- Installation requirements¶
- PCRE2В¶
- zlib¶
- libevent¶
- RedHat / Centos / Fedora / Amazon Linux¶
- Ubuntu / Debian¶
- OpenSuse¶
- FreeBSD¶
- OpenBSD¶
- Ossec linux ��� ���
- OSSEC: Большой Брат наблюдает за тобой
- Теория
- Исходные данные
- Установка
- Устанавливаем OSSEC (HIDS) и Prewikka (WebUI)
- Установка Prelude Manager
- Установка Prewikka
- Установка OSSEC
- Итоги
Installation requirements¶
For UNIX systems, OSSEC only requires gnu make, gcc, and libc. OpenSSL is a suggested, but optional, prerequisite. However, you always have the option to pre-compile it on one system and move the binaries to the final box.
PCRE2В¶
New in version 3.3.
PCRE2 support has been added to OSSEC v3.3. The build system can either use the system’s PCRE2 libraries, or the necessary bits can be built as part of the installation process.
New in version 3.4.
As of v3.4 the default build process has set PCRE2_SYSTEM , and expects pcre2 to be installed on the system. On many Linux systems the necessary packages would be dev or devel packages specifically.
Alternatively, OSSEC can build and use pcre2 without installing the packages. To do this the pcre2-10.32 sources must be installed in src/external :
If you use the pcre2-10.32 sources, set the PCRE2_SYSTEM variable to no:
To use the system’s PCRE2, set the PCRE2_SYSTEM variable to yes:
zlib¶
zlib is included with OSSEC in src/external/zlib-1.2.11 . In previous versions this included version was used by default during the build process, but this changed to using the system zlib. Ensure the correct zlib development packages are installed.
To use the included version of zlib, simply set ZLIB_SYSTEM to no :
libevent¶
New in version 3.5.
libevent was added for ossec-agentd and ossec-maild . A development package for this should be installed on the system.
RedHat / Centos / Fedora / Amazon Linux¶
Step 1) At a minimum, the following packages should be installed:
Step 2) For optional database support add thepackage mysql-devel and/or postgresql-devel packages
Step 3) Run the installation script
Ubuntu / Debian¶
At a minimum, the following packages should be installed:
On Debian 10 Buster, zlib could be libz .
On Ubuntu you will need the build-essential package in order to compile and install OSSEC.
To install the package run the following command.
To use the system’s pcre2 libraries, install the libpcre2 development package:
If database support is needed mysql-dev or postgresql-dev should be installed. Run the following command to install these packages.
On Debian 10 Buster the following packages may be installed for MySQL/MariaDB support:
To use the SQLite features, the libsqlite3-dev package is necessary.
New in version 3.0.
OpenSuse¶
The zlib development package should be installed:
To use the system’s pcre2 libraries, add the pcre2 development package:
If database support is needed the package mysql-devel and/or postgresql-devel will need to be installed.
FreeBSD¶
If you want to build and install OSSEC on FreeBSD you can work together with its FreeBSD Ports Collection.
There you can find and setup ossec-hids-agent, ossec-hids-local or ossec-hids-server.
If you want to build and install only the the required dependencies to run an OSSEC server/manager, without installing it:
If you want to install this particular port, you should run make install .
FreeBSD also offers pre-compiled packages for OSSEC and all its dependencies. If you want to install them you must work with pkg.
OpenBSD¶
As OpenBSD also has its own OpenBSD Ports Collection, you can build and install OSSEC using it if you want.
It only offers security/ossec-hids, so:
Just like the previous example with FreeBSD, if you want to install it all (not just the dependencies) you must run make install instead. Another option would be using pkg_add.
Источник
Ossec linux ��� ���
OSSEC+ gives you more capabilities for free simply by registering. Based on OSSEC’s solid open source foundation, Atomic OSSEC for Enterprise expands the capabilites to what businesses need today. With advanced SIEM log filtering that reduces the “noise” for security op centers and a light footprint that doesn’t break the bank on SOC costs.
Atomic OSSEC for Enterprises also adds clustering, agent managent, reporting, security, vulnerability management, third party integration and compliance features to OSSEC, the world’s most popular open source server intrusion detection system.
Want more from your OSSEC install? Just choose our OSSEC+ version and you’ll get more capabilities for free simply for registering.
- Machine Learning
- Real Time Community Threat Sharing
- 1000s of new rules
- ELK stack
Note: If you have a paid license for an Atomic product, you do not need to sign up for this.All of these features are already included in those products, and more.
Unlimited number of agents
Enterprise version adds…
clustering, agent management, reporting, security, vulnerability management, third party integration and compliance features to OSSEC, the world’s most popular open source server intrusion detection system.
Источник
OSSEC: Большой Брат наблюдает за тобой
Пожалуй, не ошибусь, если скажу, что любому профессиональному системному администратору важно знать что и когда происходит с его серверами. Особенно остро этот вопрос встает в такой области, как информационная безопасность.
В этом посте я хочу познакомить вас, коллеги, с развертыванием host-based IDS под названием OSSEC. Прошу под кат…
Теория
Система обнаружения вторжений (СОВ) (англ. Intrusion Detection System (IDS)) — программное (как в нашем случае) или аппаратное средство, предназначенное для выявления фактов неавторизованного доступа (вторжения или сетевой атаки) в компьютерную систему или сеть.
Цели, достигаемые при помощи IDS:
- Самая главная — обнаружить вторжение или сетевую атаку
- Прогнозирование возможного вторжения — злоумышленник обычно выполняет ряд действий при прощупывании вашей безопасности, это оставит след
- Обеспечить централизованный контроль над безопасностью сети (особенно, большой и распределенной)
- Многие другие цели, которые вы можете придумать сами 🙂
Системы IDS делятся на network-based и host-based.
Network-based IDS определяют атаки, захватывая и анализируя сетевые пакеты. Слушая сетевой сегмент, NIDS может просматривать сетевой трафик от нескольких хостов, которые присоединены к сетевому сегменту, и таким образом защищать эти хосты.
Host-based IDS имеют дело с информацией, собранной внутри единственного компьютера. Такое выгодное расположение позволяет HIDS анализировать деятельность с большой достоверностью и точностью, определяя только те процессы и пользователей, которые имеют отношение к конкретной атаке в ОС. НIDS обычно используют информационные источники двух типов: результаты аудита ОС и системные логи.
OSSEC является HIDS, но имеет возможность работать по архитектуре сервер агенты. В нашем случае мы будем рассматривать именно такую схему.
Исходные данные
Предположим, что у нас имется некая корпоративная сеть, в которой имеется зона DMZ с серверами, за которой мы хотим пристально наблюдать.
Пусть все сервера будут работать под CentOS 6.x (на самом деле, установка возможна под любой дистрибутив, в том числе и на другие OS — например Windows)
Есть сервер не в DMZ, на который мы будем собирать всю информацию от агентов OSSEC.
Установка
Прежде всего, давайте установим сам сервер OSSEC.
Отвечаем на все вопросы утвердительно, после завершения работы yum мы получим рабочую установку OSSSEC.
Все файлы OSSEC хранит в /var/ossec. Откроем файл /var/ossec/ossec.conf и приведем его к следующему виду:
Давайте разберемся, что тут есть. В самом начале мы включаем отсылку алертов на почту, указывая адрес сервера, почтовый адрес и максимально возможное количество писем в час. По умолчанию, OSSEС группирует события, чтобы не заваливать вас потоком писем.
Дальше идет блок rules, в котором описывается, на что и как OSSEC будет реагировать — можно оставить все, на скорость работы, по моим наблюдениям, не влияет. Секция syscheck — это настройки так называемого integrity check. Смысл ее заключается в том, что IDS подсчитывает хэш каждого файла в указанных директориях и переодически их сверяет. Тут мы задаем, какие директории мы будем контролировать и через сколько времени будет проводиться проверка. В секции command описываются скрипты, которые может применять IDS при наступлении определенных условий. Секция active-response как раз и использует эти комманды. Например, при срабатывании опреденного правила firewall-block занесет src ip в iptables на 600 секунд. Удобно использовать от брутфорса. В самом конце у нас идут собственно лог-файлы, которые необходимо анализировать и сопоставлять с правилами.
На этом грубая настройка серверной части OSSEC закончена и мы можем запустить ее:
В случае успеха, на указанный вами почтовый адрес придет письмо с сообщением о старте:
Если запуск не удался, проверьте еще раз конфигурацию на предмет ошибок. Помощью в этом будет -файл /var/ossec/logs/ossec.log.
Установка web-интерфейса
Веб-интрефейс достаточно примитивен, но ради удобства можно и устновить
Тут нужно будет ввести логин и пароль, будет создан соответственно файл .htaccess. Теперь добавим пользователя ossec в группу apache
Зайдем браузером на нашу страницу, затем дадим папке tmp права:
Теперь мы можем видеть события, регистрируемые в OSSEC и пользоваться нехитрым интерфейсом.
Установка агентов
Установим агенты на сервера в DMZ
Отредактируем файл /var/ossec/ossec.conf и приведем его к следующему виду:
Как видно, этот конфиг весьма похож на обрезанный серверный. Основное, что требуется тут указать — это собственно сам адрес OSSEC сервера и лог-файлы. Я добавил в конец лог-файл proftpd для примера.
Общение между клиентом и сервером происходит по порту UDP/1514, незабудьте его открыть!
С установкой и настройком мы закончили, теперь нужно связать сервер с агентом. Для этого на сервер запустим специальную утилиту /var/ossec/bin/manage_agents
Как видите — все просто. Результатом работы будет BASE64-строка, которую нужно скопировать и вставить агенту. Не забываем перезапустить сервер:
Теперь запустим команду /var/ossec/bin/manage_client на агенте:
Идем в консоль сервера и проверям, что агент подключен:
На этом настройку можно считать оконченной. Что делать дальше? OSSEC очень гибкая и мощная IDS. Вы можете писать свои правила — их формат очень прост. Вы можете управлять агентами с сервера, назначать им конфигурацию от туда же, связать IDS с другой IDS (например, с NIDS Snort) и многое-многое другое.
Если вы все сделали правильно, то теперь можете контролировать все происходящие изменения на файловом уровне и возможные атаки.
Источник
Устанавливаем OSSEC (HIDS) и Prewikka (WebUI)
Эта статья расскажет, как установить систему обнаружения вторжений OSSEC и вывести алерты OSSEC в относительно удобный и информативный Web-интерфейс. OSSEС может выводить алерты в syslog, СУБД или посылать их другую IDS — Prelude. Эта IDS в последние годы практически не развивается, но имеет в своем составе неплохой Web-интерфейс — Prewikka. Так же эта система позволяет подключать к себе другие IDS помимо OSSEC — Snort, например. Сначала мы установим Prelude IDS, затем Prewikk’у. Потом подключим OSSEC к Prelude. В процессе нужно будет создать две базы. Одну будет использовать Prewikka для хранения настроек пользователей и пр. Во вторую prelude-manager будет сохранять информацию по событиям, а Prewikka будет оттуда ее читать.
Для установки я буду использовать виртуальную машину с установленной CentOS 6.4. Сначала необходимо установить Prelude-IDS. Разработчики предоставили инструкции по установке из пакетов и исходников практически для всех популярных платформ. Здесь можно скачать исходники, RPM и SRPM.
Установка Prelude Manager
Подключаем репозиторий для CentOS/RHEL:
Далее устанавливаем Prelude Manager и пакеты необходимые для работы с общей базой данных:
Теперь создаем БД и пользователя:
Редактируем конфиг Prelude Manager:
Добавляем туда следующие строки (или же убираем комментарии):
Теперь необходимо создать профиль для Prelude Manager:
Здесь есть один момент. Как и предупреждает программа, генерация ключа может занять очень много времени.
Есть возможность ускорить этот процесс:
После завершения генерации ключа можно запускать Prelude Manager:
Убедимся, что сервер стартовал нормально:
Установка Prewikka
Установим необходимые пакеты:
Создаем еще одну базу для Prewikka:
Теперь отредактируем файл конфигурации Prewikka и укажем правильные базы данных:
В нашем случае необходимо добавить (или отредактировать) следующие строки:
Теперь поставим Apache:
Создаем виртуальный хост:
Казалось бы, что все готово, но тут нас поджидает несколько подводных камней. Во-первых, необходимо отключить или настроить SELinux, во-вторых, открыть 80 порт на локальном файерволе, в-третьих, установить права доступа к папке с файлом конфигурации:
Тем не менее, если сейчас попробовать зайти в Prewikk’у, произойдет ошибка.
Проверим логи:
Устанавливаем недостающий модуль:
Теперь можно зайти на сервер и залогиниться с парой логин/пароль admin/admin.
Установка OSSEC
Скачать архивы с последней версией OSSEC можно здесь. На той же странице написано о том, что RPM для RHEL/CentOS можно взять из репозитория AtomiCorp. Нам такой вариант не подойдет, так как OSSEC в том репозитории собран без поддержки libprelud, тем не менее, при установке агентов на конечные сервера, его вполне можно использовать.
Итак, скачиваем и распаковываем последнюю версию OSSEC.
Теперь для того, чтобы скомпилировать OSSEC ставим libprelude-devel, компилятор и make
Устанавливаем параметры компиляции:
Скрипт установки задаст несколько вопросов — какой использовать язык, тип установки и пр. Самое главное — указать верный тип установки. В нашем случае — server. Так же я не рекомендую включать функцию active response без предварительного чтения мануала по ней и настройки под себя.
После финального нажатия клавиши «ввод», начнется компиляция OSSEC и его копирование в директорию установки (по умолчанию это /var/ossec/).
Укажем в файле конфигурации то, что события необходимо отправлять в prelude-manager.
В секцию добавляем строку
Теперь подключим OSSEC к prelude. Запускаем в одной консоли сервер регистрации:
В другой — регистрируем OSSEC командой:
Как и в прошлый раз, мы можем ускорить генерацию ключей командой:
Как только генерация ключей завершится, во второй консоли будет предложено ввести одноразовый пароль. В данном случае — это «p9gnqy98».
Теперь перезапускаем оба демона.
Если теперь зайти в Prewikk’у, то можно видеть приходящие из OSSEC уведомления и сигналы тревоги.
Если зайти во вкладку Agents, в списке агентов должны значится prelude-manager и OSSEC.
Итоги
Итак, мы установили на наш сервер Prelude IDS. Настроили вывод его оповещений в СУБД MySQL, установленную на этом же сервере. Так же мы создали еще одну БД для Web-интерфейса Prewikka, который входит в состав Prelude IDS. После всего этого мы скомпилировали OSSEC HIDS со специальными опциями, которые позволяют отправлять события OSSEC не только в syslog или СУБД, но и прямо в Prelude.
Теперь при появлении подозрительных событий в логах, OSSEC сгенерирует алерт, запишет его в файл /var/ossec/logs/ossec.log, отправит в Prelude IDS. Prelude в свою очередь запишет его в базу данных, а Prewiika при заходе на нее обеспечит отображение всех этих событий в удобочитаемом виде.
В этой статье я не описал довольно много вещей, которым, если будут заинтересованные читатели, можно посвятить еще не одну статью.
Например, как установить OSSEC на сервер без компилятора, как настроить и обслуживать БД для Prelude, как устанавливать и настраивать агентов OSSEC на другие сервера, как настраивать свои собственные правила генерации событий для OSSEC.
Источник
