パート3 - LogwatchはとOSSECを組み合わせる

クリス2010年2月17日には、 応答を残しなさい»

私の最後の二つの投稿で私は、彼らがあなたのセキュリティ態勢を強化するために活用するにはどうすればよいだけでなく、LogwatchはとOSSECを議論した。 この連載では、私はこれらのツールの両方をインストールする方法について説明します。

Logwatchはをインストールする

logwatchのインストールはとても簡単です。 実際に、それは既にあなたのシステム上にコピーを持つこともできるので、多くのLinuxディストリビューションにデフォルトでインストールされています。 、確認するrootとしてログオンし、 "-v"をスイッチでLogwatchはを実行してみてください。 あなたは表示された場合:

[ルート@めちゃくちゃlogwatchの]#logwatchの-V

logwatchの7.3.6(05/19/07リリース)

logwatchのは、インストールされており、最新バージョンのコピーを持っています。 最新バージョンをお持ちでいない場合は、あなたからそれをつかむことができるLogwatchはダウンロードページ

ダウンロードすることができますLogwatchは三種類があり、RPM形式のバイナリ、RPM形式、またはtarボールのソースのソース。 お使いのシステムは、RPMパッケージ管理をサポートしている場合は、バイナリRPMはあなたの最もよい選択である。 それはインストールするのは簡単であり、新しいバージョンが利用可能になったときRPMはソフトウェアを自動的に更新されます。

RPMからのLogwatchはをインストールする

RPMのバイナリ版をインストールするには、単にrootとしてログオンして、RPMファイルをダウンロードしたディレクトリに移動します。 現在のコマンドを実行します。

は、rpm-U-logwatchの7.3.6-1.noarch.rpm

あなたが全部を入力するのではなく、ファイル名を自動完了するためにTabキーを使用することができます忘れないでください。

ソースからのインストールLogwatchは

ソースからインストールする場合はもう少し時間がかかります。 ソースコードをインストールするためには、すでにシステムにインストールされているコンパイラ(gccのような)が必要であることを忘れないでください。 rootとしてログオンして、tarボールをダウンロードしたディレクトリに移動します。 アーカイブを解凍するには、次のコマンドを実行します。

タールxvzf logwatchの-7.3.6.tar.gz

あなたの現在の位置の下のディレクトリ構造が作成されると我々は現在、作成された最上位のディレクトリに移動する必要がありますインチたくさんのファイルがコピーされて表示されます。

CD-logwatchの7.3.6

実行するには、Logwatchはためには、システム上に作成する必要があるディレクトリの束があります。 これらは現在のディレクトリ内のREADMEに記載されています。 幸いなことに、Logwatchはあなたのためにすべての作業を行うことができ、インストールスクリプトが含まれています。 残念ながら、スクリプトはデフォルトで実行されないように設定し間違った権限を持っています。 これは、chmodコマンドを使用して、しかし、修正するのは非常に簡単です。

chmodの500 install_logwatch.sh

今、我々はシステムをセットアップするためにスクリプトを実行することができます。

。/ install_logwatch.sh

行の先頭にピリオドを忘れないでください。

テストLogwatchは

あなたのLogwatchはセットアップをテストするには、次のコマンドを実行します。

logwatchの|未満

あなたの端末の画面が空白表示されますが、それは正常です。 あなたが最終的には "ページアップ"とキー "Page Downキー"を使用してナビゲートすることができる画面に表示さLogwatchはレポートが表示されます。 どのようにレポートには、ログ情報が解析さする必要がありますどのくらいに依存します画面に表示されるまでにかかるログオンします。 それは数秒または数分かかることがあります。 いずれにせよ、それはあなたのレポート形式に慣れるための機会を提供します。

OSSECのインストール

私は私の最後のポストで述べたように、あなたはOSSECは、ローカルまたはクライアント/サーバーの2つのインストールオプションがあります。 この記事では私はそれは少し複雑であるように、クライアント/サーバのセットアップに集中するつもりです。 あなたは、ローカルインストールを実行する場合、単にインストールプロセス中に "ローカル"オプションを選択し、エージェントとサーバ間のセキュアなチャネルを設定する方法のセクションをスキップしてください。

Serverを使用開始

OSSECは、クライアントとサーバー間の通信を保護するBlowfish暗号化を使用しています。 Blowfishは基づいて対称鍵であるため、双方が通信するために使用するためにどのようなキー値を知る必要があります。 サーバが対称鍵を生成するための責任があるので、我々は最初のサーバーソフトウェアをインストールする必要があります。 クライアントは、我々はキー値を求めるプロンプトが表示されますので、インストール時に明らかに我々は、前もってその便利されている必要があります。

ここでは、先端を保存する時間です。 キー値が長いと覚えていることはほぼ不可能です。 エージェントシステムへのサーバシステムからキー値を移動する最も簡単な方法は、SSHを使用することです。 OSSECサーバへのセキュアな接続を作成し、適切なキー(方向は以下に示す)を解凍します。 第2の端末ウィンドウで、エージェントをインストールするシステムへのSSHセッションを作成します。 クライアントのインストールがキー値の入力を求められたら、あなたは、単にコピー/ 2端子間に貼り付けることができます。

OSSEC Serverをインストールする

サーバソフトウェアはtarボールとして使用可能ですので、あなたから最新バージョンのコピーをつかむことができますOSSECのダウンロードページ 次に、tarボールの内容を抽出する必要があります。

タールxvzf OSSEC-HIDS-2.3.tar.gz

次に、先ほど作成したディレクトリ構造に移動します。

CD-OSSEC HIDS-2.3

OSSECは、サーバのインストールプロセスを歩いて、インストールスクリプトを提供しています。 スクリプトを起動するには、次のように入力します

。/ install.sh

コマンドの先頭にピリオドを忘れないでください。 あなたは現在のインストールオプションの数を介してメッセージが表示されます。

  • 言語 - デフォルトは英語です。 必要に応じて変更します。
  • インストールの確認 - あなたは画面を読んだ後にEnterキーを押します。
  • 引用符なしで "サーバ"を入力し、Enterキーを押します - タイプをインストールします。
  • インストール場所 - デフォルトを受け入れます。
  • 電子メール通知 - デフォルトはyesですあなたは電子メール警告をしたい場合は、選択します。 [はい]を選択すると、あなたは有効な電子メールアドレスとメールサーバーの入力を求められます。
  • 整合性チェック - デフォルトはyesです。 あなたが定期的に侵入をチェックし、ローカル·システムが必要な場合に選択します。
  • ルートキットの検出 - デフォルトはyesです。 我々はこのシステム上で整合性の高いレベルを維持する必要がありますので、良いオプションを選択します。
  • アクティブレスポンス - デフォルトはyesです。 あなたがイベントに応答できるようにする場合は、このオプションを選択します。
  • ファイアウォールドロップは - 直接攻撃が検出された場合に自己を守るためにOSSECサーバを許可します。
  • ホワイトリスト - これは、攻撃の可能性は無視され、そこからIPアドレスを追加することを許可します。 このオプションは注意してください。 あなたはOSSECサーバへのコンソールアクセスを持っていない場合は、それは常にインチ得るだけで、ソースIPが信頼できるシステムであることを確認できます。つのIPアドレスを識別するのが賢明かもしれません。
  • Syslogを有効にする - デフォルトはyesです。 あなたは(ファイアウォール、スイッチ、ルータ、アクセスポイントなど)をOSSECエージェントを実行することはできません。システムからログを収集する場合は、このオプションを選択します。
  • ファイルが監視するログ - この画面では、OSSECが監視するローカル·ログ·ファイルのすべてを識別します。 それは純粋に情報があるので、あなたがすることができるすべては、それを越えて移動するには、Enterキーを押します。 あなたがリストから抜けている1つ以上のログファイルに気付いた場合は、ossec.confファイルにそれらを後で追加することができます。

この時点で、OSSECは、ローカルコンパイラをアクセスするとシステムに必要なすべてのファイルをインストールします。 完了したら、次のコマンドを実行することにより、OSSECサーバを起動することができます。

は/ var / OSSEC / binに/ OSSEC制御を開始

OSSECエージェントを定義する

我々はまだOSSECサーバで行われていません。 次に、我々はOSSECエージェント(クライアント)ソフトウェアを実行するすべてのシステムを事前定義する必要があります。 これはmanage_agentsコマンドを使用して実行されます。 最初しかしながら、私たちは、宿題のビットを行う必要があります。 OSSECエージェントソフトウェアを実行するシステムのすべてのリストを作成します。 各システムについては、説明的な名前だけでなく、そのシステムのIPアドレスが必要になります。

現在、コマンドラインから次のコマンドを実行します。

は/ var / OSSEC / binに/ manage_agents

これは、エージェントマネージャのメインメニューを生成します。 最初のシステムを定義するには、Enterキーを押し、続いて ""を押します。 最初のシステムの記述名を入力し、システムのIPアドレスを入力します。 エージェントのID番号を心配しないでください。 単にデフォルトを受け入れ、OSSECは、次に利用可能なID番号を自動的に割り当てられます。 あなたが入力した情報を確認したら、は、エージェント·マネージャのメインメニューに戻ります。 OSSECエージェントを実行するシステムごとに上記のプロセスを繰り返します。

キーの生成

あなたはすべてのシステムに追加した後は、暗号化キーを生成する時間です。 この手順は、manage_agentsユーティリティで実行されます。 あなたは最後のステップの後にツールを閉じている場合、それを今再起動します。

メニューオプションの "エージェントの抽出キー"を選択して入力し、続いて "E"キーを押します。 あなたはその後、抽出したいキーのID番号の入力を求められます。 説明的な名前とIPアドレスは、それがしたいどれを識別するのは簡単でなければなりませんので、それぞれのID番号が記載されています。 あなたが最初にエージェントソフトウェアをインストールする予定のシステムで開始します。

Linux上でOSSECエージェントをインストール

LinuxまたはUNIXクライアント上のエージェントソフトウェアをインストールするときは、我々はサーバーソフトウェアをインストールするために使用される、まったく同じtarボールを使用しています。 同じインストール·スクリプトが、あなたが実行したいインストールのタイプを求めるプロンプトが表示され、この時間を実行すると、 "エージェント"を入力してEnterキーを押します。

クライアントのインストールは、サーバインストールと同じ多くのプロンプトが表示されています。 プロセスを導くために上記の情報を使用しています。 しかし異なりますプロンプトはあなたがOSSECサーバのIPアドレスを提供するように要求されるということです。 完了したら、OSSECは、ローカルコンパイラをアクセスし、システムに必要なすべてのファイルをインストールします。

次に我々はOSSECサーバからBlowfishキーをインポートする必要があります。 まだエージェントシステム上の間に、次のコマンドを実行します。

は/ var / OSSEC / binに/ manage_agents

エージェントマネージャのメニューが表示されたら、Blowfishキーをインポートするには "I"を選択します。

次のプロンプトが表示されたら、手動で適切なBlowfishキーを入力する必要があります。 あなたは同時に両方のシステムにSSHを実行している場合、もう一度、あなたは単にコピー/ 2端子間に貼り付けることができます。 キーが正しいように見えていることを確認し、Enterキーを押し、 "y"のキーが正しく見えることを確認する]を選択します。 あなたは、Agent Managerのメニューに戻ります。 コマンドラインに戻るために "q"を選択します。

今、私たちは単にOSSECエージェントを起動する必要があります。 次のコマンドを実行して行うことができます:

は/ var / OSSEC / binに/ OSSEC制御を開始

あなたは、 "完了"メッセージに続いて、OSSECエージェントのすべてのコンポーネントが起動するはずです。

Windows上でOSSECエージェントをインストール

OSSECは、Windowsシステム上でエージェントソフトウェアをインストールすることを許可します。自己解凍型の実行可能ファイルを持っています。 単に二重インストールプロセスを開始する実行可能ファイル]をクリックします。 あなたは同様にインストールしたいコンポーネントとしてライセンスに同意するよう求められます。 単にOSSECエージェントマネージャのウィンドウが表示されるまで指示に従ってください。

OSSECエージェントマネージャ]ウィンドウには、OSSECサーバのIPアドレスの入力を求められます。 Blowfishキーの値が使用するそれはまた、プロンプトが表示されますので、サーバー上の適切なキーを抽出し、このフィールドに値を入力します。 あなたはBlowfishキーでペーストする前に、このフィールド内のプロンプトを削除してください。 そうでなければサーバとの通信が失敗することがあります。

次に、 "スタートOSSEC"に続いて、OSSECエージェントマネージャのメニューから "管理"を選択します。 の指標の変化 "実行..."あなたは今、 "ステータス"を参照してくださいする必要があります。

テストOSSEC

一度、サーバーとエージェントソフトウェアがインストールされて開始され、適切なキーが設定され、それは我々のセットアップを確認するには今の時間です。 OSSECサーバ上で次のコマンドを実行します。

CDの/ var / OSSEC /ログ

とossec.logファイルをチェックアウトします。

以下ossec.log

すべてのエラーのログファイルを確認してください。 一般的なエラーは、OSSECのレポートは、それが電子メールを送信することができないということです。 メールサーバーが実行されており、それが接続を受け入れていることを確認します。 あなたはサーバーのセットアップに満足したら、それは現在のエージェントをチェックアウトする時間です。 "アラート"ディレクトリに下に移動します。

CDのアラート

とalerts.logファイルをチェックアウトします。

以下alerts.log

具体的には、次のようなエントリを探しています。

2010年2月17日午前16時09分16秒(デスクトップ)192.168.1.10 - > OSSEC

ルール:501(レベル3) - > '新しいOSSECエージェントが接続されています。 "

のSrc IP:(なし)

ユーザー:(なし)

OSSEC:エージェントが開始: 'test_system-> 192.168.1.10'。

あなたはエージェントソフトウェアをインストールしたすべてのシステムのエントリが表示されます。

来る多く

やれやれ! これはつのポストのための十分以上だ! 私の次のポストで、私はOSSECによって生成されるアラート情報のすべてを解析するLogwatchはを活用して入るでしょう。

関連記事:

  1. パート2 - LogwatchはとOSSECを組み合わせる
  2. パート4 - LogwatchはとOSSECを組み合わせる
  3. LogwatchはとOSSEC組み合わせ
  4. セキュリティ情報管理システム-第6部の設定

で掲示される3-ERRロギング

あなたはを通してこの記入項目への応答に従うことができますRSS 2.0フィード 次のことができます応答残す 、またはトラックバックをあなた自身のサ ​​イトから。

広告

応答を残しなさい