I mine to siste innlegg drøftet jeg Logwatch og OSSEC, samt hvordan de kan utnytte for å forsterke sikkerheten holdning. I denne utgaven vil jeg diskutere hvordan å installere begge disse verktøyene.
Installere Logwatch
Logwatch er ganske enkel å installere. Faktisk er det installert som standard på mange Linux-distribusjoner, så du kanskje allerede har en kopi på systemet ditt. For å sjekke, pålogging som root og prøve å kjøre Logwatch med "-v"-bryteren. Hvis du ser:
[Root @ Fubar logwatch] # logwatch-v
Logwatch 7.3.6 (utgitt 05/19/07)
Logwatch er installert og du har en kopi av den nyeste versjonen. Hvis du ikke har den nyeste versjonen, kan du hente det fra Logwatch nedlastingssiden .
Det er tre varianter av Logwatch som kan lastes ned; Binærfiler i RPM-format, kilden i RPM-format, eller kilde i en Tar ball. Hvis systemet støtter RPM pakke administrasjon er binær RPM beste valget. Den er enkel å installere og RPM vil automatisk oppdatere programvaren når nye versjoner er tilgjengelige.
Installasjon Logwatch Fra RPM
For å installere den binære versjonen av RPM, bare pålogging som root og naviger til katalogen der du lastet ned RPM filen. Nå utføre kommandoen:
rpm-U logwatch-7.3.6-1.noarch.rpm
Ikke glem at du kan bruke tabulatortasten for å auto-fullføre filnavnet i stedet for å skrive i det hele.
Installere Logwatch fra kilde
Installere fra source er litt mer tidkrevende. Husk at for å installere kildekoden må du allerede ha en kompilator (som gcc) installert på systemet ditt. Pålogging som root og naviger til katalogen der du lastet ned Tar ballen. Å pakke ut arkivet, utføre kommandoen:
tjære xvzf logwatch-7.3.6.tar.gz
Du vil se en katalogstruktur under din nåværende posisjon bli opprettet og massevis av filer blir kopiert i. Vi trenger nå å flytte inn i den øverste katalogen som ble laget:
cd logwatch-7.3.6
For Logwatch å kjøre, er det en haug med kataloger som må opprettes på systemet ditt. Disse er dokumentert i README i gjeldende katalog. Heldigvis inkluderer Logwatch en installere skript som kan gjøre alt arbeidet for deg. Dessverre har skriptet feil tillatelsene satt slik at den ikke vil kjøre som standard. Dette er ganske enkelt å fikse men med chmod kommandoen:
chmod 500 install_logwatch.sh
Nå kan vi kjøre skriptet for å sette systemet vårt:
. / Install_logwatch.sh
Ikke glem perioden på begynnelsen av linjen.
Testing Logwatch
Å teste Logwatch oppsettet, utføre kommandoen:
logwatch | less
Du vil se din terminal skjermen blankes, men det er normalt. Du vil etter hvert se en Logwatch rapport blir skrevet til skjermen som du kan navigere gjennom å bruke "Page Up" og "Page Down"-tastene. Hvordan logger det tar for rapporten å dukke opp på skjermen vil avhenge av hvor mye loggopplysninger trenger å få analysert. Det kan ta noen sekunder eller et par minutter. Uansett vil det gi deg en sjanse til å gjøre deg kjent med rapporten format.
Installere OSSEC
Som jeg nevnte i mitt forrige innlegg, har du to monteringsmuligheter med OSSEC, lokale eller klient / server. I dette innlegget skal jeg fokusere på klient / tjener-oppsett, da det er litt mer kompleks. Hvis du utfører en lokal installasjon, velger du bare den "lokale" alternativet under installeringsprosessen og hoppe i avsnittet om å sette opp en sikker kanal mellom agenten og serveren.
Begynn med serveren
OSSEC bruker Blowfish kryptering for å sikre kommunikasjonen mellom klienten og serveren. Blowfish er symmetrisk nøkkel basert, slik at begge parter må vite hva nøkkelen verdi som skal brukes for å kommunisere. Serveren er ansvarlig for å generere symmetriske nøkkelen, så vi må installere serverprogramvaren først. Under kunden installerer vi vil bli bedt om en nøkkel verdi så åpenbart vi trenger å ha det hendig forut for sin tid.
Her er en tidsbesparende tips. Nøkkelen Verdien er lang og nesten umulig å huske. Den enkleste måten å flytte nøkkelen verdien fra serveren systemet til agenten systemet er å bruke SSH. Opprett en sikker tilkobling til OSSEC server, og pakke den aktuelle tasten (instruksjonene nedenfor). I en annen terminal vindu, opprette en SSH sesjon til systemet hvor du skal installere agenten. Når klienten installerer ber deg om de viktigste verdi, kan du bare kopiere / lime mellom de to terminalene.
Installere OSSEC Server
Serverprogramvaren er tilgjengelig som en Tar ball, slik at du kan ta en kopi av den nyeste versjonen fra OSSEC nedlastingssiden . Du vil da trenge å pakke ut innholdet i Tar ballen:
tjære xvzf ossec-hids-2.3.tar.gz
Deretter flytter inn katalogstrukturen du nettopp laget:
cd ossec-hids-2.3
OSSEC gir en installere skript for å lede deg gjennom prosessen med å installere serveren. For å starte skriptet, type:
. / Install.sh
Ikke glem perioden på begynnelsen av kommandoen. Du vil nå bli bedt om gjennom en rekke installere alternativer:
- Språk - Standard er engelsk. Endre etter behov.
- Bekreftelse på installasjon - Trykk Enter når du har lest skjermen.
- Installer type - Skriv inn "server" uten anførselstegn, og trykk Enter.
- Installer plassering - Godta standard.
- E-postvarsling - Standard er ja, velge om du vil at e-postvarsler. Hvis du velger Ja, vil du bli bedt om en gyldig e-postadresse og e-postserveren.
- Integritet sjekk - Standard er ja. Velg om du vil det lokale systemet jevnlig sjekket for inntrengere.
- Root kit brannvarslere - Standard er ja. Godt alternativ siden vi trenger for å opprettholde en høy grad av integritet på dette systemet.
- Aktiv respons - Standard er ja. Velg dette alternativet hvis du ønsker å være i stand til å reagere på hendelser.
- Brannmur drop - tillater OSSEC serveren for å forsvare seg selv hvis en direkte angrep blir oppdaget.
- Hvit liste - Dette vil tillate deg å legge IP-adresser som mulige angrep vil bli ignorert. Vær forsiktig med dette alternativet. Hvis du ikke vil ha konsollen tilgang til OSSEC server, kan det være lurt å identifisere én IP-adresse som kan alltid komme inn Akkurat sikre kilden IP er et troverdig system.
- Aktiver Syslog - Standard er ja. Velg dette alternativet hvis du ønsker å samle logger fra systemet som ikke kan kjøre en OSSEC agent (som brannmurer, svitsjer, rutere og aksesspunkter, etc.).
- Loggfiler som skal overvåkes - Dette skjermbildet identifiserer alle de lokale loggfiler OSSEC vil overvåke. Det er en ren informasjon, så alt du kan gjøre er å trykke Enter for å gå forbi den. Hvis du oppdager en eller flere loggfiler mangler i listen, kan du legge dem senere til ossec.conf fil.
På dette punktet OSSEC vil få tilgang til lokale kompilatoren og installere alle nødvendige filer inn i systemet. Når ferdig, kan du starte OSSEC server ved å kjøre kommandoen:
/ Var / ossec / bin / ossec-control start
Definere OSSEC Agenter
Vi er ikke ferdig med OSSEC server ennå. Deretter må vi pre-definere noen systemer som skal kjøre OSSEC agent (klient) programvare. Dette er utført ved hjelp av manage_agents kommandoen. Først trenger vi imidlertid å gjøre litt lekser. Lag en liste over alle de systemene som skal kjøre OSSEC agenten programvare. For hvert system, trenger du et beskrivende navn samt at systemets IP-adresse.
Nå utføre følgende fra kommandolinjen:
/ Var / ossec / bin / manage_agents
Dette vil produsere Agent manager hovedmenyen. Trykk på "A" etterfulgt av Enter-tasten for å definere ditt første system. Skriv inn et beskrivende navn for det første systemet, etterfulgt av systemets IP-adresse. Ikke bekymre deg agenten ID-nummer. Bare godta standard og OSSEC vil automatisk tildele neste tilgjengelige ID-nummer. Når du bekrefter den informasjonen du skrev, vil du bli returnert til Agent manager hovedmenyen. Gjenta prosessen over for hvert system som skal kjøre en OSSEC agent.
Generere Keys
Når du har lagt i alle systemer, er det på tide å generere krypteringsnøkler. Dette trinnet er også utført med manage_agents verktøyet. Hvis du lukket verktøyet etter siste trinnet, relanseringen det nå.
Trykk på "E" tasten etterfulgt av Enter for å velge "Pakk ut nøkkelen for en agent" menyvalget. Du vil da bli spurt om ID-nummeret på nøkkelen du ønsker å pakke. Den beskrivende navn og IP-adresser er oppført med hver ID-nummer, så det burde være trivielt å identifisere hvilken du vil. Start med det systemet du har tenkt å installere agenten programvaren på først.
OSSEC Agent Installasjon på Linux
Når du installerer agenten programvaren på en Linux eller UNIX klient, bruker du akkurat samme Tar ballen vi brukte til å installere serverprogramvaren. Kjør samme installere skriptet, men denne gangen når du blir bedt for den typen installerer du ønsker å utføre, skriv inn "agent" etterfulgt av Enter-tasten.
Klienten installere har mange av de samme instruksjonene som serveren installere. Bruk info ovenfor for å veilede deg gjennom prosessen. Meldingen som vil variere er imidlertid at du vil bli bedt om å oppgi IP-adressen til OSSEC serveren. Etter fullført, vil OSSEC tilgang til lokale kompilatoren og installere alle nødvendige filer inn i systemet.
Neste vi trenger å importere Blowfish nøkkelen fra OSSEC serveren. Mens han fortsatt på agenten systemet, kjører du kommandoen:
/ Var / ossec / bin / manage_agents
Når Agent Manager-menyen vises, velger du "jeg" for å importere Blowfish tasten.
Når den neste meldingen vises, må du manuelt skrive inn riktig Blowfish tasten. Igjen, hvis du kjører SSH til begge systemene samtidig, kan du bare kopiere / lime mellom de to terminalene. Kontroller at nøkkelen ser riktig, trykker på Enter-tasten, og velg deretter "y" for å bekrefte at nøkkelen ser riktig. Du vil bli returnert til Agent Manager-menyen. Velg "q" for å gå tilbake til kommandolinjen.
Nå skal vi bare trenger å starte OSSEC agent. Du kan gjøre dette ved å kjøre følgende kommando:
/ Var / ossec / bin / ossec-control start
Du skal se alle OSSEC agenten komponentene oppstart, etterfulgt av en "Completed"-melding.
OSSEC Agent installere på Windows
OSSEC har en selvutpakkende kjørbar som vil tillate deg å installere agenten programvare på en Windows system. Bare dobbeltklikk på den kjørbare å starte installasjonen prosessen. Du vil bli bedt om å godta lisensen samt hvilke komponenter du ønsker å installere. Bare følg instruksjonene till OSSEC Agent Manager-vinduet vises.
Den OSSEC Agent Manager vinduet vil spørre deg om IP-adressen til OSSEC serveren. Det vil også be deg om Blowfish nøkkelen verdi å bruke, så ut på den aktuelle tasten på serveren og skriv verdien i dette feltet. Pass på at du sletter blir bedt om innen dette feltet før du limer inn i Blowfish nøkkelen. Ellers kommunikasjon med serveren kan mislykkes.
Deretter velger du "Manage" fra OSSEC Agent Manager-menyen, etterfulgt av "Start OSSEC". Du skal nå se "Status:" indikatoren endres til "Running ...".
Testing OSSEC
Når du har server og agent-programvare installert, startet og de riktige nøklene konfigurert, er det nå på tide å sjekke vårt oppsett. Kjør følgende kommando på OSSEC serveren:
cd / var / ossec / logs
Og sjekk ut ossec.log filen:
mindre ossec.log
Sjekk loggfilen for eventuelle feil. En vanlig feil er at OSSEC rapporterer den ikke kan sende e-post. Kontroller at e-postserver er i gang og at det er å godta tilkoblinger. Når du er fornøyd med server oppsett, er det nå på tide å sjekke ut agenter. Flytt ned til "varsler" katalogen:
cd varsler
Og sjekk ut alerts.log filen:
mindre alerts.log
Spesielt leter du etter oppføringer ligner på følgende:
2010 17 februar 16:09:16 (desktop) 192.168.1.10-> ossec
Rule: 501 (nivå 3) -> "New ossec agenten tilkoblet."
Src IP: (ingen)
Bruker: (ingen)
ossec: Agent startet: 'test_system-> 192.168.1.10'.
Du burde se en oppføring for hvert system som du installerte agenten programvare.
Mer kommer
Puh! Det er mer enn nok for ett innlegg! I mitt neste innlegg vil jeg komme inn utnytte Logwatch å analysere all varsling informasjonen blir generert av OSSEC.
Relaterte innlegg:
