ИТ Блог. Администрирование серверов на основе Linux (Ubuntu, Debian, CentOS, openSUSE)

Установка агента OSSEC на Ubuntu 14.04

Установить OSSEC на Ubuntu 14.04

Эта статья является второй частью учебника Установка OSSEC на Ubuntu 14.04.

В первой части мы установили OSSEC в качестве сервера и его веб – интерфейс пользователя на  Ubuntu 14.04 VPS.

Сегодня мы установим веб – панель Analogi  и закроем установку агента OSSEC на другой Ubuntu 14.04 VPS. Затем мы добавим агента, установленного (клиент) на сервер OSSEC.

Итак, начнем.

Войдите на Linux VPS, где установлена OSSEC в качестве сервера:

ssh root@server_ip

Обновите пакеты и проверьте, есть ли у вас доступные обновления для сервера:

apt-get update && apt-get upgrade

После того, давайте установим веб-панель Analogi. Введите корень документа по умолчанию для Apache, который является ‘/var/www/html’:

cd /var/www/html/

Клонируем репо Analogi GIT:

git clone https://github.com/ECSC/analogi.git

Скопируйте конфигурационный файл базы данных и измените параметры базы данных со значениями базы данных, созданной в первой части этого урока:

cp analogi/db_ossec.php.new analogi/db_ossec.php

nano analogi/db_ossec.php

После того как вы измените значения, они должны выглядеть следующим образом:

define ('DB_USER_O', 'ossecuser');
define ('DB_PASSWORD_O', 'ваш_пароль');
define ('DB_HOST_O', '127.0.0.1');
define ('DB_NAME_O', 'ossec');

Сохраните и закройте файл.

Теперь вы можете посетить информационную панель Analogi из веб-браузера. Открытый http: //your_IP_address/ analogi

Установка агента OSSEC

Далее, вам нужно установить OSSEC в качестве агента на другом экземпляре Ubuntu. Но во- первых, установите модули, как показано в первой части этого урока. Если у вас уже установлен стек LAMP на вашем Ubuntu 14.04, то выполните следующую команду:

apt-get install libmysqlclient-dev libapache2-mod-php5 php5-mysql php5-curl php5-gd php5-intl php-pear php5-imagick php5-imap php5-mcrypt php5-memcache php5-ming php5-ps php5-pspell php5-recode php5-snmp php5-sqlite php5-tidy php5-xmlrpc php5-xsl

Скачайте OSSEC в каталог ‘/opt’, распакуйте архив и войдите в распакованный каталог:

cd /opt

wget https://bintray.com/artifact/download/ossec/ossec-hids/ossec-hids-2.8.3.tar.gz

tar -xzf ossec-hids-2.8.3.tar.gz

cd ossec-hids-2.8.3

Теперь запустите скрипт установки OSSEC и следуйте простым инструкциям, как показано в приведенном ниже примере:

./install.sh
1- What kind of installation do you want (server, agent, local, hybrid or help)? agent

  - Agent(client) installation chosen.

2- Setting up the installation environment.

 - Choose where to install the OSSEC HIDS [/var/ossec]:

    - Installation will be made at  /var/ossec .

3- Configuring the OSSEC HIDS.

  3.1- What's the IP Address or hostname of the OSSEC HIDS server?: enter the IP address of the OSSEC server machine

   - Adding Server IP xxx.xxx.xx.xxx

  3.2- Do you want to run the integrity check daemon? (y/n) [y]:

   - Running syscheck (integrity check daemon).

  3.3- Do you want to run the rootkit detection engine? (y/n) [y]:

   - Running rootcheck (rootkit detection).

  3.4 - Do you want to enable active response? (y/n) [y]:


  3.5- Setting the configuration to analyze the following logs:
    -- /var/log/messages
    -- /var/log/auth.log
    -- /var/log/syslog
    -- /var/log/mail.info
    -- /var/log/dpkg.log
    -- /var/log/apache2/error.log (apache log)
    -- /var/log/apache2/access.log (apache log)

 - If you want to monitor any other file, just change
   the ossec.conf and add a new localfile entry.
   Any questions about the configuration can be answered
   by visiting us online at http://www.ossec.net .


   - System is Debian (Ubuntu or derivative).
 - Init script modified to start OSSEC HIDS during boot.

 - Configuration finished properly.

 - To start OSSEC HIDS:
                /var/ossec/bin/ossec-control start

 - To stop OSSEC HIDS:
                /var/ossec/bin/ossec-control stop

 - The configuration can be viewed or modified at /var/ossec/etc/ossec.conf


    Thanks for using the OSSEC HIDS.
    If you have any question, suggestion or if you find any bug,
    contact us at contact@ossec.net or using our public maillist at
    ossec-list@ossec.net
    ( http://www.ossec.net/main/support/ ).

    More information can be found at http://www.ossec.net

    ---  Press ENTER to finish (maybe more information below). ---

- You first need to add this agent to the server so they
   can communicate with each other. When you have done so,
   you can run the 'manage_agents' tool to import the
   authentication key from the server.

   /var/ossec/bin/manage_agents

Как показывает приведенное выше утверждение, теперь вы должны добавить агента к серверу OSSEC. Вернитесь к консоли сервера OSSEC и сгенерируйте ключ для агента. Используйте следующую команду:

/var/ossec/bin/manage_agents

Теперь выберите опцию A, введите имя нового агента, это IP-адрес и ID. Следуйте нижнему выводу:

****************************************
* OSSEC HIDS v2.8.3 Agent manager.     *
* The following options are available: *
****************************************
   (A)dd an agent (A).
   (E)xtract key for an agent (E).
   (L)ist already added agents (L).
   (R)emove an agent (R).
   (Q)uit.
Choose your action: A,E,L,R or Q: A

- Adding a new agent (use '\q' to return to the main menu).
  Please provide the following:
   * A name for the new agent: ossec-client
   * The IP Address of the new agent: here you should enter the IP address of the OSSEC agent
   * An ID for the new agent[001]:
Agent information:
   ID:001
   Name:ossec-client
   IP Address:xxx.xx.xxx.xxx

Confirm adding it?(y/n): y
Agent added.

Запустите команду /var/ossec/bin/manage_agents снова и извлеките ключ для агента:

/var/ossec/bin/manage_agents

****************************************
* OSSEC HIDS v2.8.3 Agent manager.     *
* The following options are available: *
****************************************
   (A)dd an agent (A).
   (E)xtract key for an agent (E).
   (L)ist already added agents (L).
   (R)emove an agent (R).
   (Q)uit.
Choose your action: A,E,L,R or Q: <strong>E</strong>

Available agents:
   ID: 001, Name: ossec-client, IP: enter the IP address of the OSSEC agent
Provide the ID of the agent to extract the key (or '\q' to quit): <strong>001</strong>

Agent key information for '001' is:
<strong>MDAxIG9==......</strong>

** Press ENTER to return to the main menu.

Скопируйте ключ и переключитесь на консоль агента OSSEC. Выполните команду /var/ossec/bin/manage_agents:

# /var/ossec/bin/manage_agents

****************************************
* OSSEC HIDS v2.8.3 Agent manager.     *
* The following options are available: *
****************************************
   (I)mport key from the server (I).
   (Q)uit.
Choose your action: I or Q: I

* Provide the Key generated by the server.
* The best approach is to cut and paste it.
*** OBS: Do not include spaces or new lines.

Paste it here (or '\q' to quit): paste the key that you generated on your OSSEC server

Agent information:
   ID:001
   Name:ossec-client
   IP Address: IP address of the OSSEC agent

Confirm adding it?(y/n): y
Added.

Вы можете проверить конфигурационный файл OSSEC, чтобы увидеть, успешно ли добавлен сервер OSSEC:

nano /var/ossec/etc/ossec.conf

IP-адрес сервера OSSEC добавляется в начале файла:

<client>
 <server-hostname>xxx.xxx.xx.xxx</server-hostname>
</client>

Как только это будет сделано, перезапустите OSSEC на сервере и агентов машин:

/var/ossec/bin/ossec-control restart

Теперь вы можете контролировать агента из любого стандартного веб – интерфейса или приборной панели Analogi . Вам решать. Конечно OSSEC представляет собой сложную систему обнаружения вторжений и вы можете изменять его конфигурации и агенты, поэтому для получения дополнительной информации, пожалуйста, обратитесь на сайт OSSEC для чтения документации.

Поздравления. Вы успешно настроили и интегрированный агент OSSEC с сервером OSSEC. Вы должны следовать этой же процедуре, если вы хотите добавить еще одного агента к OSSEC.

Установка агента OSSEC на Ubuntu 14.04

Exit mobile version