I mina två senaste inlägg Jag diskuterade logwatch och OSSEC, samt hur de kan utnyttja för att öka din säkerhet hållning. I den här delen ska jag diskutera hur man installerar båda dessa verktyg.
Installera logwatch
Logwatch är ganska lätt att installera. I själva verket är det installeras som standard på många Linux-distributioner så du kanske redan har en kopia på ditt system. För att kontrollera, logga in som root och försök köra logwatch med "-v" omkopplare. Om du ser:
[Root @ Fubar logwatch] # logwatch-v
Logwatch 7.3.6 (släppt 05/19/07)
Logwatch är installerat och du har en kopia av den senaste versionen. Om du inte har den senaste versionen kan du ta det från logwatch nedladdningssidan .
Det finns tre varianter av logwatch som kan laddas ner, Binaries i RPM-format, källa i RPM-format eller källa i ett Tar boll. Om systemet stöder RPM-paket förvaltning är den binära RPM ditt bästa val. Det är enkelt att installera och RPM kommer automatiskt att uppdatera programvaran när nya versioner finns tillgängliga.
Installera logwatch Från RPM
För att installera binära version av RPM, helt enkelt logga in som root och navigera till katalogen där du laddade ner RPM-filen. Nu kör kommandot:
rpm-U logwatch-7.3.6-1.noarch.rpm
Glöm inte att du kan använda tab-tangenten för att automatiskt fylla i filnamnet i stället för att skriva in det hela.
Installera logwatch Från Källa
Installera från källkod är lite mer tidskrävande. Kom ihåg att för att installera källkod du redan måste ha en kompilator (som GCC) installerat på ditt system. Logga in som root och navigera till den katalog där du hämtade Tar bollen. För att packa upp arkivet, utföra kommandot:
tar xvzf logwatch-7.3.6.tar.gz
Du kommer att se en katalogstruktur under den aktuella platsen får skapas och massor av filer som kopieras i. Vi måste nu flytta in i den översta katalogen som skapades:
CD logwatch-7.3.6
För logwatch att köra, det finns ett gäng kataloger som behöver skapas på ditt system. Dessa finns dokumenterade i README i den aktuella katalogen. Lyckligtvis finns logwatch en installation skript som kan göra hela jobbet för dig. Tyvärr har manuset fel behörigheter som så att den inte kommer att köras som standard. Det är ganska lätt att fixa dock med chmod kommandot:
chmod 500 install_logwatch.sh
Nu kan vi köra skriptet att installera vårt system:
. / Install_logwatch.sh
Glöm inte punkten i början av raden.
Testa logwatch
Så här testar du logwatch installationen köra kommandot:
logwatch | less
Du kommer att se din terminal skärmen bli tom, men det är normalt. Du kommer så småningom se en logwatch rapport får skrivas ut till skärmen som du kan navigera genom att använda "Page Up" och "Page Down" tangenterna. Hur loggar det tar för rapporten att visa upp på skärmen beror på hur mycket logginformation behöver få analyserad. Det kan ta några sekunder eller ett par minuter. Hursomhelst, kommer det att ge dig en chans att bekanta dig med rapporten formatet.
Installera OSSEC
Som jag nämnde i mitt förra inlägg, har du två alternativ med OSSEC, lokal eller klient / server. I detta inlägg kommer jag att fokusera på klient / server inställning, eftersom det är lite mer komplext. Om du utför en lokal installation, välj helt enkelt "lokala" alternativet under installationen och hoppa över avsnittet om att inrätta en säker kanal mellan agenten och servern.
Starta med servern
OSSEC använder Blowfish kryptering för säker kommunikation mellan klienten och servern. Blowfish är symmetrisk nyckel baserat, så båda sidorna måste veta vad nyckel värde som ska användas för att kommunicera. Servern är ansvarig för att generera en symmetrisk nyckel, så vi måste installera serverprogramvaran först. Under kunden installerar vi kommer att ange en nyckel värde så självklart måste vi ha det hands i förväg.
Här är en tidsbesparande tips. Det viktigaste värdet är lång och nästan omöjligt att komma ihåg. Det enklaste sättet att flytta nyckelvärdet från servern systemet till agenten systemet är att använda SSH. Skapa en säker anslutning till OSSEC servern, och extrahera på lämplig knapp (anvisningarna nedan). I ett andra terminalfönster, skapa en SSH-session till systemet där du kommer att installera agenten. När klienten installeras uppmanar dig nyckeln värde, kan du helt enkelt kopiera / klistra in mellan de två terminalerna.
Installera OSSEC Server
Serverprogramvaran finns som Tar bollen, så du kan ta en kopia av den senaste versionen från OSSEC nedladdningssidan . Du kommer att behöva för att extrahera innehållet i Tar bollen:
tar xvzf ossec-HUDAR-2.3.tar.gz
Därefter flyttar in i katalogstrukturen du just skapade:
CD ossec-HUDAR-2.3
OSSEC ger en installation skript för att gå igenom processen att installera servern. För att starta skriptet skriver du:
. / Install.sh
Glöm inte den period i början av kommandot. Du kommer nu att uppmanas genom ett antal installera alternativ:
- Språk - Standardinställningen är engelska. Ändra vid behov.
- Bekräftelse av installation - Tryck på Enter när du har läst på skärmen.
- Installera typ - Typ i "server" utan citattecken och tryck Enter.
- Installera plats - Acceptera standard.
- E-post mottagen - Standard är ja, välja om du vill e-post. Om du väljer Ja, kommer du att bli tillfrågad om en giltig e-postadress och e-postserver.
- Integrity Check - Standard är ja. Välj om du vill det lokala systemet regelbundet kontrolleras för intrång.
- Root kit upptäckt - Standard är ja. Bra alternativ eftersom vi måste bibehålla en hög integritet på detta system.
- Aktiv svar - Standard är ja. Välj det här alternativet om du vill kunna svara på händelser.
- Brandvägg drop - medger OSSEC servern för att försvara sig själv om ett direkt angrepp upptäcks.
- Vita listan - Detta kommer att tillåta dig att lägga till IP-adresser från vilka eventuella attacker kommer att ignoreras. Var försiktig med detta alternativ. Om du inte har konsolen tillgång till OSSEC servern, kan det vara klokt att identifiera en IP-adress som alltid kan komma in Bara se till att källan IP är ett trovärdigt system.
- Aktivera Syslog - Standard är ja. Välj det här alternativet om du vill samla in loggar från system som inte kan köra en OSSEC agent (som brandväggar, switchar, routrar, accesspunkter etc.).
- Loggfiler som ska övervakas - Den här skärmen identifierar alla de lokala loggfiler OSSEC kommer att övervaka. Det är endast information, så allt du kan göra är att trycka på Enter för att gå förbi den. Om du märker en eller flera loggfiler saknas i listan kan du lägga till dem senare till ossec.conf filen.
Vid denna punkt OSSEC kommer att få tillgång till lokala kompilator och installera alla nödvändiga filer på systemet. När du är klar kan du starta OSSEC servern genom att köra kommandot:
/ Var / ossec / bin / ossec-control start
Definiera OSSEC ombud
Vi är inte klar med OSSEC servern ännu. Sedan behöver vi i förväg definiera några system som kommer att köra OSSEC agent (klient) mjukvara. Detta utförs med hjälp av manage_agents kommandot. Först måste vi dock att göra lite läxor. Gör en lista över alla de system som kommer att köra OSSEC agenten programvara. För varje system, behöver du ett beskrivande namn samt att systemets IP-adress.
Nu kör du följande från kommandoraden:
/ Var / ossec / bin / manage_agents
Detta kommer att producera agenthanteraren huvudmenyn. Tryck på "A" följt av Enter för att definiera din första systemet. Ange ett beskrivande namn för det första systemet, följt av systemets IP-adress. Oroa dig inte för agenten ID-nummer. Helt enkelt acceptera standardnamnet och OSSEC kommer automatiskt tilldela nästa tillgängliga ID-nummer. När du har bekräftat den information du angett, kommer du tillbaka till agenthanteraren huvudmenyn. Upprepa ovanstående process för varje system som kommer att köra en OSSEC agent.
Generera nycklar
När du väl har lagt till i alla dina system, är det dags att generera krypteringsnycklar. Detta steg utförs också med manage_agents verktyget. Om du har stängt verktyget efter det sista steget, nylansera det nu.
Tryck på "E" följt av Enter för att välja "Utdrag nyckeln till en agent" menyalternativ. Du blir då tillfrågad om ID-nummer av de viktigaste du vill extrahera. Den beskrivande namn och IP-adresser listas med varje ID-nummer, så det borde vara trivialt att identifiera vilka du vill ha. Börja med det system du planerar att installera agenten programvaran på först.
OSSEC Agent Installera på Linux
När du installerar agenten programvaran på en Linux-eller UNIX-klient använder du exakt samma Tar bollen vi använde för att installera serverprogramvaran. Kör samma installera manus, men den här gången när du ombeds för den typ av installation du vill utföra, skriv "agent" följt av Enter.
Kunden installation har många av samma uppmaning som servern installeras. Använd info ovan för att guida dig genom processen. Uppmaningen som varierar dock är att du kommer bli ombedd att lämna IP-adressen för OSSEC servern. När du är klar, kommer OSSEC tillgång till det lokala kompilator och installera alla nödvändiga filer på systemet.
Nästa vi behöver importera Blowfish nyckeln från OSSEC servern. Medan fortfarande på agenten systemet, kör kommandot:
/ Var / ossec / bin / manage_agents
När Agent Manager-menyn visas väljer du "jag" för att importera Blowfish nyckeln.
När nästa prompten visas, måste du manuellt ange lämplig Blowfish nyckel. Återigen, om du kör SSH till båda systemen samtidigt, kan du helt enkelt kopiera / klistra in mellan de två terminalerna. Se till att nyckeln ser korrekt, tryck på Enter och välj sedan "y" för att bekräfta att nyckeln ser korrekt. Du kommer tillbaka till Agent Manager-menyn. Välj "q" för att återgå till kommandoraden.
Nu måste vi helt enkelt att starta OSSEC agent. Du kan göra det genom att köra följande kommando:
/ Var / ossec / bin / ossec-control start
Du bör se alla OSSEC agenten komponenter startar, följt av ett "Klar"-meddelande.
OSSEC Agent installerar på Windows
OSSEC har en självextraherande körbar som kommer att tillåta dig att installera agenten programvara på en Windows-system. Helt enkelt dubbelklicka på den körbara för att starta installationen. Du kommer att uppmanas att godkänna licensen samt vilka komponenter du vill installera. Följ bara anvisningarna tills OSSEC Agent Manager öppnas.
Den OSSEC Agent Manager-fönstret kommer att fråga dig för IP-adress OSSEC servern. Det kommer också att be dig om det Blowfish nyckelvärde att använda, så extrahera lämplig knapp på servern och ange värdet på detta område. Se till att du tar bort ett snabbt inom detta område innan du klistrar in i Blowfish nyckeln. Annars kommunikationen med servern kan misslyckas.
Nästa, välj "Hantera" från OSSEC Agent Manager-menyn, följt av "Start OSSEC". Du bör nu se "Status:" indikatorn ändras till "Running ...".
Testa OSSEC
När du har servern och agenten programvara installerad, startade och rätt konfigurerade knappar, är det nu dags att titta på vår inställning. Kör följande kommando på OSSEC servern:
cd / var / ossec / logs
Och kolla in ossec.log filen:
mindre ossec.log
Kontrollera loggfilen för eventuella fel. Ett vanligt fel är att OSSEC rapporterar den inte kan skicka e-post. Se till att e-postservern är igång och att det är att acceptera anslutningar. När du är nöjd med serverkonfigurationen är det nu dags att kolla in agenter. Flytta ner till "varningar" katalogen:
CD-varningar
Och kolla in alerts.log filen:
mindre alerts.log
Specifikt söker du poster som liknar följande:
2010 17 februari 16:09:16 (desktop) 192.168.1.10-> ossec
Regel: 501 (nivå 3) -> "New ossec agent ansluten."
Src IP: (ingen)
Användare: (ingen)
ossec: Agent igång: "test_system-> 192.168.1.10".
Du bör se en post för varje system som du har installerat agenten programvara.
Mer att komma
Puh! Det är mer än nog för ett inlägg! I mitt nästa inlägg ska jag få in att utnyttja logwatch att tolka all den varningsinformation som genereras av OSSEC.
Relaterade inlägg:
