De combinatie van logwatch en OSSEC - Deel 3

17 februari 2010 door Chris Verlaat een antwoord »

In mijn laatste twee posten besprak ik logwatch en OSSEC, en hoe ze kunnen benutten om uw veiligheid te vergroten zijn houding. In deze aflevering bespreek ik hoe beide van deze tools te installeren.

Het installeren van logwatch

Logwatch is vrij eenvoudig te installeren. In feite is het standaard geïnstalleerd op een groot aantal Linux-distributies, zodat je misschien al een kopie op uw systeem. Om te controleren, moet u inloggen als root en probeer logwatch met de "-v" schakelaar. Als u ziet:

[Root @ Fubar logwatch] # logwatch-v

Logwatch 7.3.6 (uitgebracht 05/19/07)

Logwatch is geïnstalleerd en je hebt een kopie van de laatste versie. Als u niet beschikt over de nieuwste versie, kunt u het grijpen van de logwatch download pagina .

Er zijn drie smaken logwatch die kunnen worden gedownload; Binaries in RPM-formaat, bron in de RPM-formaat, of bron in een Tar bal. Als uw systeem ondersteunt RPM package management, de binaire RPM is uw beste keuze. Het is eenvoudig te installeren en RPM zal automatisch updaten van de software als er nieuwe versies beschikbaar zijn.

Het installeren van logwatch Van RPM

Voor het installeren van de binaire versie van de RPM, gewoon inloggen als root en ga naar de map waar u het gedownloade RPM-bestand. Voer nu het commando:

rpm-U logwatch-7.3.6-1.noarch.rpm

Vergeet niet dat je kan de TAB-toets te gebruiken om automatisch aan te vullen de bestandsnaam in plaats van te typen in het hele ding.

Het installeren van logwatch van de Bron

Het installeren van de broncode is een beetje meer tijd in beslag. Vergeet niet dat, om de broncode te installeren moet je al een compiler (zoals gcc) op uw systeem geïnstalleerd te hebben. Aanmelden als root en ga naar de map waar u het gedownloade Tar bal. Voor het extraheren van het archief, het commando:

tar xvzf logwatch-7.3.6.tar.gz

U ziet een directory-structuur onder de huidige locatie worden aangemaakt en veel bestanden worden gekopieerd inch We moeten nu verhuizen naar de hoofddirectory dat is gemaakt:

cd logwatch-7.3.6

Om logwatch uit te voeren, zijn er een heleboel mappen die moeten worden gemaakt op uw systeem. Deze zijn gedocumenteerd in de README in de huidige directory. Gelukkig, logwatch bevat een install script dat al het werk voor u kan doen. Helaas, het script heeft de verkeerde rechten zo ingesteld dat deze niet standaard uitgevoerd. Dit is vrij makkelijk om maar vast met het chmod commando:

chmod 500 install_logwatch.sh

Nu kunnen we het script uitvoeren om ons systeem setup:

. / Install_logwatch.sh

Vergeet niet de periode aan het begin van de regel.

Testen logwatch

Voor het testen van uw logwatch setup, het commando:

logwatch | less

U ziet uw terminal scherm leeg te gaan, maar dat is normaal. Je zult uiteindelijk zien een logwatch rapport te krijgen naar het scherm dat je kunt navigeren door het gebruik van de "Page Up" en "Page Down" toetsen. Hoe log het duurt voor het rapport te laten zien op het scherm is afhankelijk van hoe veel log-informatie nodig heeft om verwerkt. Het kan een paar seconden of een paar minuten. Hoe dan ook, het geeft je een kans om vertrouwd te raken met het rapport-formaat.

Het installeren van OSSEC

Zoals ik in mijn laatste post, heb je twee installatie-opties met OSSEC, lokale of client / server. In deze post ga ik focussen op de client / server setup, want het is een beetje ingewikkelder. Als u het uitvoeren van een lokaal te installeren, selecteert u de "lokale" optie tijdens het installatieproces en sla het gedeelte over het opzetten van een beveiligd kanaal tussen de agent en de server.

Begin met de server

OSSEC maakt gebruik van Blowfish-encryptie om de communicatie veilig tussen de client en de server. Blowfish is symmetrische sleutel gebaseerd, zodat aan beide zijden moet weten wat de belangrijkste waarde om te gebruiken om te communiceren. De server is verantwoordelijk voor het genereren van de symmetrische sleutel, dus we moeten de server software eerst installeren. Tijdens de client te installeren zullen wij gevraagd worden om een ​​belangrijke waarde zo duidelijk we zullen moeten die handig hebben van tevoren.

Hier is een tijdsbesparende tip. De sleutel waarde is lang en bijna onmogelijk om te onthouden. De eenvoudigste manier om de belangrijkste waarde te verplaatsen van de server-systeem aan de agent-systeem is het gebruik van SSH. Maak een veilige verbinding met de server OSSEC, en haal de juiste toets (aanwijzingen hieronder). In een tweede terminal venster, maak een SSH-sessie aan het systeem waar u de installatie van de agent. Wanneer de client te installeren die u vraagt ​​om de sleutel waarde, kun je gewoon copy / paste tussen de twee terminals.

Het installeren van de OSSEC Server

De server software is beschikbaar als een Tar bal, dus je kunt een exemplaar van de laatste versie te pakken vanaf de OSSEC download pagina . U moet dan om de inhoud van de Tar bal uit te pakken:

tar xvzf ossec-HIDS-2.3.tar.gz

Vervolgens verplaatsen naar de directory-structuur die u zojuist hebt gemaakt:

cd ossec-HIDS-2.3

OSSEC biedt een install script die u stapsgewijs door het proces van het installeren van de server. Het script, type start:

. / Install.sh

Vergeet niet de periode aan het begin van de opdracht. U wordt nu gevraagd door een aantal installatie opties:

  • Taal - De standaard is Engels. Veranderen als dat nodig is.
  • Bevestiging van de installatie - Druk op Enter als je eenmaal hebt gelezen op het scherm.
  • Installeer type - Type in "server" zonder de aanhalingstekens en druk op Enter.
  • Installeer locatie - Accepteer de standaard.
  • E-mail - standaard is ja, selecteren als u wilt e-mail alerts. Als u Ja selecteert, wordt u gevraagd om een ​​geldig e-mail adres en e-mail server.
  • Integriteitscontrole - Standaard is ja. Selecteer deze optie als u wilt dat het lokale systeem periodiek gecontroleerd op indringers.
  • Root kit detectie - Standaard is ja. Goede optie, aangezien we nodig hebben om een ​​hoog niveau van integriteit te behouden op dit systeem.
  • Actieve reactie - Standaard is ja. Selecteer deze optie als u wenst om te kunnen reageren op gebeurtenissen.
  • Firewall neerzetten - Vergunningen de OSSEC server te verdedigen zichzelf als een directe aanval wordt gedetecteerd.
  • Witte lijst - Dit zal u toelaten om IP-adressen van waaruit mogelijke aanvallen worden genegeerd toe te voegen. Wees voorzichtig met deze optie. Als je geen console toegang tot de OSSEC server, is het misschien verstandig om een ​​IP-adres dat altijd kan krijgen inch Gewoon zorgen voor de bron-IP is een betrouwbaar systeem te identificeren.
  • Enable Syslog - Standaard is ja. Selecteer deze optie als u wilt logs van systeem dat niet kan draaien een OSSEC agent (zoals firewalls, switches, routers, access points, etc.) te verzamelen.
  • Log files worden gecontroleerd - In dit scherm identificeert alle van de lokale logbestanden OSSEC monitor. Het is puur informatie, zodat alles wat je kunt doen is druk op Enter om over heen te stappen. Als u merkt dat een of meerdere log files ontbreken in de lijst, kunt u later toevoegen aan de ossec.conf bestand.

Op dit punt OSSEC zal de toegang van de lokale compiler en installeer alle benodigde bestanden naar het systeem. Eenmaal voltooid, kunt u de OSSEC server starten door het uitvoeren van het commando:

/ Var / ossec / bin / ossec-control start

Het definiëren van OSSEC Agents

We zijn nog niet klaar met de OSSEC server gewoon nog niet. Vervolgens moeten we vooraf bepalen alle systemen die zullen worden uitgevoerd de OSSEC agent (client) software. Dit is uitgevoerd met behulp van de manage_agents commando. Eerst echter moeten we een beetje huiswerk te maken. Maak een lijst van alle systemen die worden uitgevoerd de OSSEC agent software. Voor elk systeem, hebt u een beschrijvende naam als dat systeem het IP-adres.

Nu, voert u de volgende vanaf de opdrachtregel:

/ Var / ossec / bin / manage_agents

Dit zal de Agent Manager hoofdmenu. Druk op "A", gevolgd door de Enter-toets om uw eerste systeem te definiëren. Voer een beschrijvende naam voor het eerste systeem, gevolgd door het IP adres van het systeem. Maak je geen zorgen over de agent-ID-nummer. Gewoon accepteren de standaard en OSSEC zal automatisch toekennen van de volgende beschikbare ID-nummer. Zodra u de informatie die u hebt ingevoerd te bevestigen, keert u terug naar de Agent Manager hoofdmenu. Herhaal het bovenstaande proces voor elk systeem dat wordt het runnen van een OSSEC agent.

Het genereren van sleutels

Zodra u hebt toegevoegd in al uw systemen, is het tijd om encryptiesleutels te genereren. Deze stap is ook uitgevoerd met de manage_agents utility. Als u sloot het gereedschap na de laatste stap gemaakt, nu herstart het.

Druk op de "E" toets gevolgd door Enter om de "Extract toets voor een agent" te kiezen menu-optie. U wordt dan gevraagd naar het ID-nummer van de toets die u wenst te halen. De beschrijvende namen en IP-adressen worden vermeld met elk ID-nummer, dus het moet triviaal om te bepalen welke u wilt. Begin met het systeem dat u van plan om de agent software te installeren op de eerste plaats.

OSSEC Agent op Linux te installeren

Bij het installeren van de agent software op een Linux-of UNIX-client, gebruikt u exact dezelfde Tar bal hebben we gebruikt om de server software te installeren. Rijden op de zelfde installatie script, maar deze keer wanneer u wordt gevraagd voor het type installatie u wilt uitvoeren, type in "agent", gevolgd door de Enter-toets.

De client te installeren heeft veel van dezelfde aanwijzingen als de server te installeren. Gebruik maken van de info hierboven om u te begeleiden door het proces. De vraag die echter zal variëren is dat u wordt gevraagd om het IP-adres van de OSSEC server. Eenmaal voltooid, zal OSSEC toegang tot de lokale compiler en installeert alle benodigde bestanden naar het systeem.

Vervolgens moeten we de Blowfish sleutel te importeren uit de OSSEC server. Hoewel nog steeds over de agent-systeem, het volgende commando:

/ Var / ossec / bin / manage_agents

Toen de agent Manager menu verschijnt, selecteer "ik" aan de Blowfish sleutel te importeren.

Wanneer het volgende bericht verschijnt, moet u handmatig de juiste sleutel Blowfish. Nogmaals, als u SSH rennen om beide systemen op hetzelfde moment, kun je gewoon copy / paste tussen de twee terminals. Zorg ervoor dat de sleutel juiste looks, drukt u op de Enter-toets, en kies vervolgens "y" om te bevestigen dat de sleutel juiste looks. Keert u terug naar de Agent Manager menu. Selecteer "q" om terug te keren naar de opdrachtregel.

Nu hebben we gewoon nodig om de OSSEC-agent te starten. U kunt dit doen door het volgende commando:

/ Var / ossec / bin / ossec-control start

Je moet alle van de OSSEC middel onderdelen starten, gevolgd door een bericht 'Completed'.

OSSEC Agent installeren op Windows

OSSEC is een zelfuitpakkend uitvoerbaar, dat zal u toelaten om de agent software te installeren op een Windows-systeem. Gewoon dubbelklikken op het uitvoerbare bestand om de installatie te starten. U wordt gevraagd in te stemmen met de licentie en welke onderdelen u wilt installeren. Volg gewoon de aanwijzingen tot aan de OSSEC Agent Manager venster.

De OSSEC Agent Manager venster vraagt ​​u om het IP-adres van de OSSEC server. Het zal u ook vragen om de sleutel Blowfish waarde te gebruiken, dus haalt de juiste toets op de server en voer de waarde in dit veld. Zorg ervoor dat u wordt gevraagd te wissen binnen dit veld voordat je plakken in de Blowfish sleutel. Anders communicatie met de server kan mislukken.

Selecteer vervolgens "Beheren" van de OSSEC Agent Manager menu, gevolgd door "Start OSSEC". U ziet nu de "Status:" indicator te veranderen in "Running ...".

Testen OSSEC

Zodra u de server en agent-software geïnstalleerd, gestart en de geconfigureerde betreffende toetsen, is het nu tijd om onze installatie te controleren. Voer de volgende opdracht op de OSSEC server:

cd / var / ossec / logs

En bekijk het ossec.log bestand:

minder ossec.log

Controleer het logbestand voor eventuele fouten. Een veel voorkomende fout is dat OSSEC rapporten die het niet kunnen e-mail. Zorg ervoor dat de mail server wordt uitgevoerd en dat het accepteren van verbindingen. Als u tevreden bent met de server setup, is het nu tijd om te controleren of de agenten. Naar beneden naar de "waarschuwingen" directory:

cd waarschuwingen

En bekijk het alerts.log bestand:

minder alerts.log

In het bijzonder, bent u op zoek naar inzendingen lijkt op het volgende:

17 februari 2010 16:09:16 (desktop) 192.168.1.10-> ossec

Regel: 501 (niveau 3) -> 'Nieuwe ossec-agent is aangesloten. "

Src IP: (geen)

Gebruiker: (geen)

ossec: Agent gestart: 'test_system-> 192.168.1.10 ".

U ziet een vermelding voor elk systeem waarop u de installatie van de agent software.

Meer To Come

Whew! Dat is meer dan genoeg voor een post! In mijn volgende post zal ik krijgen in gebruik te maken van logwatch aan alle van de signalering informatie wordt gegenereerd door OSSEC ontleden.

Gerelateerde berichten:

  1. De combinatie van logwatch en OSSEC - Deel 2
  2. De combinatie van logwatch en OSSEC - Deel 4
  3. De combinatie van logwatch en OSSEC
  4. Tshark Decode Challenge

Geplaatst in drie-err , Logging

Je kunt alle reacties op dit bericht volgen via de RSS 2.0 feed . U kunt een reactie achterlaten , of een trackback vanaf je eigen site.

Advertentie

Laat een reactie achter