Эта статья является второй частью учебника Установка OSSEC на Ubuntu 14.04.
В первой части мы установили OSSEC в качестве сервера и его веб — интерфейс пользователя на Ubuntu 14.04 VPS.
Сегодня мы установим веб — панель Analogi и закроем установку агента OSSEC на другой Ubuntu 14.04 VPS. Затем мы добавим агента, установленного (клиент) на сервер OSSEC.
Итак, начнем.
Войдите на Linux VPS, где установлена OSSEC в качестве сервера:
ssh root@server_ip
Обновите пакеты и проверьте, есть ли у вас доступные обновления для сервера:
apt-get update && apt-get upgrade
После того, давайте установим веб-панель Analogi. Введите корень документа по умолчанию для Apache, который является ‘/var/www/html’:
cd /var/www/html/
Клонируем репо Analogi GIT:
git clone https://github.com/ECSC/analogi.git
Скопируйте конфигурационный файл базы данных и измените параметры базы данных со значениями базы данных, созданной в первой части этого урока:
cp analogi/db_ossec.php.new analogi/db_ossec.php nano analogi/db_ossec.php
После того как вы измените значения, они должны выглядеть следующим образом:
define ('DB_USER_O', 'ossecuser'); define ('DB_PASSWORD_O', 'ваш_пароль'); define ('DB_HOST_O', '127.0.0.1'); define ('DB_NAME_O', 'ossec');
Сохраните и закройте файл.
Теперь вы можете посетить информационную панель Analogi из веб-браузера. Открытый http: //your_IP_address/ analogi
Установка агента OSSEC
Далее, вам нужно установить OSSEC в качестве агента на другом экземпляре Ubuntu. Но во- первых, установите модули, как показано в первой части этого урока. Если у вас уже установлен стек LAMP на вашем Ubuntu 14.04, то выполните следующую команду:
apt-get install libmysqlclient-dev libapache2-mod-php5 php5-mysql php5-curl php5-gd php5-intl php-pear php5-imagick php5-imap php5-mcrypt php5-memcache php5-ming php5-ps php5-pspell php5-recode php5-snmp php5-sqlite php5-tidy php5-xmlrpc php5-xsl
Скачайте OSSEC в каталог ‘/opt’, распакуйте архив и войдите в распакованный каталог:
cd /opt wget https://bintray.com/artifact/download/ossec/ossec-hids/ossec-hids-2.8.3.tar.gz tar -xzf ossec-hids-2.8.3.tar.gz cd ossec-hids-2.8.3
Теперь запустите скрипт установки OSSEC и следуйте простым инструкциям, как показано в приведенном ниже примере:
./install.sh
1- What kind of installation do you want (server, agent, local, hybrid or help)? agent - Agent(client) installation chosen. 2- Setting up the installation environment. - Choose where to install the OSSEC HIDS [/var/ossec]: - Installation will be made at /var/ossec . 3- Configuring the OSSEC HIDS. 3.1- What's the IP Address or hostname of the OSSEC HIDS server?: enter the IP address of the OSSEC server machine - Adding Server IP xxx.xxx.xx.xxx 3.2- Do you want to run the integrity check daemon? (y/n) [y]: - Running syscheck (integrity check daemon). 3.3- Do you want to run the rootkit detection engine? (y/n) [y]: - Running rootcheck (rootkit detection). 3.4 - Do you want to enable active response? (y/n) [y]: 3.5- Setting the configuration to analyze the following logs: -- /var/log/messages -- /var/log/auth.log -- /var/log/syslog -- /var/log/mail.info -- /var/log/dpkg.log -- /var/log/apache2/error.log (apache log) -- /var/log/apache2/access.log (apache log) - If you want to monitor any other file, just change the ossec.conf and add a new localfile entry. Any questions about the configuration can be answered by visiting us online at http://www.ossec.net . - System is Debian (Ubuntu or derivative). - Init script modified to start OSSEC HIDS during boot. - Configuration finished properly. - To start OSSEC HIDS: /var/ossec/bin/ossec-control start - To stop OSSEC HIDS: /var/ossec/bin/ossec-control stop - The configuration can be viewed or modified at /var/ossec/etc/ossec.conf Thanks for using the OSSEC HIDS. If you have any question, suggestion or if you find any bug, contact us at contact@ossec.net or using our public maillist at ossec-list@ossec.net ( http://www.ossec.net/main/support/ ). More information can be found at http://www.ossec.net --- Press ENTER to finish (maybe more information below). --- - You first need to add this agent to the server so they can communicate with each other. When you have done so, you can run the 'manage_agents' tool to import the authentication key from the server. /var/ossec/bin/manage_agents
Как показывает приведенное выше утверждение, теперь вы должны добавить агента к серверу OSSEC. Вернитесь к консоли сервера OSSEC и сгенерируйте ключ для агента. Используйте следующую команду:
/var/ossec/bin/manage_agents
Теперь выберите опцию A, введите имя нового агента, это IP-адрес и ID. Следуйте нижнему выводу:
**************************************** * OSSEC HIDS v2.8.3 Agent manager. * * The following options are available: * **************************************** (A)dd an agent (A). (E)xtract key for an agent (E). (L)ist already added agents (L). (R)emove an agent (R). (Q)uit. Choose your action: A,E,L,R or Q: A - Adding a new agent (use '\q' to return to the main menu). Please provide the following: * A name for the new agent: ossec-client * The IP Address of the new agent: here you should enter the IP address of the OSSEC agent * An ID for the new agent[001]: Agent information: ID:001 Name:ossec-client IP Address:xxx.xx.xxx.xxx Confirm adding it?(y/n): y Agent added.
Запустите команду /var/ossec/bin/manage_agents снова и извлеките ключ для агента:
/var/ossec/bin/manage_agents **************************************** * OSSEC HIDS v2.8.3 Agent manager. * * The following options are available: * **************************************** (A)dd an agent (A). (E)xtract key for an agent (E). (L)ist already added agents (L). (R)emove an agent (R). (Q)uit. Choose your action: A,E,L,R or Q: <strong>E</strong> Available agents: ID: 001, Name: ossec-client, IP: enter the IP address of the OSSEC agent Provide the ID of the agent to extract the key (or '\q' to quit): <strong>001</strong> Agent key information for '001' is: <strong>MDAxIG9==......</strong> ** Press ENTER to return to the main menu.
Скопируйте ключ и переключитесь на консоль агента OSSEC. Выполните команду /var/ossec/bin/manage_agents:
# /var/ossec/bin/manage_agents **************************************** * OSSEC HIDS v2.8.3 Agent manager. * * The following options are available: * **************************************** (I)mport key from the server (I). (Q)uit. Choose your action: I or Q: I * Provide the Key generated by the server. * The best approach is to cut and paste it. *** OBS: Do not include spaces or new lines. Paste it here (or '\q' to quit): paste the key that you generated on your OSSEC server Agent information: ID:001 Name:ossec-client IP Address: IP address of the OSSEC agent Confirm adding it?(y/n): y Added.
Вы можете проверить конфигурационный файл OSSEC, чтобы увидеть, успешно ли добавлен сервер OSSEC:
nano /var/ossec/etc/ossec.conf
IP-адрес сервера OSSEC добавляется в начале файла:
<client> <server-hostname>xxx.xxx.xx.xxx</server-hostname> </client>
Как только это будет сделано, перезапустите OSSEC на сервере и агентов машин:
/var/ossec/bin/ossec-control restart
Теперь вы можете контролировать агента из любого стандартного веб — интерфейса или приборной панели Analogi . Вам решать. Конечно OSSEC представляет собой сложную систему обнаружения вторжений и вы можете изменять его конфигурации и агенты, поэтому для получения дополнительной информации, пожалуйста, обратитесь на сайт OSSEC для чтения документации.
Поздравления. Вы успешно настроили и интегрированный агент OSSEC с сервером OSSEC. Вы должны следовать этой же процедуре, если вы хотите добавить еще одного агента к OSSEC.