このチュートリアルでは、Ubuntu 14.04にOSSECをインストールして構成する方法を示します。知らなかった人のために、OSSECは無料のオープンソースのホストベースの侵入です。検出システム(HIDS)。ログ分析、整合性チェック、Windowsレジストリ監視、ルートキット検出、時間ベースのアラート、アクティブな応答を実行します。Linux、OpenBSD、FreeBSD、Mac OS X、 Solaris、およびWindows。OSSECは一元化されたクロスプラットフォームアーキテクチャを備えているため、複数のシステムを簡単に監視および管理できます。
この記事は、少なくともLinuxの基本的な知識があり、シェルの使用方法を知っていること、そして最も重要なこととして、サイトを独自のVPSでホストしていることを前提としています。インストールは非常に簡単で、ルートアカウントで実行されていますが、そうでない場合は、'sudoを追加する必要があります。 ‘ルート権限を取得するコマンドに。 Ubuntu14.04サーバーにOSSECを段階的にインストールする方法を紹介します。
前提条件
- 次のオペレーティングシステムのいずれかを実行しているサーバー:Ubuntu 14.04、およびLinuxMintなどの他のDebianベースのディストリビューション。
- 潜在的な問題を防ぐために、OSの新規インストールを使用することをお勧めします。
- サーバーへのSSHアクセス(またはデスクトップを使用している場合はターミナルを開く)
non-root sudo userまたはroot userへのアクセス 。non-root sudo userとして行動することをお勧めします ただし、ルートとして機能するときに注意しないと、システムに害を及ぼす可能性があるためです。
Ubuntu14.04にOSSECをインストール
手順1.まず、次のapt-getを実行して、すべてのシステムパッケージが最新であることを確認します。 ターミナルのコマンド。
sudo apt-get update sudo apt-get upgrade
ステップ2. LAMP(Linux、Apache、MariaDB、PHP)サーバーをインストールします。
Ubuntu 14.04 LAMPサーバーが必要です。LAMPがインストールされていない場合は、こちらのガイドに従ってください。
ステップ3.OSSECのインストール。
最初に行うことは、OSSECのダウンロードページに移動し、OSSECの最新の安定バージョンをダウンロードすることです。この記事を書いている時点ではバージョン2.8.3です。 :
wget https://bintray.com/artifact/download/ossec/ossec-hids/ossec-hids-2.8.3.tar.gz
サーバーのドキュメントルートディレクトリにOSSECアーカイブを解凍します:
tar -xzf ossec-hids-2.8.3.tar.gz cd ossec-hids-2.8.3 cd src make setdb
前のディレクトリに戻ります:
cd ../ ./install.sh
有効/無効にするオプションを選択できますが、以下の出力に従うことをお勧めします。デフォルトの選択を使用する場合は、Enterキーを押してください(質問されるすべての質問に対して括弧で囲まれています:
OSSEC HIDS v2.8.3 Installation Script - http://www.ossec.net You are about to start the installation process of the OSSEC HIDS. You must have a C compiler pre-installed in your system. If you have any questions or comments, please send an e-mail to [email protected] (or [email protected]). - System: Linux vps 2.6.32-042stab113.11 - User: root - Host: vps.idroot.us -- Press ENTER to continue or Ctrl-C to abort. --
Enterキーを押します。
1- What kind of installation do you want (server, agent, local, hybrid or help)? server - Server installation chosen. 2- Setting up the installation environment. - Choose where to install the OSSEC HIDS [/var/ossec]: - Installation will be made at /var/ossec . 3- Configuring the OSSEC HIDS. 3.1- Do you want e-mail notification? (y/n) [y]: - What's your e-mail address? [email protected] - What's your SMTP server ip/host? smtp.example.com 3.2- Do you want to run the integrity check daemon? (y/n) [y]: - Running syscheck (integrity check daemon). 3.3- Do you want to run the rootkit detection engine? (y/n) [y]: - Running rootcheck (rootkit detection). 3.4- Active response allows you to execute a specific command based on the events received. For example, you can block an IP address or disable access for a specific user. More information at: http://www.ossec.net/en/manual.html#active-response - Do you want to enable active response? (y/n) [y]: - Active response enabled. - By default, we can enable the host-deny and the firewall-drop responses. The first one will add a host to the /etc/hosts.deny and the second one will block the host on iptables (if linux) or on ipfilter (if Solaris, FreeBSD or NetBSD). - They can be used to stop SSHD brute force scans, portscans and some other forms of attacks. You can also add them to block on snort events, for example. - Do you want to enable the firewall-drop response? (y/n) [y]: - firewall-drop enabled (local) for levels >= 6 - Default white list for the active response: - xxx.xxx.xxx.xx - xx.xxx.xx.xxx - Do you want to add more IPs to the white list? (y/n)? [n]: 3.5- Do you want to enable remote syslog (port 514 udp)? (y/n) [y]: - Remote syslog enabled. 3.6- Setting the configuration to analyze the following logs: -- /var/log/messages -- /var/log/auth.log -- /var/log/syslog -- /var/log/mail.info -- /var/log/dpkg.log -- /var/log/apache2/error.log (apache log) -- /var/log/apache2/access.log (apache log) - If you want to monitor any other file, just change the ossec.conf and add a new localfile entry. Any questions about the configuration can be answered by visiting us online at http://www.ossec.net . --- Press ENTER to continue ---
次に、Enterキーを押してインストールを続行します。インストールは3分以内で完了します。すべてが完了すると、次のように表示されます。
- System is Debian (Ubuntu or derivative). - Init script modified to start OSSEC HIDS during boot. - Configuration finished properly. - To start OSSEC HIDS: /var/ossec/bin/ossec-control start - To stop OSSEC HIDS: /var/ossec/bin/ossec-control stop - The configuration can be viewed or modified at /var/ossec/etc/ossec.conf Thanks for using the OSSEC HIDS. If you have any question, suggestion or if you find any bug, contact us at [email protected] or using our public maillist at [email protected] ( http://www.ossec.net/main/support/ ). More information can be found at http://www.ossec.net --- Press ENTER to finish (maybe more information below). --- - In order to connect agent and server, you need to add each agent to the server. Run the 'manage_agents' to add or remove them: /var/ossec/bin/manage_agents
OSSECを開始します:
/var/ossec/bin/ossec-control start
ステップ4.OSSEC用のMariaDBの構成。
デフォルトでは、MariaDBは強化されていません。mysql_secure_installationを使用してMariaDBを保護できます。 脚本。ルートパスワードを設定し、匿名ユーザーを削除し、リモートルートログインを禁止し、テストデータベースと安全なMariaDBへのアクセスを削除する各手順を注意深く読んでください。
mysql_secure_installation
次のように構成します:
- Set root password? [Y/n] y - Remove anonymous users? [Y/n] y - Disallow root login remotely? [Y/n] y - Remove test database and access to it? [Y/n] y - Reload privilege tables now? [Y/n] y
次に、MariaDBコンソールにログインし、OSSEC用のデータベースを作成する必要があります。次のコマンドを実行します。
mysql -u root -p
これによりパスワードの入力を求められるので、MariaDBルートパスワードを入力してEnterキーを押します。データベースサーバーにログインしたら、次のデータベースを作成する必要があります。 OSSECのインストール:
create database ossec; grant all privileges on ossec.* to ossecuser@localhost identified by 'your_password'; flush privileges; exitで識別されるossecuser@localhostに付与します
デフォルトでは、OSSECはデータベースのスキーマを提供し、それはsrc / os_dbd /ディレクトリにあります。新しく作成したoOSSECssecデータベースにインポートします:
mysql -u ossecuser -p ossec < src/os_dbd/mysql.schema
次に、データベース構成をOSSEC構成ファイルに追加します。
nano /var/ossec/etc/ossec.conf
上記の行は
<database_output> <hostname>127.0.0.1</hostname> <username>ossecuser</username> <password>your_password</password> <database>ossec</database> <type>mysql</type> </database_output>
ファイルを保存して終了します。次に、データベースを有効にしてOSSECを再起動します。
/var/ossec/bin/ossec-control enable database /var/ossec/bin/ossec-control restart
ステップ5. OSSECWebUIのインストール。
ApacheのデフォルトのドキュメントルートにOSSECWebUIをインストールします。ディレクトリを入力します:
cd /var/www/html/ wget https://github.com/ossec/ossec-wui/archive/master.zip unzip master.zip mv ossec-wui-master/ ossec/
tmpを作成します 内部のディレクトリと正しいファイルの所有権と権限を設定します:
mkdir ossec/tmp/ chown www-data: -R ossec/ chmod 666 /var/www/html/ossec/tmp
ステップ6.OSSECへのアクセス。
OSSECはデフォルトでHTTPポート80で使用できます。お気に入りのブラウザを開き、http://yourdomain.com/ossecに移動します。 またはhttp://server-ip/ossec 。ファイアウォールを使用している場合は、ポート80を開いて、コントロールパネルにアクセスできるようにしてください。
おめでとうございます!OSSECが正常にインストールされました。Ubuntu14.04システムにOSSECをインストールするためにこのチュートリアルを使用していただきありがとうございます。追加のヘルプや役立つ情報については、OSSECの公式Webサイトを確認することをお勧めします。
>