В этом руководстве мы узнаем, как установить агент OSSEC на Debian 10 Buster.
OSSEC – это система обнаружения вторжений с открытым исходным кодом (HIDS), которую можно использовать для анализа журналов, проверки целостности, мониторинга реестра Windows, обнаружения руткитов, оповещения в режиме реального времени и активного реагирования.
OSSEC основан на модели сервер-агент.
Это означает, что для мониторинга систем, использующих OSSEC, вам необходим сервер OSSEC и агент, установленный на серверах для мониторинга.
Тем не менее, вы также можете выполнять мониторинг с помощью мониторинга без агентов, который в этом случае не требует установки каких-либо агентов на конечной точке, которую вы отслеживаете.
Установите агент OSSEC на Debian 10 Buster
Предпосылки
Для начала запустите обновление системы.
apt update apt upgrade
Прежде чем вы сможете приступить к установке агента OSSEC, необходимо установить некоторые зависимости пакетов. Запустите команду ниже, чтобы установить их
apt install inotify-tools gcc zlib1g-dev
Скачать OSSEC Tarball
Перейдите на страницу загрузки OSSEC и загрузите архив OSSEC.
Вы можете просто получить ссылку для скачивания и использовать wget, как показано ниже;
wget https://github.com/ossec/ossec-hids/archive/3.3.0.tar.gz
Затем загрузите подпись GPG OSSEC для проверки его целостности.
wget https://github.com/ossec/ossec-hids/releases/download/3.3.0/ossec-hids-3.3.0.tar.gz.asc
После завершения загрузки импортируйте ключ подписи пакета.
wget https://www.atomicorp.com/OSSEC-ARCHIVE-KEY.asc gpg --import OSSEC-ARCHIVE-KEY.asc
Запустите проверку;
gpg --verify ossec-hids-3.3.0.tar.gz.asc 3.3.0.tar.gz
gpg: Signature made Fri 19 Apr 2019 02:44:23 PM EDT
gpg: using RSA key EE1B0E6B2D8387B7
gpg: Good signature from "Scott R. Shinn <scott@atomicorp.com>" [unknown]
gpg: WARNING: This key is not certified with a trusted signature!
gpg: There is no indication that the signature belongs to the owner.
Primary key fingerprint: B50F B194 7A0A E311 45D0 5FAD EE1B 0E6B 2D83 87B7
Если подпись правильная, приступайте к установке.
Установите агент OSSEC на Debian 10 Buster
Распакуйте архив OSSEC.
tar xzf 3.3.0.tar.gz -C /tmp/
В качестве еще одной предпосылки, OSSEC 3.3.0 был обновлен для использования регулярного выражения PCRE2.
Поэтому вам необходимо настроить OSSEC на использование PCRE при установке
В настоящее время вы можете обойти это, загрузив PCRE и поместив его в исходный каталог OSSEC, как показано ниже.
wget https://ftp.pcre.org/pub/pcre/pcre2-10.32.tar.gz
tar zxf pcre2-10.32.tar.gz -C /tmp/ossec-hids-3.3.0/src/external/
Если вы пропустите этот шаг, вы можете столкнуться с ошибкой;
/bin/sh: 1: cd: can't cd to external/pcre2-10.32/
Затем перейдите к извлеченному исходному каталогу и запустите скрипт OSSEC install.sh для установки агента OSSEC.
cd /tmp/ossec-hids-3.3.0/
./install.sh
Когда скрипт запускается, вам предлагается выбрать язык установки.
Вы можете просто нажать ENTER, чтобы выбрать английский.
(en/br/cn/de/el/es/fr/hu/it/jp/nl/pl/ru/sr/tr) [ru]: ru
Далее вам будет предложено выбрать тип установки. Поскольку мы настраиваем агент OSSEC, введите agent.
1- What kind of installation do you want (server, agent, local, hybrid or help)? agent
Выберите каталог установки OSSEC HIDS. Обычно это /var/ossec по умолчанию.
Вы можете нажать Enter, чтобы выбрать каталог по умолчанию.
2- Setting up the installation environment. Choose where to install the OSSEC HIDS [/var/ossec]: ENTER
Установите IP-адрес сервера OSSEC
3- Configuring the OSSEC HIDS.
3.1- What's the IP Address or hostname of the OSSEC HIDS server?: 192.168.43.62
- Adding Server IP 192.168.43.62
Включите проверку целостности системы и обнаружение руткитов.
3.2- Do you want to run the integrity check daemon? (y/n) [y]: y
- Running syscheck (integrity check daemon).
3.3- Do you want to run the rootkit detection engine? (y/n) [y]:
- Running rootcheck (rootkit detection).
Выберите, нужно ли активировать active response.Это отключено в этом руководстве.
3.4 - Do you want to enable active response? (y/n) [y]: n
- Active response disabled.
Затем установщик выдает сводку файлов, которые агент отслеживает по умолчанию.
3.5- Setting the configuration to analyze the following logs:
-- /var/log/messages
-- /var/log/auth.log
-- /var/log/syslog
-- /var/log/dpkg.log
Чтобы отслеживать любой другой файл, просто измените файл ossec.conf и добавьте новую запись в локальный файл.
Нажмите ENTER, чтобы установить агент OSSEC. Если все идет хорошо, вы должны увидеть такой вывод.
- System is Debian (Ubuntu or derivative).
- Init script modified to start OSSEC HIDS during boot.
- Configuration finished properly.
- To start OSSEC HIDS:
/var/ossec/bin/ossec-control start
- To stop OSSEC HIDS:
/var/ossec/bin/ossec-control stop
- The configuration can be viewed or modified at /var/ossec/etc/ossec.conf
Нажмите ENTER, чтобы завершить установку.
Агент OSSEC теперь установлен на Debian 10.
Чтобы подключить агент к серверу OSSEC, добавьте агент на сервер и сгенерируйте ключи агента.
Получив ключи, импортируйте их на сервер с установленным агентом, выполнив следующую команду;
/var/ossec/bin/manage_agents
****************************************
* OSSEC HIDS v3.3.0 Agent manager. *
* The following options are available: *
****************************************
(I)mport key from the server (I).
(Q)uit.
Choose your action: I or Q: I
* Provide the Key generated by the server.
* The best approach is to cut and paste it.
*** OBS: Do not include spaces or new lines.
Paste it here (or '\q' to quit): MDAxIHNlcnZlci1iIDE5Mi4xNjguNDMuMTM2IGYwOWRiZmFhZTI0MzBmYTYyODAyZWRjM2IzMmMwMjI5Y2M0MTVkMWVlYTQ4YTFmODUzMzQ2NDBiZWJmOTZkY2Y=
Agent information:
ID:001
Name:server-b
IP Address:192.168.43.136
Confirm adding it?(y/n): y
Added.
** Press ENTER to return to the main menu.
Затем запустите агент, выполнив команду ниже;
/var/ossec/bin/ossec-control start
Starting OSSEC HIDS v3.3.0...
Started ossec-execd...
2019/07/23 15:44:27 ossec-agentd: INFO: Using notify time: 600 and max time to reconnect: 1800
Started ossec-agentd...
Started ossec-logcollector...
Started ossec-syscheckd...
Completed.
Вы также можете проверить журналы OSSEC, выполнив следующую команду, чтобы проверить, подключен ли агент к серверу.
tail /var/ossec/logs/ossec.log
Вы успешно установили агент OSSEC на Debian 10 Buster.