Dans mes deux derniers messages j'ai discuté Logwatch et OSSEC, ainsi que la façon dont ils peuvent être un levier pour augmenter votre posture de sécurité. Dans cet épisode, je vais discuter comment installer ces deux outils.
Installation Logwatch
Logwatch est assez facile à installer. En fait, il est installé par défaut sur de nombreuses distributions Linux que vous pouvez déjà en avoir une copie sur votre système. Pour vérifier, ouvrez une session en tant que root et essayez d'exécuter Logwatch avec le "-v". Si vous voyez:
[Root @ fubar logwatch] # logwatch-v
Logwatch 7.3.6 (publié 19.05.07)
Logwatch est installé et vous avez une copie de la dernière version. Si vous ne possédez pas la dernière version, vous pouvez le saisir de la page de téléchargement Logwatch .
Il ya trois saveurs de Logwatch qui peuvent être téléchargés; Binaires au format RPM, la source au format RPM, ou de la source dans une boule de goudron. Si votre système supporte la gestion de paquets RPM, le RPM binaire est votre meilleur choix. Il est simple à installer et RPM mettra à jour automatiquement le logiciel lorsque de nouvelles versions sont disponibles.
Installation Logwatch De RPM
Pour installer la version binaire du RPM, il suffit de connecter en tant que root et naviguez vers le répertoire où vous avez téléchargé le fichier RPM. Maintenant exécutez la commande:
rpm-U-7.3.6-logwatch 1.noarch.rpm
N'oubliez pas que vous pouvez utiliser la touche de tabulation pour compléter automatiquement le nom du fichier plutôt que d'avoir à taper dans l'ensemble.
Installation Logwatch De la source
Installation à partir de la source est un peu plus considérable. Rappelez-vous que pour pouvoir installer le code source, vous devez déjà disposer d'un compilateur (comme gcc) installé sur votre système. Connexion en tant que root et naviguez vers le répertoire où vous avez téléchargé l'archive tar. Pour extraire l'archive, exécutez la commande suivante:
tar xvzf logwatch-7.3.6.tar.gz
Vous verrez une structure de répertoire en dessous de votre emplacement actuel sont créées et beaucoup de fichiers copiés en jeu. Nous devons maintenant passer à l'annuaire le plus haut qui a été créé:
cd logwatch-7.3.6
Pour Logwatch de courir, il ya un tas de répertoires qui doivent être créés sur votre système. Ces fonctions sont documentées dans le fichier README dans le répertoire courant. Heureusement, Logwatch inclut un script d'installation qui peut faire tout le travail pour vous. Malheureusement, le script a les autorisations mauvais jeu de sorte qu'il ne sera pas lancé par défaut. C'est assez facile à corriger mais avec la commande chmod:
chmod 500 install_logwatch.sh
Maintenant, nous pouvons exécuter le script pour l'installation de notre système:
. / Install_logwatch.sh
Ne pas oublier la période au début de la ligne.
Test Logwatch
Pour tester votre configuration Logwatch, exécutez la commande suivante:
logwatch | less
Vous verrez l'écran de votre terminal de se vide, mais c'est normal. Vous allez finir par voir un rapport Logwatch obtenir imprimée à l'écran que vous pouvez naviguer à travers l'aide la «Page Up» et «Page Down» clés. Comment connecter qu'il faut pour que le rapport d'apparaître sur l'écran dépendra de combien d'informations du journal a besoin d'obtenir analysée. Elle pourrait prendre quelques secondes ou quelques minutes. De toute façon, il vous donnera une chance de vous familiariser avec le format du rapport.
Installation OSSEC
Comme je le mentionnais dans mon dernier post, vous avez deux options d'installation avec OSSEC, local ou client / serveur. Dans ce post, je vais me concentrer sur la configuration client / serveur, car il est un peu plus complexe. Si vous effectuez une installation locale, il suffit de sélectionner l'option "local" au cours du processus d'installation et de sauter la section sur la mise en place d'un canal sécurisé entre l'agent et le serveur.
Commencez avec le serveur
OSSEC utilise le cryptage Blowfish pour sécuriser la communication entre le client et le serveur. Blowfish est basée clé symétrique, donc les deux côtés doivent savoir quelle est la valeur clé à utiliser pour communiquer. Le serveur est chargé de générer la clé symétrique, nous devons donc installer le logiciel serveur en premier. Au cours de l'installation du client, nous serons amené pour une valeur de clé de toute évidence, nous devons avoir cette pratique à l'avance.
Voici une astuce gain de temps. La valeur de la clé est longue et presque impossible à retenir. La meilleure façon de déplacer la valeur de la clé du système de serveur pour le système d'agent est d'utiliser SSH. Créer une connexion sécurisée avec le serveur OSSEC, et extraire la clé appropriée (instructions fournies ci-dessous). Dans une seconde fenêtre de terminal, de créer une session SSH sur le système où vous allez installer l'agent. Lorsque l'installation du client vous demande la valeur de clé, vous pouvez simplement copier / coller entre les deux terminaux.
Installation du serveur OSSEC
Le logiciel serveur est disponible comme une boule de goudron, de sorte que vous pouvez récupérer une copie de la dernière version de la page de téléchargement OSSEC . Vous aurez alors besoin d'extraire le contenu de la boule de goudron:
tar xvzf OSSEC-HIDS-2.3.tar.gz
Ensuite, déplacez dans la structure de répertoire que vous venez de créer:
cd-OSSEC HIDS-2.3
OSSEC fournit un script d'installation qui vous guidera dans le processus d'installation du serveur. Pour lancer le script, tapez:
. / Install.sh
Ne pas oublier la période au début de la commande. Vous allez maintenant être invité par un certain nombre d'options d'installation:
- Langue - La valeur par défaut est l'anglais. Changer si nécessaire.
- Confirmation de l'installation - Appuyez sur Entrée une fois que vous avez lu l'écran.
- Installez le type - Tapez "serveur" sans les guillemets et appuyez sur Entrée.
- Emplacement d'installation - Acceptez la valeur par défaut.
- E-mail de notification - par défaut est oui, choisissez si vous voulez des alertes e-mail. Si vous sélectionnez oui, vous serez invité à entrer une adresse e-mail et votre serveur de messagerie.
- Contrôle d'intégrité - par défaut est oui. Sélectionnez si vous voulez que le système local vérifiés périodiquement pour les intrusions.
- Détection de root kit - par défaut est oui. Bonne option puisque nous devons maintenir un haut niveau d'intégrité de ce système.
- Réponse active - par défaut est oui. Sélectionnez cette option si vous souhaitez être en mesure de réagir aux événements.
- Baisse de pare-feu - permet au serveur OSSEC pour défendre l'auto, si une attaque directe est détecté.
- Liste blanche - Cela vous permettra d'ajouter des adresses IP à partir desquelles d'éventuelles attaques seront ignorés. Soyez prudent avec cette option. Si vous n'avez pas accès à la console sur le serveur OSSEC, il pourrait être sage d'identifier une adresse IP qui peut toujours y entrer simplement veiller à l'adresse IP source est un système fiable.
- Activer Syslog - par défaut est oui. Sélectionnez cette option si vous voulez collecter des journaux à partir du système qui ne peut pas exécuter un agent OSSEC (comme les pare-feu, commutateurs, routeurs, points d'accès, etc.)
- Les fichiers journaux à surveiller - Cet écran identifie l'ensemble des fichiers journaux OSSEC locale suivra. Il est purement d'informations, tout ce que vous pouvez faire est appuyez sur Entrée pour passer devant elle. Si vous remarquez un ou plusieurs fichiers journaux manquants de la liste, vous pouvez les ajouter plus tard pour le fichier ossec.conf.
À ce point d'accès sera OSSEC le compilateur locales et d'installer tous les fichiers nécessaires sur le système. Une fois terminée, vous pouvez démarrer le serveur OSSEC en exécutant la commande:
/ Var / ossec / bin / ossec-commande de démarrage
Définir les agents OSSEC
Nous ne sommes pas fait avec le serveur OSSEC juste encore. Ensuite, nous avons besoin de pré-définir tous les systèmes qui seront exécute l'agent OSSEC (client) de logiciels. Ceci est réalisé en utilisant la commande manage_agents. D'abord cependant, nous devons faire un peu de devoirs. Faites une liste de tous les systèmes qui seront exécutant le logiciel de l'agent OSSEC. Pour chaque système, vous aurez besoin d'un nom descriptif ainsi que l'adresse IP de ce système.
Maintenant, exécutez la commande suivante depuis la ligne de commande:
/ Var / ossec / bin / manage_agents
Ceci va produire le menu Gestionnaire principal agent. Appuyez sur "A" suivie de la touche Entrée pour définir votre premier système. Entrez un nom descriptif pour le premier système, suivie par l'adresse IP du système. Ne vous inquiétez pas pour le numéro d'agent. Il suffit d'accepter la valeur par défaut et OSSEC sera automatiquement attribuer le numéro d'identification suivant disponible. Une fois que vous confirmez les informations que vous avez entré, vous serez renvoyé au menu principal du gestionnaire d'agents. Répétez le processus ci-dessus pour chaque système qui sera exécutant un agent OSSEC.
Génération de clés
Une fois que vous avez ajoutés dans tous vos systèmes, il est temps de générer des clés de chiffrement. Cette étape est aussi réalisée avec l'utilitaire manage_agents. Si vous avez fermé l'outil après la dernière étape, il relance aujourd'hui.
Appuyez sur la touche "E" suivi par Enter pour sélectionner la «clé Extrait d'un agent" dans le menu. Vous serez alors invité à entrer le numéro d'identification de la clé que vous souhaitez extraire. Les noms descriptifs et les adresses IP sont répertoriés avec chaque numéro, donc il doit être trivial d'identifier celui que vous voulez. Commencez avec le système que vous envisagez d'installer le logiciel agent sur la première.
OSSEC agent installer sous Linux
Lorsque vous installez le logiciel agent sur un client Linux ou UNIX, vous utilisez la boule de goudron exactement la même, nous avons utilisé pour installer le logiciel serveur. Exécuter le script d'installation même, mais cette fois-ci lorsque vous êtes invité pour le type d'installation que vous souhaitez effectuer, le type de «mandataire» suivi par la touche Entrée.
L'installation du client a plusieurs des mêmes invites comme l'installation du serveur. Utilisez les informations ci-dessus pour vous guider dans le processus. L'invite de commande qui varie cependant, c'est que vous serez invité à fournir l'adresse IP du serveur OSSEC. Une fois terminé, aura accès à OSSEC le compilateur locales et d'installer tous les fichiers requis sur le système.
Ensuite, nous devons importer la clé Blowfish à partir du serveur OSSEC. Alors qu'il était encore sur le système d'agent, exécutez la commande:
/ Var / ossec / bin / manage_agents
Lorsque le menu d'Agent Manager apparaît, sélectionnez «I» pour importer la clé Blowfish.
Lorsque l'invite suivante s'affiche, vous devez entrer manuellement la clé appropriée Blowfish. Encore une fois, si vous utilisez SSH pour les deux systèmes en même temps, vous pouvez simplement copier / coller entre les deux terminaux. Assurez-vous que la clé semble correct, appuyez sur la touche Entrée, puis sélectionnez "Y" pour confirmer que la clé semble correct. Vous serez renvoyé au menu du gestionnaire de l'agent. Sélectionnez "q" pour revenir à la ligne de commande.
Maintenant nous avons simplement besoin de démarrer l'agent OSSEC. Vous pouvez le faire en exécutant la commande suivante:
/ Var / ossec / bin / ossec-commande de démarrage
Vous devriez voir l'ensemble des composants de l'agent OSSEC démarrage, suivi par un message «Terminé».
OSSEC agent installé sur Windows
OSSEC a un exécutable auto-extractible qui vous permettra d'installer le logiciel agent sur un système Windows. Il suffit de double cliquer sur l'exécutable pour démarrer le processus d'installation. Vous serez invité à accepter la licence ainsi que les composants que vous souhaitez installer. Il suffit de suivre les instructions jusqu'à la fenêtre du gestionnaire d'agents OSSEC apparaît.
La fenêtre Gestionnaire d'agents OSSEC vous invite à l'adresse IP du serveur OSSEC. Il sera également vous invite à la valeur de clé Blowfish à utiliser, afin d'extraire les clés appropriées sur le serveur et entrez la valeur dans ce domaine. Assurez-vous supprimer l'invite dans ce domaine avant que vous collez dans la clé Blowfish. Sinon la communication avec le serveur peut échouer.
Ensuite, sélectionnez "Gérer" dans le menu du gestionnaire d'agents OSSEC, suivi par "Démarrer OSSEC". Vous devriez maintenant voir le "Status:" Le changement indicateur pour "Running ...".
Test OSSEC
Une fois que vous avez le serveur et le logiciel de l'agent installé, lancé et configuré les touches appropriées, il est maintenant temps de vérifier notre configuration. Exécutez la commande suivante sur le serveur OSSEC:
cd / var / ossec / logs
Et extraire le fichier ossec.log:
moins ossec.log
Vérifiez le fichier journal de toute erreur. Une erreur courante est que les rapports OSSEC il ne peut pas envoyer un courrier électronique. Assurez-vous que le serveur de messagerie est en marche et qu'il accepte les connexions. Une fois que vous êtes satisfait de la configuration du serveur, il est maintenant temps de vérifier les agents. Descendre à la "alertes" répertoire:
alertes cd
Et extraire le fichier alerts.log:
moins alerts.log
Plus précisément, vous êtes à la recherche d'entrées semblables aux suivantes:
17 février 2010 16:09:16 (bureau) 192.168.1.10-> ossec
Règle: 501 (niveau 3) -> 'Nouveau ossec agents connectés.
IP Src: (aucun)
Utilisateur: (aucun)
OSSEC: Agent commencé: «test_system-> 192.168.1.10.
Vous devriez voir une entrée pour chaque système sur lequel vous avez installé le logiciel de l'agent.
Plus à venir
Ouf! C'est plus que suffisant pour un poste! Dans mon prochain post je vais entrer s'appuyant Logwatch pour analyser toutes les informations d'alerte générés par OSSEC.
Related posts:
