valitse tämä vaihtoehto, jos haluat kerätä lokeja, joka ei voi ajaa OSSEC agentti (kuten palomuurit, kytkimet, reitittimet, tukiasemat, jne.).
• Lokitiedostoja seurata - Tämä näyttö tunnistaa kaikki paikalliset lokitiedostojen OSSEC seuraa. Se on puhtaasti tietoa, joten kaikki mitä voi tehdä on, paina sitten ENTER ohi. Jos huomaat yhden tai useamman lokitiedostot ole luettelossa, voit lisätä ne myöhemmin ossec.conf tiedosto.

Tässä vaiheessa OSSEC pääsevät paikallinen kääntäjä ja asentaa kaikki tarvittavat tiedostot johonkin järjestelmään. Kun olet valmis, voit käynnistää OSSEC palvelimen suorittamalla komento:

/ Var / ossec / bin / ossec-ohjaus alkaa

Määrittely OSSEC Agents

Emme ole tehneet OSSEC palvelimen vielä. Seuraavaksi meidän on etukäteen määritellä kaikkia järjestelmiä, jotka ovat käynnissä OSSEC agentti (client) ohjelmisto. Tämä tehdään käyttämällä manage_agents komentoa. Ensinnäkin meidän on kuitenkin tehtävä vähän kotitehtäviä. Tee luettelo kaikista järjestelmien on käynnissä OSSEC agentti ohjelmisto. Kunkin järjestelmän osalta tarvitaan kuvaava nimi sekä tämän järjestelmän IP-osoitteen.

Nyt, suorita seuraava komentoriviltä:

/ Var / ossec / bin / manage_agents

Tämä tuottaa Agent Manager päävalikosta. Paina "", jota seuraa Enter määritellä ensimmäinen järjestelmä. Anna kuvaava nimi ensimmäinen järjestelmä, jonka jälkeen järjestelmän IP-osoite. Älä ole huolissasi edustaja tunnus. Yksinkertaisesti hyväksy oletusarvo ja OSSEC tulee automaattisesti määrittää seuraavan käytettävissä tunnus. Kun olet vahvistanut syöttämäsi tiedot, sinun on palautettava Agent Manager päävalikosta. Toista edellä kuvattu prosessi kunkin järjestelmän, joka on käynnissä OSSEC edustaja.

Luodaan Keys

Kun olet lisännyt kaikki teidän järjestelmiin, on aika luoda salausavaimia. Tämä vaihe on myös esiintyi manage_agents apuohjelma. Jos olet kiinni asennuksen jälkeen viimeinen vaihe, uudelleen nyt.

Paina "E" näppäintä ja sen jälkeen Enter valitsemaan "Poimi avain edustaja" valikon. Sitten kysytään ID-numero avain haluat poimia. Kuvaavia nimiä ja IP-osoitteet näkyvät kunkin ID numero, joten se olisi triviaali, mitkä niistä haluamasi. Aloita järjestelmän aiot asentaa agentin ohjelmiston päälle ensin.

OSSEC Agent asentaa Linux

Kun asennat edustaja ohjelmiston Linux-tai UNIX asiakas, voit käyttää täsmälleen samaa Tar pallo käytimme asennettava palvelinohjelmisto. Suorita sama asentaa script, mutta tällä kertaa kun sinua kehotetaan tyyppi asentaa haluat tehdä, kirjoita "edustaja", jonka jälkeen Enter-näppäintä.

Asiakas asentaa on monia samoja ohjeita kuin palvelimen asennus. Käytä info yllä opastaa sinut prosessin läpi. Kuiskata että vaihtelevat kuitenkin on, että sinua pyydetään toimittamaan IP-osoite OSSEC palvelimen. Kun olet valmis, OSSEC pääsevät paikallinen kääntäjä ja asentaa kaikki tarvittavat tiedostot johonkin järjestelmään.

Seuraavaksi meidän on tuoda Blowfish avain OSSEC palvelimelta. Vaikka vielä agentti järjestelmään, suorita komento:

/ Var / ossec / bin / manage_agents

Kun Agent Manager-valikko tulee näkyviin, valitse "I" tuoda Blowfish avain.

Kun seuraava kehote tulee näkyviin, sinun on manuaalisesti sopiva Blowfish avain. Jälleen, jos käytät SSH sekä järjestelmien piiriin samaan aikaan, voit kopioi / liitä molemmat terminaalit. Varmista avain näyttää oikein, paina Enter-näppäintä ja valitse "y" sen varmistamiseksi, että avain näyttävät oikeilta. Sinut palautetaan Agent Manager-valikossa. Valitse "q", jotta palata komentoriville.

Nyt täytyy vain alkaa OSSEC edustaja. Voit tehdä sen suorittamalla seuraava komento:

/ Var / ossec / bin / ossec-ohjaus alkaa

Sinun pitäisi nähdä kaikki OSSEC asiamiehen osien alku, jota seuraa "Valmis"-viestin.

OSSEC Agent asentaa Windows

OSSEC on itsestään purkautuva executable, joka sallii sinun asentaa agentin ohjelmiston Windows-järjestelmässä. Yksinkertaisesti kaksoisnapsauttamalla suoritettavaa aloittaa asennusprosessi. Sinua pyydetään hyväksymään lisenssi sekä mitkä komponentit haluat asentaa. Seuraa vain ohjeita asti OSSEC Agent Manager-ikkuna.

OSSEC Agent Manager-ikkuna tulee kysyy IP-osoite OSSEC palvelimen. Se myös kysyy Blowfish avain käytettävä arvo, joten ote sopiva avain palvelimelle ja anna arvo tällä alalla. Varmista, että poistat nopeasti tämän kenttä ennen liitä Blowfish avain. Muuten tietoliikenne palvelimen kanssa voi epäonnistua.

Seuraavaksi valitse "Hallitse" alkaen OSSEC Agent Manager-valikossa, jonka jälkeen "Start OSSEC". Sinun pitäisi nyt nähdä "Tila:"-merkkivalo muutos "Running ...".

Testaus OSSEC

Kun olet palvelimen ja agentti ohjelmisto on asennettu, käynnistetään ja tarvittaessa avaimet määritetty, nyt on aika tarkistaa meidän setup. Suorita seuraava komento OSSEC palvelimella:

cd / var / ossec / tukit

Ja tarkistaa ossec.log tiedosto:

vähemmän ossec.log

Tarkista lokitiedosto mahdollisista virheistä. Yleinen virhe on, että OSSEC raporteista ei voi lähettää sähköpostia. Varmista postipalvelin on käynnissä ja että se on hyväksy yhteyksiä. Kun olet tyytyväinen palvelimen asennus, nyt on aika tarkistaa tekijöille. Siirrä alas "hälytyksiä" hakemistoon:

cd ilmoituksia

Ja tarkistaa alerts.log tiedosto:

vähemmän alerts.log

Erityisesti etsit merkinnät vastaavat seuraavaa:

2010 17 helmikuu 16:09:16 (työpöydällä) 192.168.1.10-> ossec

Sääntö: 501 (taso 3) -> "Uusi ossec edustaja kytketty."

Src IP: (ei mitään)

Käyttäjä: (ei mitään)

ossec: Agent alkoi: "test_system-> 192.168.1.10".

Sinun pitäisi nähdä merkintä jokaiseen järjestelmään, johon olet asentanut agentti ohjelmisto.

Lisää tulossa

Whew! Se on enemmän kuin tarpeeksi yksi virka! Minun ensi postitse joudun hyödyntämällä Logwatch jäsentää kaikki ilmoituksen tiedot ovat tuottaman OSSEC.

Minun viimeinen viesti Olen esitellyt Logwatch voitaisiin yksinkertaistaa loki arviointia. Tässä postitse me tarkastelemme OSSEC ja mitä se tuo pöytään.

Mikä on OSSEC?

OSSEC , lyhenne sanoista "Open Source turvallisuus", on isäntä perustuu Intrusion Detection System (HIDS). Toisin sanoen, se on suunniteltu havaitsemaan hyökkäyksiä tai politiikan rikkomisesta, jos ja kun niitä ilmenee. Vaikka se ei ole mahdollisuutta suojautua tuntemattomia tai 0-Day hyökkäykset (joka olisi-pohjainen tunkeutumisen prevention), se sisältää laajan valikoiman työkaluja, jotka auttavat tunnistamaan tunkeutumisen, kun se tapahtuu, sekä missä määrin vahingon, joka on aiheuttanut.

Tuetut käyttöjärjestelmät

Hyödyntämään kaikkia ominaisuuksia OSSEC on tarjous, sinun täytyy suorittaa agentin järjestelmä suojattu. OSSEC toimijat voivat käyttää Windows-, Mac OS X, Linux, ja monia UNIX. Jos olet vain kiinnostunut lokitiedostoanalyyseistä osa kuitenkin vieläkin laajempi järjestelmiä voidaan tukea. Tähän kuuluvat laitteistot sekä Cisco ja Juniper. Joukko erityisiä tuotteita ovat myös tuettuja, kuten Checkpoint palomuurien, Symantec Anti-Virus, Snort, Squid, ja Arpwatch, vain muutamia mainitakseni.

Kun asennat OSSEC sinulla on kaksi asetuksia, paikallisen tai client / server. Paikallinen asentaa käytetään, kun haluat suorittaa kaiken yhteen järjestelmään. Client / server asennus voit käyttää jaetussa ympäristössä suojella useita järjestelmiä samanaikaisesti. Vaikka useimmat käyttöä on client / server perustuu, jos haluat antaa OSSEC spin helppo ajaa kaiken yhteen testausjärjestelmän avulla paikallinen asentaa.

Lokianalyysi

OSSEC sisältää Kirjaudu perustuva Intrusion Detection System (kannet). Tämä on kykyä tarkastella lokitiedostoja lähes reaaliajassa, kun taas tarkastelua niitä tiedossa hyökkäys kuvioita. Kun kirjaudut syntyy suojatussa järjestelmässä, agentti hoitaa turvallisesti lähettää log (Blowfish-salaus valmiiksi jaettu salaisuus) takaisin palvelimelle. Palvelin huolehtii suorittamaan analyysiin.

Useimmat log analyysivälineitä käsittelevät säännöt lineaarinen muodossa. Tarkoitan tällä sitä, jos meillä on 500 sääntöjä, sääntö yksi valittu, niin yleensä kaksi, yleensä kolme ja niin edelleen, kunnes ottelu on löydetty tai me päähän säännön mukaisesti. OSSEC toimii vähän eri tavalla kuin siinä pannaan täytäntöön hieratical rakenteen sääntöjä. Lokitiedot ensimmäinen luokitellaan ja tarkastetaan vain vastaan kumpi säännöt ovat asianmukaiset. Tuloksena on, että sen sijaan tarvitse käsitellä kaikkia 500 sääntöjä, useimmat tapahtumat saavat verrataan 10 sääntöjä tai vähemmän. Tämä vähentää huomattavasti määrää yläpuolella valmisteluun tarvittavat sääntöä.

Rehellisyys tarkistaminen

OSSEC myös koristella vieras Syscheck suorittamisen tiedoston ja hakemiston eheyden tarkistamiseen. Jos käytät Windows agentti, voit myös erityisiä avaimet sisällä Windowsin rekisterin voidaan seurata hyvin. Tiedoston muutokset voidaan havaita sekä MD-5 ja SHA-1 hakata hienoksi algoritmeja. Järjestelmä on erittäin muokattavissa. Voit sisällyttää tai sulkea yhden tiedostoja tai koko hakemistosta rakenteita. Voit jopa asettaa lipun havaita uuden tiedoston luomiseen.

Agentti-ohjelmisto on suunniteltu käyttämään vähimmäismäärän Suoritin eheys ruudullinen. Vaikka tämä merkitsee tarkastus kestää, se auttaa myös minimoimaan suorituskyky osuma järjestelmään. Hash tiedot lähetetään takaisin palvelimeen. Palvelin huolehtii suorittaa hash vertailu nähdä, jos jokin järjestelmän kriittiset tiedostot on muutettu. Palvelin tallentaa myös kopio Eheydentarkistus politiikka, joten jos muutokset ovat tehty agentti, ne voidaan havaita ja raportoida myös.

Poikkeamien ilmaisuun

OSSEC paljon muutakin kuin halko tarkkailun tarkistaa järjestelmän. Käyttö politiikalla voidaan hallita keskitetysti palvelimelta, ja sitten ulos sopivaan tekijöille. Esimerkiksi voit määrittää politiikkaa, joka Windows-sovellukset ovat hyväksyttäviä (Office, Firefox jne.) ja mitkä eivät (pikaviestiohjelma, Skype, jne.). Voit jopa määritellä hyväksyttävä asetuksia kuin tarkistaa, että NT tiivisteiden Näitä ovat mm salasanasi mutta ei LanMan tiivisteiden.

OSSEC sisältää useita muita herkkuja helpottamiseksi tarkistaa järjestelmän eheyden. Esimerkiksi OSSEC on mahdollisuus suorittaa komentoja edustaja ja valvoo tuotantoa, joka saa syntynyt. Esimerkiksi voit olla Linux asiamies suorittaa "DF" komento säännöllisin väliajoin ja tuottaa varoittaa jos levyn käyttö ylittää 90%. Windows esimerkki voidaan saada OSSEC tuottaa varoittaa aina kuvan tiedot kirjoitetaan varajäsenten tietovirtojen alalla NTFS.

Aktiivisia toimia

Lopuksi OSSEC kuuluu kyky reagoida kun epäilyttävää toimintaa havaitaan. Vastaukset voidaan tuottaa palvelimen tai asiamiehen, joka koskaan voit määrittää. Vastaus voi olla hyvänlaatuinen synnyttää e-mail alert, joka on niin aktiivinen kuin estää kauko-IP-osoite rajoitetun ajan. On useita sisältyy aktiivisia toimia komentosarjoja, voit hyödyntää, tai voit helposti kirjoittaa omia.

Secure Arkkitehtuuri

OSSEC kirjoittajat ovat menneet hyvin pitkälle varmistaa kaikkien osatekijöiden tuote. Tehtäviä, kuten rehellisyys tarkastus suoritetaan palvelimella, eikä agentti, joten luotettavuus hash ei voi vaarantua kohtauksen aikana. Prosesseja voidaan ajaa alhaisin käyttöoikeuksia mahdollista, ja eri tilejä käytetään suorittaa kunkin OSSEC komponentti. Tämä tarkoittaa sitä, että kompromissi on ainoa hakemus sisällä OSSEC ei heti johda vaarantaa koko paketin. Lisäksi useimmat osat suoritetaan sisällä chrooted vankilassa niin niiden pääsyä järjestelmään on edelleen rajoitettu.

Lopullinen Words

Vaikka OSSEC on tehokas väline, on tärkeää muistaa, että se on HIDS eikä kirjaudu järjestelmään. OSSEC voi tarkistaa lokitiedot etsii epäilyttäviin, mutta se vain pelastaa ilmoituksilla. Joten vaikka OSSEC ei korvaa Security Information Management (SIM) ratkaisu, se voi varmasti lisätä sitä. Voit määrittää helposti OSSEC on toimitettava kaikki ilmoitukset se tuottaa sen keskeinen puunkorjuun palvelimelle .

Vaikka OSSEC on avoimen lähdekoodin ohjelmisto, Trend Micro on ensisijaisesti kehittää sitä. Jos tarvitset kaupallista tukea, voit ostaa tukisopimuksen kautta kohtuullisella maksu.

Lisää tulossa

Minun seuraava erä tutustumme asentamista OSSEC ja Logwatch. Sen jälkeen me siirrymme yhdistää kaksi yhdessä.

Olen viime aikoina ollut opiskelija pyytää minua kysymykseen integrointi Logwatch kanssa OSSEC. Tunsin itseni oli monimutkainen ja vielä tarpeeksi viileä idea, että se perusteltua useita virkoja kattaa sen täysin. Joten tulevina päivinä I'll puhua kustakin sekä näistä työkaluista, miten to integroida heidät together, sekä mitä additional security näkyvyyttä voidaan säästää Kun prosessi on complete.

Mikä on Logwatch?

Logwatch on erinomainen avoimen lähdekoodin työkalu tuottaa päivittäin ihmisen luettavissa log raportit. Lokitiedot yleensä jakaa kolmeen luokkaan:

• Aine tiedetään paha
• Aine tiedetään normaalia ja voi turvallisesti jättää huomiotta
• Kaikki muu

On, että "kaikki muu" luokka, jossa Logwatch todella paistaa. Sillä jutut tiedämme on paha, me setup jonkinlaista varoitusjärjestelmään. Esimerkiksi voimme kirjoittaa ilmoituksen allekirjoituksen varoittaa turvallisuus analyytikko, kun tili on peto pakko. Mutta entä hyökkäyksiä emme tiedä tai ole varma, mitä ne näyttävät? Tämä olisi selkeä esimerkki siitä, että "kaikki muu" luokka. Liikenne ei ole normaalia, mutta emme ole nähneet sitä ennen on allekirjoitus odotus tuottaa varoittaa. Koska emme pysty kiinni hyökkäys reaaliajassa, meidän on kiinni sen aikana päivittäin kirjaa uudelleen.

Tietenkin ongelman tekee päivittäin kirjaa perusteella, että se on työläs ja aikaa vievä. Siis olkaamme rehellisiä, kuka todella haluaa viettää päivä uudelleen miljoona plus lokitiedot? Vaikka et, oletko varma että se todella saalis pois tavallisten liikennettä?

Miten se toimii

Mitä Logwatch ei kovin hyvin ole anna sinun uudelleen tietosi muotoon on helpompi ihmisten seuraa. Sen todellinen vahvuus on sen avulla voit siirtää tavaraa ymmärrät tieltä (normaali tai pahaa), niin että odottamaton lokitiedot erottua kuin kipeä peukalo. Toisin sanoen, Logwatch voit yhteenveto sinun lokitiedot niin epätavallinen tavaraa on helpompi havaita.

Mitä minä todella rakastan Logwatch on, että et menetä mitään. Monet log tarkistaa välineiden vain näyttää tavaraa, joka on ennalta määritelty pahoja. Ongelma niillä kaikilla on se, että kun jotain pahaa, mutta yllättävää tapahtuu, se lentää mukaista oikeutta lanka. Koska Logwatch voit nähdä kaiken, et enää menetä odottamatonta.

Logwatch toiminnassa

Antaa keskustella siitä, miten Logwatch teokset SSH -palvelimen palvelu esimerkkinä. Skriptejä käsitellä SSH on jo määritelty Logwatch, joten sinun ei tarvitse tehdä mitään säätämistä saada ominaisuuksia aiomme keskustella.

Kun tarkastellaan lokitiedoston, ensimmäinen asia Logwatch ei ole uudelleen lokitiedot perustuu niiden viesti tyyppejä. Esimerkiksi kaikki Onnistunut SSH kirjautumista ryhmitellään sekä liian monta kirjautumisen epäonnistumisia, kieltäytyi yhteydet lukittu tilit, tilinpäätöksen ilman asianmukaista kuori, protokolla mis-ottelut jne. jne. jne. Kun kaikki SSH viestit ryhmitellään niiden tyyppi, tiedot on sitten tiivistää vähentää tietojen raportoinnista.

Esimerkiksi oletus on tiivistää epäonnistunut liikemerkki yritykset tili ja lähde IP. Joten tyypillinen epäonnistunut liikemerkki raportti osa voisi näyttää tältä:

Epäonnistuneet kirjautumiset nämä:

bsmith / salasana 1.2.3.4: 637 kertaa (s)

jsmith / salasana 1.2.3.5: 2 kertaa (s)

Joten sen sijaan, että tarkastelun 639 lokitiedot raportointi huono kirjautumisen yritys, olemme kaikki olennaiset tiedot esitetään kolme riviä (jos sisältää nimi). Tätä jatketaan kaikkien muiden SSH viestejä, ja meillä on radikaalisti vähentänyt paljon aikaa tutustumiseen lokit.

Mutta entä jos jotain tapahtuu niin, että Logwatch ole ennalta ohjelmoitu tunnistamaan? Kun odottamaton lokitapahtuman löytyy, Logwatch lisää osiossa loppuun palvelun raportin nimeltä "Ylivertainen Entries". Jos siis näet tämän otsikon SSH-palvelin § tiedämme, jotkut tapahtuman, joka on joko epänormaali tai yllättää SSH palvelu. Tämä voisi hyvin olla jonkinlainen hyökkäys, että emme ole tietoisia tekee kierroksia.

Tekijä se keskittyy verraton merkinnät, voimme nopeasti tunnistaa odottamatonta toimintaa. Kuten aiemmin totesin, tämä on todellakin tärkein tavoite tehdä päivittäin kirjaa arvostelut. Voit etsiä juttuja emme odota, joka livahtaa ohi meidän varoitusjärjestelmään. Logwatch tekee tämän prosessin nopeasti ja mahdollisimman vaivattoman.

Ominaisuus Yhteenveto

Yllä olevassa esimerkissä puhuin tekee päivittäin kirjaa perusteella, mutta rehellisesti sanottuna Logwatch on hyvin muokattavissa. Voit määrittää minkä tahansa alueen, jota haluat käyttää alas kulunut toinen. Esimerkiksi Sanotaan olen tutkii tunkeutumista eikä suorittaa päivittäin kirjaa uudelleen. Voisin täsmentää erilaisia, kuten "2010/02/14 17:05:00 kyseisen tunnin" keskittyä aivan tiedoista, jotka kiinnostavat minua. Voin myös keskittyä johonkin tiettyyn lokitiedosto tai palvelun.

Tarkkuuteen kertomus on myös muokattavissa. Yleensä kun tapahtuu turvallisesti saat tapana aina halunnut mahdollisimman yksityiskohtaisesti raportointia. Ollakseni rehellinen, joiden Logwatch erittäin yksityiskohtaisesti on luultavasti enemmän kuin sinun koskaan tarvitse. Henkilökohtaisesti olen yleensä kiinni "med" keskipitkän ja joka toimii oikein mukavasti. Voit myös määrittää raportoinnin taso "pienen" tai "korkea" tai käyttää numeerista valikoima 0-10 korkeamman tason rakeisuuden (matala = 0, med = 5, korkea = 10).

Logwatch voidaan suorittaa automaattisesti tai manuaalisesti. Tavallisesti haluat asettaa sen toimimaan automaattisesti joka päivä ja tiivistää yhden päivän verran lokitiedot. Jos joudut laajentaa tai keskittyä raportin, voit aina käyttää Logwatch komentoriviltä ja sano mitä haluat nähdä. Voit käyttää "-save"-vaihtoehto määrittää raportin nimi ja hakemistossa varastointiin.

Lisää tulossa

Edellä pitäisi antaa sinulle hyvä ajatus siitä ominaisuudet Logwatch voi tuoda pöytään. In the next post I'll keskustella OSSEC on yhtä yksityiskohtaisesti. Sen jälkeen joudun miten asentaa kukin väline sekä miten yhdistää ne yhteen.