⚙ Установка агента OSSEC на Debian 10 Buster — Information Security Squad

⚙ Установка агента OSSEC на Debian 10 Buster

В этом руководстве мы узнаем, как установить агент OSSEC на Debian 10 Buster.

OSSEC — это система обнаружения вторжений с открытым исходным кодом (HIDS), которую можно использовать для анализа журналов, проверки целостности, мониторинга реестра Windows, обнаружения руткитов, оповещения в режиме реального времени и активного реагирования.

OSSEC основан на модели сервер-агент.

Это означает, что для мониторинга систем, использующих OSSEC, вам необходим сервер OSSEC и агент, установленный на серверах для мониторинга.

Тем не менее, вы также можете выполнять мониторинг с помощью мониторинга без агентов, который в этом случае не требует установки каких-либо агентов на конечной точке, которую вы отслеживаете.

Установите агент OSSEC на Debian 10 Buster

Предпосылки

Для начала запустите обновление системы.

apt update
apt upgrade

Прежде чем вы сможете приступить к установке агента OSSEC, необходимо установить некоторые зависимости пакетов. Запустите команду ниже, чтобы установить их

apt install inotify-tools gcc zlib1g-dev

Скачать OSSEC Tarball

Перейдите на страницу загрузки OSSEC и загрузите архив OSSEC.

Вы можете просто получить ссылку для скачивания и использовать wget, как показано ниже;

wget https://github.com/ossec/ossec-hids/archive/3.3.0.tar.gz

Затем загрузите подпись GPG OSSEC для проверки его целостности.

wget https://github.com/ossec/ossec-hids/releases/download/3.3.0/ossec-hids-3.3.0.tar.gz.asc

После завершения загрузки импортируйте ключ подписи пакета.

wget https://www.atomicorp.com/OSSEC-ARCHIVE-KEY.asc
gpg --import OSSEC-ARCHIVE-KEY.asc

Запустите проверку;

gpg --verify ossec-hids-3.3.0.tar.gz.asc 3.3.0.tar.gz
gpg: Signature made Fri 19 Apr 2019 02:44:23 PM EDT
gpg:                using RSA key EE1B0E6B2D8387B7
gpg: Good signature from "Scott R. Shinn <scott@atomicorp.com>" [unknown]
gpg: WARNING: This key is not certified with a trusted signature!
gpg:          There is no indication that the signature belongs to the owner.
Primary key fingerprint: B50F B194 7A0A E311 45D0  5FAD EE1B 0E6B 2D83 87B7

Если подпись правильная, приступайте к установке.

Установите агент OSSEC на Debian 10 Buster

Распакуйте архив OSSEC.

tar xzf 3.3.0.tar.gz -C /tmp/

В качестве еще одной предпосылки, OSSEC 3.3.0 был обновлен для использования регулярного выражения PCRE2.

Поэтому вам необходимо настроить OSSEC на использование PCRE при установке

В настоящее время вы можете обойти это, загрузив PCRE и поместив его в исходный каталог OSSEC, как показано ниже.

wget https://ftp.pcre.org/pub/pcre/pcre2-10.32.tar.gz
tar zxf pcre2-10.32.tar.gz -C /tmp/ossec-hids-3.3.0/src/external/

Если вы пропустите этот шаг, вы можете столкнуться с ошибкой;

/bin/sh: 1: cd: can't cd to external/pcre2-10.32/

Затем перейдите к извлеченному исходному каталогу и запустите скрипт OSSEC install.sh для установки агента OSSEC.

cd /tmp/ossec-hids-3.3.0/
./install.sh

Когда скрипт запускается, вам предлагается выбрать язык установки.

Вы можете просто нажать ENTER, чтобы выбрать английский.

(en/br/cn/de/el/es/fr/hu/it/jp/nl/pl/ru/sr/tr) [ru]: ru

Далее вам будет предложено выбрать тип установки. Поскольку мы настраиваем агент OSSEC, введите agent.

1- What kind of installation do you want (server, agent, local, hybrid or help)? agent

Выберите каталог установки OSSEC HIDS. Обычно это /var/ossec по умолчанию.

Вы можете нажать Enter, чтобы выбрать каталог по умолчанию.

2- Setting up the installation environment.
 Choose where to install the OSSEC HIDS [/var/ossec]: ENTER

Установите IP-адрес сервера OSSEC

3- Configuring the OSSEC HIDS.

  3.1- What's the IP Address or hostname of the OSSEC HIDS server?: 192.168.43.62

   - Adding Server IP 192.168.43.62

Включите проверку целостности системы и обнаружение руткитов.

3.2- Do you want to run the integrity check daemon? (y/n) [y]: y

   - Running syscheck (integrity check daemon).

  3.3- Do you want to run the rootkit detection engine? (y/n) [y]: 

   - Running rootcheck (rootkit detection).

Выберите, нужно ли активировать active response.Это отключено в этом руководстве.

3.4 - Do you want to enable active response? (y/n) [y]: n

   - Active response disabled.

Затем установщик выдает сводку файлов, которые агент отслеживает по умолчанию.

  3.5- Setting the configuration to analyze the following logs:
    -- /var/log/messages
    -- /var/log/auth.log
    -- /var/log/syslog
    -- /var/log/dpkg.log

Чтобы отслеживать любой другой файл, просто измените файл ossec.conf и добавьте новую запись в локальный файл.

Нажмите ENTER, чтобы установить агент OSSEC. Если все идет хорошо, вы должны увидеть такой вывод.

 - System is Debian (Ubuntu or derivative).
 - Init script modified to start OSSEC HIDS during boot.

 - Configuration finished properly.

 - To start OSSEC HIDS:
      /var/ossec/bin/ossec-control start

 - To stop OSSEC HIDS:
      /var/ossec/bin/ossec-control stop

 - The configuration can be viewed or modified at /var/ossec/etc/ossec.conf

Нажмите ENTER, чтобы завершить установку.

Агент OSSEC теперь установлен на Debian 10.

Чтобы подключить агент к серверу OSSEC, добавьте агент на сервер и сгенерируйте ключи агента.

Получив ключи, импортируйте их на сервер с установленным агентом, выполнив следующую команду;

/var/ossec/bin/manage_agents
****************************************
* OSSEC HIDS v3.3.0 Agent manager.     *
* The following options are available: *
****************************************
   (I)mport key from the server (I).
   (Q)uit.
Choose your action: I or Q: I

* Provide the Key generated by the server.
* The best approach is to cut and paste it.
*** OBS: Do not include spaces or new lines.

Paste it here (or '\q' to quit): MDAxIHNlcnZlci1iIDE5Mi4xNjguNDMuMTM2IGYwOWRiZmFhZTI0MzBmYTYyODAyZWRjM2IzMmMwMjI5Y2M0MTVkMWVlYTQ4YTFmODUzMzQ2NDBiZWJmOTZkY2Y=

Agent information:
   ID:001
   Name:server-b
   IP Address:192.168.43.136

Confirm adding it?(y/n): y
Added.
** Press ENTER to return to the main menu.

Затем запустите агент, выполнив команду ниже;

/var/ossec/bin/ossec-control start
Starting OSSEC HIDS v3.3.0...
Started ossec-execd...
2019/07/23 15:44:27 ossec-agentd: INFO: Using notify time: 600 and max time to reconnect: 1800
Started ossec-agentd...
Started ossec-logcollector...
Started ossec-syscheckd...
Completed.

Вы также можете проверить журналы OSSEC, выполнив следующую команду, чтобы проверить, подключен ли агент к серверу.

tail /var/ossec/logs/ossec.log

Вы успешно установили агент OSSEC на Debian 10 Buster.

cryptoparty

Cryptography is typically bypassed, not penetrated.

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

5e7fa976b0640d40