Среди лжецов я лицемером стал, Как я от человечества устал! (аль-Маарри).

Установка агента OSSEC на Ubuntu 14.04

FavoriteLoadingДобавить в избранное
1 Звезда2 Звезды3 Звезды4 Звезды5 Звезд (1 оценок, среднее: 5,00 из 5)
Загрузка...
21 января 2017
Установить OSSEC на Ubuntu 14.04
Эта статья является второй частью учебника Установка OSSEC на Ubuntu 14.04.

В первой части мы установили OSSEC в качестве сервера и его веб – интерфейс пользователя на  Ubuntu 14.04 VPS.

Сегодня мы установим веб – панель Analogi  и закроем установку агента OSSEC на другой Ubuntu 14.04 VPS. Затем мы добавим агента, установленного (клиент) на сервер OSSEC.

Итак, начнем.

Войдите на Linux VPS, где установлена OSSEC в качестве сервера:

ssh root@server_ip

Обновите пакеты и проверьте, есть ли у вас доступные обновления для сервера:

apt-get update && apt-get upgrade

После того, давайте установим веб-панель Analogi. Введите корень документа по умолчанию для Apache, который является ‘/var/www/html’:

cd /var/www/html/

Клонируем репо Analogi GIT:

git clone https://github.com/ECSC/analogi.git

Скопируйте конфигурационный файл базы данных и измените параметры базы данных со значениями базы данных, созданной в первой части этого урока:

cp analogi/db_ossec.php.new analogi/db_ossec.php

nano analogi/db_ossec.php

После того как вы измените значения, они должны выглядеть следующим образом:

define ('DB_USER_O', 'ossecuser');
define ('DB_PASSWORD_O', 'ваш_пароль');
define ('DB_HOST_O', '127.0.0.1');
define ('DB_NAME_O', 'ossec');

Сохраните и закройте файл.

Теперь вы можете посетить информационную панель Analogi из веб-браузера. Открытый http: //your_IP_address/ analogi

Установка агента OSSEC

Далее, вам нужно установить OSSEC в качестве агента на другом экземпляре Ubuntu. Но во- первых, установите модули, как показано в первой части этого урока. Если у вас уже установлен стек LAMP на вашем Ubuntu 14.04, то выполните следующую команду:

apt-get install libmysqlclient-dev libapache2-mod-php5 php5-mysql php5-curl php5-gd php5-intl php-pear php5-imagick php5-imap php5-mcrypt php5-memcache php5-ming php5-ps php5-pspell php5-recode php5-snmp php5-sqlite php5-tidy php5-xmlrpc php5-xsl

Скачайте OSSEC в каталог ‘/opt’, распакуйте архив и войдите в распакованный каталог:

cd /opt

wget https://bintray.com/artifact/download/ossec/ossec-hids/ossec-hids-2.8.3.tar.gz

tar -xzf ossec-hids-2.8.3.tar.gz

cd ossec-hids-2.8.3

Теперь запустите скрипт установки OSSEC и следуйте простым инструкциям, как показано в приведенном ниже примере:

./install.sh
1- What kind of installation do you want (server, agent, local, hybrid or help)? agent

  - Agent(client) installation chosen.

2- Setting up the installation environment.

 - Choose where to install the OSSEC HIDS [/var/ossec]:

    - Installation will be made at  /var/ossec .

3- Configuring the OSSEC HIDS.

  3.1- What's the IP Address or hostname of the OSSEC HIDS server?: enter the IP address of the OSSEC server machine

   - Adding Server IP xxx.xxx.xx.xxx

  3.2- Do you want to run the integrity check daemon? (y/n) [y]:

   - Running syscheck (integrity check daemon).

  3.3- Do you want to run the rootkit detection engine? (y/n) [y]:

   - Running rootcheck (rootkit detection).

  3.4 - Do you want to enable active response? (y/n) [y]:


  3.5- Setting the configuration to analyze the following logs:
    -- /var/log/messages
    -- /var/log/auth.log
    -- /var/log/syslog
    -- /var/log/mail.info
    -- /var/log/dpkg.log
    -- /var/log/apache2/error.log (apache log)
    -- /var/log/apache2/access.log (apache log)

 - If you want to monitor any other file, just change
   the ossec.conf and add a new localfile entry.
   Any questions about the configuration can be answered
   by visiting us online at http://www.ossec.net .


   - System is Debian (Ubuntu or derivative).
 - Init script modified to start OSSEC HIDS during boot.

 - Configuration finished properly.

 - To start OSSEC HIDS:
                /var/ossec/bin/ossec-control start

 - To stop OSSEC HIDS:
                /var/ossec/bin/ossec-control stop

 - The configuration can be viewed or modified at /var/ossec/etc/ossec.conf


    Thanks for using the OSSEC HIDS.
    If you have any question, suggestion or if you find any bug,
    contact us at contact@ossec.net or using our public maillist at
    ossec-list@ossec.net
    ( http://www.ossec.net/main/support/ ).

    More information can be found at http://www.ossec.net

    ---  Press ENTER to finish (maybe more information below). ---

- You first need to add this agent to the server so they
   can communicate with each other. When you have done so,
   you can run the 'manage_agents' tool to import the
   authentication key from the server.

   /var/ossec/bin/manage_agents

Как показывает приведенное выше утверждение, теперь вы должны добавить агента к серверу OSSEC. Вернитесь к консоли сервера OSSEC и сгенерируйте ключ для агента. Используйте следующую команду:

/var/ossec/bin/manage_agents

Теперь выберите опцию A, введите имя нового агента, это IP-адрес и ID. Следуйте нижнему выводу:

****************************************
* OSSEC HIDS v2.8.3 Agent manager.     *
* The following options are available: *
****************************************
   (A)dd an agent (A).
   (E)xtract key for an agent (E).
   (L)ist already added agents (L).
   (R)emove an agent (R).
   (Q)uit.
Choose your action: A,E,L,R or Q: A

- Adding a new agent (use '\q' to return to the main menu).
  Please provide the following:
   * A name for the new agent: ossec-client
   * The IP Address of the new agent: here you should enter the IP address of the OSSEC agent
   * An ID for the new agent[001]:
Agent information:
   ID:001
   Name:ossec-client
   IP Address:xxx.xx.xxx.xxx

Confirm adding it?(y/n): y
Agent added.

Запустите команду /var/ossec/bin/manage_agents снова и извлеките ключ для агента:

/var/ossec/bin/manage_agents

****************************************
* OSSEC HIDS v2.8.3 Agent manager.     *
* The following options are available: *
****************************************
   (A)dd an agent (A).
   (E)xtract key for an agent (E).
   (L)ist already added agents (L).
   (R)emove an agent (R).
   (Q)uit.
Choose your action: A,E,L,R or Q: <strong>E</strong>

Available agents:
   ID: 001, Name: ossec-client, IP: enter the IP address of the OSSEC agent
Provide the ID of the agent to extract the key (or '\q' to quit): <strong>001</strong>

Agent key information for '001' is:
<strong>MDAxIG9==......</strong>

** Press ENTER to return to the main menu.

Скопируйте ключ и переключитесь на консоль агента OSSEC. Выполните команду /var/ossec/bin/manage_agents:

# /var/ossec/bin/manage_agents

****************************************
* OSSEC HIDS v2.8.3 Agent manager.     *
* The following options are available: *
****************************************
   (I)mport key from the server (I).
   (Q)uit.
Choose your action: I or Q: I

* Provide the Key generated by the server.
* The best approach is to cut and paste it.
*** OBS: Do not include spaces or new lines.

Paste it here (or '\q' to quit): paste the key that you generated on your OSSEC server

Agent information:
   ID:001
   Name:ossec-client
   IP Address: IP address of the OSSEC agent

Confirm adding it?(y/n): y
Added.

Вы можете проверить конфигурационный файл OSSEC, чтобы увидеть, успешно ли добавлен сервер OSSEC:

nano /var/ossec/etc/ossec.conf

IP-адрес сервера OSSEC добавляется в начале файла:

<client>
 <server-hostname>xxx.xxx.xx.xxx</server-hostname>
</client>

Как только это будет сделано, перезапустите OSSEC на сервере и агентов машин:

/var/ossec/bin/ossec-control restart

Теперь вы можете контролировать агента из любого стандартного веб – интерфейса или приборной панели Analogi . Вам решать. Конечно OSSEC представляет собой сложную систему обнаружения вторжений и вы можете изменять его конфигурации и агенты, поэтому для получения дополнительной информации, пожалуйста, обратитесь на сайт OSSEC для чтения документации.

Поздравления. Вы успешно настроили и интегрированный агент OSSEC с сервером OSSEC. Вы должны следовать этой же процедуре, если вы хотите добавить еще одного агента к OSSEC.

Установка агента OSSEC на Ubuntu 14.04

Если вы нашли ошибку, пожалуйста, выделите фрагмент текста и нажмите Ctrl+Enter.

Просмотров: 83

Если статья понравилась, то поделитесь ей в социальных сетях:

Добавить комментарий

Войти с помощью: 

Ваш e-mail не будет опубликован. Обязательные поля помечены *

Сообщить об опечатке

Текст, который будет отправлен нашим редакторам:

Заполните форму и наш менеджер перезвонит Вам в самое ближайшее время!

badge
Обратный звонок 1
Отправить
galka

Спасибо! Ваша заявка принята

close
galka

Спасибо! Ваша заявка принята

close