Combinando Logwatch e OSSEC - Parte 3

17 febbraio 2010 da Chris Lascia un commento »

Nei miei ultimi due post ho discusso Logwatch e OSSEC, e come essi possono essere sfruttare per aumentare la vostra sicurezza. In questa puntata parlerò come installare entrambi di questi strumenti.

Installazione Logwatch

Logwatch è abbastanza facile da installare. In realtà, è installato di default su molte distribuzioni Linux in modo da avere già una copia sul vostro sistema. Per controllare, l'accesso come root e provare ad eseguire Logwatch con la "-v" interruttore. Se si vede:

[Root @ fubar logwatch] # logwatch-v

Logwatch 7.3.6 (rilasciata 05/19/07)

Logwatch è installato e di avere una copia della versione più recente. Se non si dispone dell'ultima versione, è possibile afferrare dalla pagina di download Logwatch .

Ci sono tre tipi di Logwatch che può essere scaricato; binari in formato RPM, sorgente in formato RPM o sorgenti, in una palla di catrame. Se il sistema supporta la gestione dei pacchetti RPM, l'RPM binario è la scelta migliore. E 'semplice da installare e RPM aggiorna automaticamente il software quando sono disponibili nuove versioni.

Installazione Logwatch Da RPM

Per installare la versione binaria del RPM, semplicemente l'accesso come root e passare alla directory dove avete scaricato il file RPM. Ora eseguire il comando:

rpm-U logwatch-7.3.6-1.noarch.rpm

Non dimenticare è possibile utilizzare il tasto TAB per il completamento automatico del nome del file piuttosto che dover digitare l'intera faccenda.

Installazione Logwatch da sorgenti

L'installazione da sorgenti è un po 'più lunghi. Ricordate che per poter installare il codice sorgente è necessario avere già un compilatore (come gcc) installato sul vostro sistema. Di accesso come root e accedere alla directory in cui avete scaricato la palla Tar. Per estrarre l'archivio, eseguire il comando:

tar xvzf logwatch-7.3.6.tar.gz

Vedrete una struttura di directory sotto la posizione corrente vengono creati e un sacco di file da copiare pollici Abbiamo ora bisogno di spostarsi nella directory di livello superiore che è stato creato:

logwatch cd-7.3.6

Al fine di Logwatch a correre, ci sono un sacco di directory che devono essere creati sul sistema. Questi sono documentate nel file README nella directory corrente. Fortunatamente, Logwatch include uno script di installazione che può fare tutto il lavoro per voi. Sfortunatamente, lo script ha i permessi impostati in modo sbagliato non verrà eseguito di default. Questo è abbastanza facile da risolvere ma con il comando chmod:

chmod 500 install_logwatch.sh

Ora siamo in grado di eseguire lo script per impostare il nostro sistema:

. / Install_logwatch.sh

Non dimenticare il punto all'inizio della riga.

Test Logwatch

Per testare la configurazione Logwatch, eseguire il comando:

logwatch | less

Vedrete il vostro schermo del terminale va in bianco, ma questo è normale. Alla fine vedrete un rapporto Logwatch ottenere stampati a schermo che è possibile navigare attraverso l'utilizzo del "Page Up" e "Page Down". Come accedere ci vuole per il rapporto di mostrare sullo schermo dipende dalla quantità di informazioni di log deve avere analizzato. Si potrebbe richiedere alcuni secondi o un paio di minuti. Ad ogni modo, che vi darà la possibilità di familiarizzare con il formato del report.

Installazione OSSEC

Come ho detto nel mio ultimo post, hai due opzioni di installazione con OSSEC, locale o client / server. In questo post ho intenzione di concentrarsi sul client / server di configurazione, in quanto è un po 'più complessa. Se si sta eseguendo un'installazione locale, è sufficiente selezionare l'opzione "locale" durante il processo di installazione e saltare la sezione su come configurare un canale protetto tra l'agente e il server.

Inizia con il Server

OSSEC utilizza la crittografia Blowfish per proteggere la comunicazione tra il client e il server. Blowfish è la chiave simmetrica basata, in modo da entrambe le parti devono sapere quale valore chiave da utilizzare per comunicare. Il server è responsabile della generazione della chiave simmetrica, quindi dobbiamo installare il software del primo server. Durante il client di installazione ci verrà chiesto, per un valore chiave quindi ovviamente avremo bisogno di avere a portata di mano che prima del tempo.

Ecco un suggerimento risparmio di tempo. Il valore della chiave è lungo e quasi impossibile da ricordare. Il modo più semplice per spostare il valore della chiave dal sistema server al sistema agente è quello di utilizzare SSH. Creare una connessione sicura al server OSSEC, ed estrarre la chiave appropriata (indicazioni fornite di seguito). In una finestra di terminale secondo, creare una sessione SSH al sistema in cui si intende installare l'agente. Quando l'installazione client richiede il valore della chiave, si può semplicemente copia / incolla tra i due terminal.

Installazione del server OSSEC

Il software del server è disponibile come una palla di catrame, in modo da poter prendere una copia della versione più recente dalla pagina di download OSSEC . Sarà quindi necessario per estrarre il contenuto della palla Tar:

tar xvzf OSSEC-HIDS-2.3.tar.gz

Quindi, entrare nella struttura di directory appena creata:

OSSEC cd-HIDS-2.3

OSSEC fornisce uno script di installazione per camminare attraverso il processo di installazione del server. Per avviare l', tipo di script:

. / Install.sh

Non dimenticare il punto all'inizio del comando. Ora verrà richiesto attraverso una serie di opzioni di installazione:

  • Lingua - Il valore di default è l'inglese. Cambiare se necessario.
  • Conferma di installazione - Premete Invio dopo aver letto lo schermo.
  • Installare tipo - Digitare "server" senza le virgolette e premere Invio.
  • Installare posizione - Accettare l'impostazione predefinita.
  • E-mail di notifica - di default è sì, selezionare se si vuole avvisi di posta elettronica. Se si seleziona Sì, verrà richiesto un valido indirizzo e-mail e server di posta.
  • Controllo di integrità - di default è sì. Selezionare se si desidera che il sistema locale periodicamente controllati per le intrusioni.
  • Individuazione del root kit - di default è sì. Buona opzione in quanto abbiamo bisogno di mantenere un alto livello di integrità di questo sistema.
  • Risposta attiva - di default è sì. Selezionare questa opzione se si desidera essere in grado di rispondere agli eventi.
  • Goccia Firewall - permette al server OSSEC a difendere è di per sé un attacco diretto se viene rilevato.
  • Lista bianca - Questo vi permetterà di aggiungere gli indirizzi IP da cui possibili attacchi saranno ignorati. Stare attenti con questa opzione. Se non avrà accesso console al server OSSEC, potrebbe essere saggio per identificare un indirizzo IP che può sempre ottenere in, dovrete solo garantire l'IP di origine è un sistema affidabile.
  • Abilita Syslog - di default è sì. Selezionare questa opzione se si desidera raccogliere i log di sistema che non è possibile eseguire un agente OSSEC (come i firewall, switch, router, access point, ecc.)
  • File di log da monitorare - Questa schermata identifica tutti i file di log OSSEC locale controllerà. E 'puramente informazioni, in modo tutto quello che puoi fare è premere Invio per spostare passato. Se notate uno o più file di registro mancanti dalla lista, è possibile aggiungere in seguito al file ossec.conf.

A questo punto OSSEC accederà al compilatore locale e installare tutti i file necessari al sistema. Una volta completata, è possibile avviare il server OSSEC eseguendo il comando:

/ Var / OSSEC / bin / OSSEC controllo avvio

Definizione agenti OSSEC

Non abbiamo ancora finito con il server OSSEC ancora. Quindi, abbiamo bisogno di pre-definire qualsiasi sistema che sarà in esecuzione l'agente OSSEC (client) del software. Questa operazione viene eseguita utilizzando il comando manage_agents. In primo luogo però, abbiamo bisogno di fare un po 'di compiti a casa. Fate una lista di tutti i sistemi che saranno in esecuzione il software OSSEC agente. Per ogni sistema, è necessario un nome descrittivo e indirizzo IP del sistema.

Ora, eseguire il seguente dalla riga di comando:

/ Var / OSSEC / bin / manage_agents

Questo produrrà il menu principale Gestione Agent. Premere il tasto "A" seguito dal tasto Invio per definire il primo sistema. Inserire un nome descrittivo per il primo sistema, seguito dall'indirizzo IP del sistema. Non preoccuparti per il numero ID agente. Basta accettare le impostazioni predefinite e OSSEC si auto-assegna il successivo numero ID disponibili. Dopo aver confermato le informazioni immesse, si torna al menu principale di Agent Manager. Ripetere la procedura per ogni sistema che sarà in esecuzione un agente OSSEC.

Tasti di Generazione

Dopo aver aggiunto in tutti i sistemi, è tempo di generare chiavi di crittografia. Questa operazione viene eseguita anche con l'utilità manage_agents. Se si chiude lo strumento dopo l'ultimo passaggio, è ora il rilancio.

Premere il tasto "E" seguito da Invio per selezionare il tasto "Estrai per un agente" opzione di menu. Ti verrà chiesto il numero di identificazione della chiave che si desidera estrarre. I nomi descrittivi e gli indirizzi IP sono elencati con ogni numero ID, quindi dovrebbe essere banale per identificare quali quello che si desidera. Inizia con il sistema che si intende installare il software dell'agente sul primo.

OSSEC agente di installazione su Linux

Quando si installa il software agente su un client Linux o UNIX, è possibile utilizzare la palla esattamente Tar stesso che abbiamo usato per installare il software server. Eseguire lo stesso script di installazione, ma questa volta quando viene richiesto per il tipo di installazione che si desidera eseguire, il tipo di "agente", seguito dal tasto Invio.

L'installazione cliente ha molte delle stesse richieste come l'installazione del server. Usare le informazioni qui sopra per guidare l'utente attraverso il processo. Il prompt che varieranno tuttavia è che vi sarà chiesto di fornire l'indirizzo IP del server OSSEC. Una volta completata, sarà OSSEC accedere al compilatore locale e installare tutti i file necessari al sistema.

Poi abbiamo bisogno di importare la chiave Blowfish dal server OSSEC. Mentre ancora sul sistema agente, eseguire il comando:

/ Var / OSSEC / bin / manage_agents

Quando il menu Manager Agent, selezionare "I" per importare la chiave Blowfish.

Quando la richiesta successiva, è necessario immettere manualmente la chiave appropriata Blowfish. Anche in questo caso, se si esegue SSH per entrambi i sistemi al tempo stesso, si può semplicemente copia / incolla tra i due terminal. Assicurarsi che la chiave è corretto, premere il tasto Invio, e poi selezionare "y" per confermare che la chiave sembra corretta. Si ritornerà al menu Agent Manager. Selezionare "q" per tornare alla riga di comando.

Ora non ci resta che avviare l'agente OSSEC. Puoi farlo eseguendo il comando seguente:

/ Var / OSSEC / bin / OSSEC controllo avvio

Si dovrebbe vedere tutti i componenti agente OSSEC start up, seguito da un messaggio "Completed".

OSSEC agente di installare su Windows

OSSEC ha un file eseguibile autoestraente che vi permetterà di installare il software agente su un sistema Windows. È sufficiente fare doppio clic sul file eseguibile per avviare il processo di installazione. Ti verrà richiesto di accettare la licenza e quali componenti si desidera installare. Basta seguire le istruzioni fino alla finestra agente OSSEC Manager.

La finestra di agente OSSEC manager vi chiederà l'indirizzo IP del server OSSEC. Sarà anche richiederà il valore della chiave Blowfish da usare, in modo da estrarre la chiave appropriata sul server e inserire il valore in questo campo. Assicurati di cancellare il messaggio in questo campo prima di incollare nella chiave Blowfish. In caso contrario, la comunicazione con il server potrebbe non riuscire.

Avanti, selezionare "Gestione" dal menu OSSEC Manager Agent, seguita da "Start OSSEC". Ora dovreste vedere il "Stato:" cambiare l'indicatore di "Running ...".

Test OSSEC

Una volta che avete il server e il software agente installato, avviato e configurato i tasti appropriati, è giunto il momento di controllare la nostra impostazione. Eseguire il seguente comando sul server OSSEC:

cd / var / OSSEC / logs

Ed estrarre il file ossec.log:

meno ossec.log

Controllare il file di log per eventuali errori. Un errore comune è che i rapporti OSSEC non è possibile inviare e-mail. Assicurarsi che il server di posta sia in esecuzione e che si tratta di accettare connessioni. Una volta soddisfatti con la configurazione del server, è giunto il momento di controllare gli agenti. Spostare verso il basso nella directory "segnalazioni":

cd avvisi

Ed estrarre il file alerts.log:

meno alerts.log

In particolare, siete alla ricerca di voci simile al seguente:

2010 17 febbraio 16:09:16 (desktop) 192.168.1.10-> OSSEC

Regola: 501 (livello 3) -> 'Nuovo agente OSSEC collegati.'

Src IP: (nessuno)

Utente: (nessuno)

OSSEC: Agente iniziare: 'test_system-> 192.168.1.10'.

Si dovrebbe vedere una voce per ogni sistema su cui è installato il software agente.

Più a venire

Caspita! Che è più che sufficiente per un post! Nel mio prossimo post farò entrare sfruttando Logwatch per analizzare tutte le informazioni di allarme generato da OSSEC.

Related posts:

  1. Combinando Logwatch e OSSEC - Parte 2
  2. Combinando Logwatch e OSSEC - Parte 4
  3. Combinando Logwatch e OSSEC
  4. Tshark Decodifica sfida

Pubblicato in 3-err , Logging

È possibile seguire tutte le risposte a questo articolo tramite il feed RSS 2.0 . Potete lasciare una risposta , oppure trackback dal tuo sito.

Pubblicità

Lascia un commento