Nội dung
- Bước 1 - Cập nhật hệ thống - Bước 2 - Cài đặt và kích hoạt OSSEC - Bước 3 - Đặt thông tin đăng nhập email cho thông báo OSSEC - Bước 4 - Cấu hình kiểm tra hệ thống - Bước 5 - Cấu hình Rootcheck - Bước 6 - Chỉ định file log sẽ được theo dõi - Bước 7 - Cảnh báo về file mới - Kết luận

Thứ sáu, 06/02/2015 | 00:00 GMT+7

Cách cài đặt và cấu hình OSSEC trên FreeBSD 10.1

OSSEC là một hệ thống phát hiện xâm nhập dựa trên server (HIDS) open-souce , thực hiện phân tích log , kiểm tra tính toàn vẹn, giám sát register Windows, phát hiện rootkit, cảnh báo dựa trên thời gian và phản hồi tích cực.

Đây là một trong những ứng dụng bảo mật quan trọng nhất mà bạn có thể cài đặt trên server của bạn và nó được dùng để giám sát một hoặc hàng nghìn máy trong kiểu client / server hoặc tác nhân / server . Nếu được cấu hình đúng cách, OSSEC có thể cung cấp cho bạn một cái nhìn về những gì đang xảy ra trên server của bạn thông qua cảnh báo qua email tới bất kỳ số lượng địa chỉ email được cấu hình nào.

Hướng dẫn này sẽ chỉ cho bạn cách cài đặt và cấu hình OSSEC để giám sát một server DigitalOcean đang chạy FreeBSD 10.1. Ngoài các bộ luật mặc định của OSSEC để kiểm tra tính toàn vẹn và quyền truy cập của user , ta sẽ cấu hình các luật bổ sung để nếu file được sửa đổi hoặc thêm vào hệ thống, OSSEC sẽ thông báo cho bạn qua email.

Đây là một ví dụ về loại cảnh báo mà OSSEC gửi:

OSSEC HIDS Notification. 2015 Jan 25 11:42:49  Received From: liniverse->syscheck Rule: 551 fired (level 7) -> "Integrity checksum changed again (2nd time)." Portion of the log(s):  Integrity checksum changed for: '/usr/local/etc/ssmtp/ssmtp.conf' Size changed from '1367' to '1384' What changed: 36c36,37 < UseTLS=YES ---    #UseTLS=YES   UseSTARTTLS=YES  Old md5sum was: '39f219a7db9987c3623d5a2f7511dfc1' New md5sum is : '9971ecc1b0c744ee3f744255248e7c11' Old sha1sum was: 'fc945ffc84b243cd36f8dd276f99c57f912f902b' New sha1sum is : '1289fe0008a3d8bf74db8f73c09bf18db09572cc'   --END OF NOTIFICATION

Lưu ý: OSSEC hiện chỉ có khả năng cảnh báo trong thời gian thực trên Linux và Windows. Cảnh báo thời gian thực trên FreeBSD vẫn đang được tiến hành và do đó, cảnh báo về việc xóa file không hoạt động trên FreeBSD.

Yêu cầu

OSSEC cần một firewall hoạt động trên hệ thống để có tính năng phản hồi tích cực. Điều quan trọng nữa là server phải giữ thời gian chính xác yêu cầu kích hoạt NTP. Cuối cùng, múi giờ của server cần được đặt - theo mặc định là UTC.

Vì vậy, đối với hướng dẫn này, bạn cần :

Một server mới chạy FreeBSD 10.1.
Đã bật firewall , bật NTP và cấu hình múi giờ. Bạn có thể thực hiện việc này theo hướng dẫn trong Các bước được đề xuất cho Server FreeBSD 10.1 mới . Bỏ qua phần cài đặt thêm không gian swap .

Lưu ý: Quyền của firewall UDP không cần thiết để OSSEC hoạt động nhưng tùy thuộc vào các dịch vụ bạn đang chạy trên server của bạn , bạn có thể cần cho phép lưu lượng UDP cho chúng.

Khi bật xong NTP, bạn có thể xác nhận nó đang chạy bằng lệnh :

 sudo service ntpd onestatus

Ouput sẽ tương tự như những gì bên dưới nhưng với một ID quy trình khác (pid).

 ntpd is running as pid 581.

Bạn cũng có thể xác nhận múi giờ được đặt chính xác bằng lệnh date . Múi giờ bạn chọn sẽ có trong kết quả .

Không bắt buộc

Cả hai thay đổi tiếp theo này đều không bắt buộc nhưng chúng thường được đề xuất để làm cho FreeBSD thân thiện hơn với những người mới sử dụng.

Cài đặt và kích hoạt Bash.

tsch là shell mặc định trong FreeBSD 10.1. Nếu bạn muốn sử dụng Bash, bạn có thể cài đặt nó theo hướng dẫn trong Thay đổi Shell mặc định trong Cách bắt đầu với FreeBSD 10.1 . Điều này sẽ đặt vĩnh viễn shell mặc định của bạn thành Bash, bao gồm tất cả các phiên đăng nhập trong tương lai.

Cài đặt nano .

Editor terminal mặc định trong FreeBSD là Vi và mặc dù mạnh mẽ nhưng nó có thể không trực quan đối với user mới. nano là modeless loại bỏ một số phức tạp cho user mới so với Vi .

Bạn có thể sử dụng editor mà bạn chọn, nhưng nano sẽ được sử dụng trong suốt hướng dẫn này. Nó có thể được cài đặt bằng lệnh vào terminal :

 sudo pkg install nano

Bước 1 - Cập nhật hệ thống

Đăng nhập và áp dụng các bản cập nhật gói và bảo mật có sẵn cho hệ thống. Nếu bạn chưa đăng nhập, hãy làm như vậy bằng lệnh :

ssh freebsd@111.111.111.111

Thay thế địa chỉ IP trong lệnh trên bằng địa chỉ IP thực của server của bạn. User mặc định của FreeBSD là freebsd và nó có các quyền của sudo . Sau khi đăng nhập, hãy truy vấn và cài đặt các bản cập nhật bảo mật có sẵn bằng lệnh :

sudo freebsd-update fetch install

Sau khi hoàn tất, hãy cài đặt các bản cập nhật gói có sẵn.

sudo pkg upgrade

Nếu có bất kỳ cập nhật kernel nào từ các lệnh đó, hãy khởi động lại server , sau đó đăng nhập lại.

Bước 2 - Cài đặt và kích hoạt OSSEC

Trên FreeBSD, có ba phương pháp mà bạn có thể sử dụng để cài đặt OSSEC: Bằng cách download bản binary mới nhất từ trang web của dự án, từ cây cổng hoặc bằng cách cài đặt bản binary tạo sẵn từ repository FreeBSD. Phương pháp cuối cùng cho đến nay là đơn giản nhất và đó là phương pháp ta sẽ sử dụng cho hướng dẫn này. Nó cũng giúp bạn dễ dàng cập nhật OSSEC.

Để xem gói binary OSSEC nào có sẵn trong FreeBSD 10.1, hãy nhập:

sudo pkg search ossec

Đầu ra sẽ đọc thông tin như :

ossec-hids-client-2.8.1_1 ossec-hids-local-2.8.1_1 ossec-hids-server-2.8.1_1

Vì mục tiêu là sử dụng OSSEC để chỉ giám sát server mà nó đang được cài đặt (cài đặt local ), gói binary để cài đặt là ossec-hids-local-2.8.1_1 hoặc bất kỳ version nào của gói local . Hệ binary client sẽ cho phép bạn cài đặt tác nhân OSSEC, tác nhân này báo cáo đến server OSSEC, nếu file binary server được cài đặt trên một Server khác.

Để cài đặt binary local , hãy nhập:

sudo pkg install ossec-hids-local-2.8.1_1

Theo kết quả cài đặt, OSSEC sẽ chroot vào /usr/local/ossec-hids , vì vậy file cấu hình và các folder của nó sẽ được tìm thấy trong folder đó.

Đến đây bạn đã cài đặt OSSEC, nó phải được kích hoạt để có thể bắt đầu khi server khởi động . Để kích hoạt nó. mở lại /etc/rc.conf .

sudo nano /etc/rc.conf

Nối các dòng sau:

# For OSSEC HIDS  ossechids_enable="YES"

Cuối cùng, lưu file .

Bước 3 - Đặt thông tin đăng nhập email cho thông báo OSSEC

Vì ta đã cài đặt OSSEC từ repository , cài đặt email trong file cấu hình của nó là cài đặt giả. Nó phải được cung cấp thông tin đăng nhập email thực để bạn nhận được thông báo. Để khắc phục điều đó, bạn cần sửa đổi file ossec.conf nằm trong /usr/local/ossec-hids/etc

ossec.conf là một file cấu hình rất quan trọng đối với OSSEC, vì vậy trước khi bạn bắt đầu chỉnh sửa nó, hãy tạo một bản backup .

sudo cp /usr/local/ossec-hids/etc/ossec.conf /usr/local/ossec-hids/etc/ossec.conf.00

Bây giờ hãy mở file root .

sudo nano /usr/local/ossec-hids/etc/ossec.conf

Phần đầu tiên cần được sửa đổi nằm ở đầu file và được hiển thị bên dưới. Các cài đặt này cho OSSEC biết nơi gửi cảnh báo và server SMTP nào nên sử dụng.

<global>     <email_notification>yes</email_notification>     <email_to>daniel.cid@xxx.com</email_to>     <smtp_server>smtp.xxx.com.</smtp_server>     <email_from>ossecm@ossec.xxx.com.</email_from> </global>

Gửi thư

FreeBSD 10.1 đi kèm với Sendmail theo mặc định và nếu bạn muốn sử dụng nó cho các thông báo qua email của OSSEC, thì smtp_server nên được đặt thành localhost như hình dưới đây.

<global>     <email_notification>yes</email_notification>     <email_to>sammy@example.com</email_to>     <smtp_server>localhost</smtp_server>     <email_from>sammy@example.com</email_from> </global>

Lưu ý: Sendmail có thể xử lý cả thư đến và thư đi. Nếu bạn không cần các dịch vụ gửi đến của Sendmail, hãy nối các dòng bên dưới vào /etc/rc.conf .

# For Sendmail  sendmail_enable="NO"

Server SMTP của bên thứ ba

Tuy nhiên, nếu bạn muốn chỉ định server SMTP của bên thứ ba và không sử dụng version local của Sendmail, vùng thông báo email của ossec.conf sẽ trông giống như sau:

<global>     <email_notification>yes</email_notification>     <email_to>sammy@example.com</email_to>     <smtp_server>mail.example.com.</smtp_server>     <email_from>sammy@example.com</email_from> </global>

Khi bạn đã chỉ định tất cả các cài đặt email cần thiết, hãy lưu file . Để xác minh OSSEC hiện có thể gửi cảnh báo, hãy bắt đầu bằng lệnh :

sudo /usr/local/ossec-hids/bin/ossec-control start

Nếu tất cả đều ổn, bạn sẽ nhận được một email theo địa chỉ đã cấu hình như sau:

OSSEC HIDS Notification. 2015 Jan 23 23:08:32  Received From: liniverse->ossec-monitord Rule: 502 fired (level 3) -> "Ossec server started." Portion of the log(s):  ossec: Ossec started.    --END OF NOTIFICATION

Nếu bạn không nhận được email, hãy kiểm tra folder Spam của bạn.

Bước 4 - Cấu hình kiểm tra hệ thống

Từ đây, ta sẽ tiếp tục làm việc trong ossec.conf . Các chỉnh sửa cấu hình sẽ được trình bày theo thứ tự xuất hiện trong file .

sudo nano /usr/local/ossec-hids/etc/ossec.conf

Điều chỉnh khoảng thời gian kiểm tra hệ thống

syscheck là quy trình kiểm tra tính toàn vẹn của OSSEC và ta có thể cho syscheck biết tần suất quét và kiểm tra hệ thống file để tìm bằng chứng về những thay đổi trái phép.

Cuộn xuống phần syscheck. Hai dòng đầu tiên nên đọc:

<syscheck>     <!-- Frequency that syscheck is executed -- default every 20 hours -->     <frequency>17200</frequency>

Cài đặt đó cho OSSEC thực hiện kiểm tra hệ thống cứ sau 17200 giây một lần. Đó là khoảng tần số tốt cho một hệ thống production . Tuy nhiên, vì thông báo thời gian thực không được hỗ trợ trong cài đặt binary của OSSEC trên FreeBSD, bạn nên giảm giá trị đó xuống khoảng 900 giây. Sau đó, bạn có thể nhận được thông báo trong một khung thời gian ngắn hơn khi bạn kiểm tra OSSEC. Sau khi kiểm tra, bạn có thể thay đổi nó trở lại mặc định.

Chỉ định folder để giám sát

Cài đặt mặc định của OSSEC dựa trên Linux, vì vậy các file và folder được giám sát mặc định phản ánh những file và folder thường được tìm thấy trên hệ thống Linux. Do đó, chúng phải được sửa đổi để phù hợp với cài đặt FreeBSD. Các folder đó được liệt kê ngay bên dưới cài đặt trước đó mà bạn đã sửa đổi và các giá trị mặc định là:

<!-- Directories to check  (perform all possible verifications) -->     <directories check_all="yes">/etc,/usr/bin,/usr/sbin</directories>     <directories check_all="yes">/bin,/sbin</directories>

Như đã nêu trước đó, các cài đặt đó tốt cho server Linux, nhưng chúng cần sửa đổi cho server FreeBSD. Đây là cài đặt được đề xuất cho server FreeBSD 10.1.

<!-- Directories to check  (perform all possible verifications) -->     <directories report_changes="yes" check_all="yes">/etc,/usr/bin,/usr/sbin</directories>     <directories report_changes="yes" check_all="yes">/bin,/sbin</directories>     <directories report_changes="yes" check_all="yes">/usr/local/etc,/usr/local/bin,/usr/local/sbin</directories>     <directories report_changes="yes" check_all="yes">/home/freebsd,/usr/local/www</directories>

Hai dòng phụ màu đỏ đã được thêm vào. Phần bổ sung đầu tiên dành riêng cho server FreeBSD và phần thứ hai thông báo cho OSSEC rằng ta muốn giám sát folder chính của freebsd . Nếu bạn đang sử dụng tên user khác, hãy thay đổi /home/ freebsd để phù hợp với tên user đó.

Lưu ý: Thư mục /usr/local/www là nơi dữ liệu server Web được lưu trữ trong FreeBSD. Nếu bạn có ý định lưu trữ một trang web, tất cả dữ liệu của trang web sẽ nằm trong folder đó. Điều đó làm cho nó trở thành một folder quan trọng cần theo dõi.

Chỉ định file hoặc folder bị bỏ qua

Phần tiếp theo của ossec.conf là danh sách các file mà OSSEC nên bỏ qua vì chúng có xu hướng thay đổi rất thường xuyên và sẽ tạo ra quá nhiều xác thực giả. Danh sách file mặc định được hiển thị bên dưới.

<!-- Files/directories to ignore -->     <ignore>/etc/mtab</ignore>     <ignore>/etc/hosts.deny</ignore>     <ignore>/etc/mail/statistics</ignore>     <ignore>/etc/random-seed</ignore>     <ignore>/etc/adjtime</ignore>     <ignore>/etc/httpd/logs</ignore>

danh sách mặc định dành riêng cho hệ thống Linux. Ví dụ, FreeBSD 10.1 không sử dụng file mtab hoặc file hosts.deny theo mặc định.

Vậy những file nào bạn nên cấu hình OSSEC để bỏ qua trên server FreeBSD 10.1? Đối với hầu hết các phần, đó là điều bạn phải tìm ra khi đi vì nó phụ thuộc vào những gì bạn đã cài đặt trên server .

Ví dụ: file hosts.deny đã được hợp nhất với file hosts.allow . Vì vậy, nó có thể là một cái gì đó bạn muốn bỏ qua. Tuy nhiên, theo dõi file hosts.allow có thể giúp bạn thông báo về việc ai đang ném đá vào server của bạn vì đó là nơi lưu giữ tất cả các địa chỉ IP có nỗ lực kết nối bị từ chối.

Nếu bạn đã cài đặt Bash, .bash_profile là một thành phần tốt để bỏ qua, mặc dù cảnh báo trên file đó cung cấp cho bạn cái nhìn sâu sắc về những lệnh nào đang được thực thi trên server của bạn. Nếu bạn đã cài đặt sSMTP, một server email chỉ gửi, thì file dead.letter của nó là một file khác có thể bị bỏ qua. Ngoài ra, sau khi cài đặt lsof , file .lsof_HOSTNAME của nó có thể bị bỏ qua.

Điểm chung là: Sau khi cài đặt một ứng dụng, hãy kiểm tra xem nó có tạo một folder ẩn trong /home của bạn /home . Tệp ẩn đó có thể là một thành phần tốt để bỏ qua. Nếu nghi ngờ, bạn có thể giữ nguyên phần Tệp / folder để bỏ qua . Chỉ cần theo dõi các cảnh báo mà OSSEC gửi. Nội dung của chúng sẽ cung cấp cho bạn ý tưởng về các file bạn nên cấu hình OSSEC để bỏ qua.

Để giúp bạn thêm về phần này, đây là giao diện trên server thử nghiệm được sử dụng cho hướng dẫn này với user mặc định freebsd .

<!-- Files/directories to ignore -->     <ignore>/home/freebsd/dead.letter</ignore>     <ignore>/home/freebsd/.bash_profile</ignore>     <ignore>/home/freebsd/.lsof_liniverse</ignore>     <ignore>/etc/dumpdates</ignore>     <ignore>/usr/local/ossec-hids/logs</ignore>     <ignore>/usr/local/ossec-hids/queue</ignore>     <ignore>/usr/local/ossec-hids/var</ignore>     <ignore>/usr/local/ossec-hids/tmp</ignore>     <ignore>/usr/local/ossec-hids/stats</ignore>

Như bạn thấy , danh sách đó bỏ qua một số folder trong cây cài đặt OSSEC. Không bỏ qua những folder đó có thể khiến hệ thống hết dung lượng ổ đĩa trong một thời gian rất ngắn.

Bước 5 - Cấu hình Rootcheck

Điểm dừng chân tiếp theo trong ossec.conf là phần rootcheck. Rootcheck là một thành phần của OSSEC dùng để quét hệ thống để tìm rootkit. Theo mặc định, nó đọc:

<rootcheck>     <rootkit_files>/var/ossec/etc/shared/rootkit_files.txt</rootkit_files>     <rootkit_trojans>/var/ossec/etc/shared/rootkit_trojans.txt</rootkit_trojans> </rootcheck>

OSSEC trên FreeBSD 10.1 không được cài đặt trong /var/ossec , nhưng trong /usr/local/ossec-hids vì vậy hãy sửa đổi các dòng đó để phản ánh điều đó. Sau đó, phần đó sẽ đọc:

<rootcheck>     <rootkit_files>/usr/local/ossec-hids/etc/shared/rootkit_files.txt</rootkit_files>     <rootkit_trojans>/usr/local/ossec-hids/etc/shared/rootkit_trojans.txt</rootkit_trojans> </rootcheck>

Đó là tất cả những gì bạn cần thay đổi trong ossec.conf - bây giờ. Lưu và đóng nó; ta sẽ quay lại với nó sau. Để đảm bảo mọi thứ đã được đặt chính xác, hãy thử khởi động lại OSSEC.

sudo /usr/local/ossec-hids/bin/ossec-control restart

Khởi động lại sẽ thành công. Nếu nó trả về lỗi cấu hình, hãy kiểm tra kỹ các mục nhập của bạn cho các Bước 4 và 5.

Bước 6 - Chỉ định file log sẽ được theo dõi

Cài đặt mặc định của OSSEC được cấu hình để giám sát các file log có vị trí cụ thể đối với hệ thống Linux. Trên FreeBSD 10.1, một số file có tên hơi khác mặc dù chúng vẫn nằm trong cùng folder /var/log .

Nếu bạn nhìn vào file log của OSSEC ( /var/log/ossec-hids/logs/ossec.log ), bạn sẽ thấy các mục như sau:

ossec-logcollector(1950): INFO: Analyzing file: '/var/log/messages' ossec-logcollector(1103): ERROR: Unable to open file '/var/log/authlog' ossec-logcollector(1103): ERROR: Unable to open file '/var/log/secure' ossec-logcollector(1950): INFO: Analyzing file: '/var/log/xferlog'

Mục nhập chứa LỖI: Không thể mở file cho biết một file mà OSSEC không thể tìm thấy vì nó không tồn tại hoặc có thể quyền bị sai. Xác minh đó là trường hợp trên hệ thống của bạn trước khi đưa ra kết luận.

Đây là cách bạn có thể xác định vị trí của các file log mà OSSEC sẽ theo dõi trên FreeBSD 10.1. Ta sẽ sử dụng lsof để liệt kê các file đang mở mà hệ thống đang sử dụng trong thời gian chạy. lsof không được cài đặt theo mặc định, vì vậy trước tiên hãy cài đặt nó:

sudo pkg install lsof

Sau đó, để chạy kiểm tra file log , hãy sử dụng lệnh sau:

lsof | grep log | grep -v ".so" | egrep -v "ossec|proc|dev|run"

Tất cả những gì lệnh đang làm là đánh bắt tất cả các file đang mở, lưu giữ các file log mà ta quan tâm và loại bỏ phần còn lại. Ta chắc chắn không muốn giám sát các file trong folder cài đặt của OSSEC hoặc trong /proc , /dev hoặc /var/run . Bạn sẽ nhận được một kết quả chứa danh sách các file log . Khối mã sau đây hiển thị một phần kết quả trên hệ thống thử nghiệm được sử dụng cho hướng dẫn này:

syslogd  ...  root  ...  /var/log/messages syslogd  ...  root  ...  /var/log/security syslogd  ...  root  ...  /var/log/auth.log syslogd  ...  root  ...  /var/log/maillog syslogd  ...  root  ...  /var/log/lpd-errs

Nếu bạn so sánh tên trong kết quả đó với tên trong kết quả của file log của OSSEC, bạn sẽ dễ dàng thấy rằng /var/log/auth.log giống với /var/log/authlog và /var/log/security là của FreeBSD. tương đương với /var/log/secure .

Bây giờ hãy mở lại ossec.conf và sửa đổi tên của file log để trùng với tên được sử dụng trong FreeBSD 10.1.

sudo nano /usr/local/ossec-hids/etc/ossec.conf

Khối mã bên dưới cho thấy một ví dụ về những dòng được sửa đổi. Bạn cần thêm các vị trí log cho các dịch vụ cụ thể mà bạn đã cài đặt và đang chạy trên server ; các dịch vụ như Nginx, Apache, v.v.

<!-- Files to monitor (localfiles) -->  <localfile>    <log_format>syslog</log_format>     <location>/var/log/auth.log</location>   </localfile>    <localfile>     <log_format>syslog</log_format>     <location>/var/log/security</location>   </localfile>

Thêm mục nhập file log với use.sh

Nếu một thời gian dài sau khi cài đặt OSSEC, bạn có file log trong folder tùy chỉnh mà bạn muốn theo dõi, bạn có thể sử dụng lệnh util.sh của OSSEC để thêm nó hoặc mở ossec.conf bằng nano và thêm nó theo cách thủ công.

Ví dụ: nếu bạn đã cài đặt Nginx và các file log lỗi và quyền truy cập của nó nằm trong folder /var/log/nginx , bạn có thể thêm chúng vào ossec.conf bằng cách sử dụng util.sh như sau:

/usr/local/ossec-hids/bin/util.sh addfile /var/log/nginx/access.log /usr/local/ossec-hids/bin/util.sh addfile /var/log/nginx/error.log

Lưu ý: Nếu bạn chạy hai lệnh đó khi chúng được trình bày và bạn chưa cài đặt Nginx, bạn sẽ gặp lỗi cho biết file log không tồn tại.

Đến đây, ta có một thay đổi cuối cùng cần thực hiện trong ossec.conf , vì vậy hãy để file mở khi bạn chuyển sang bước tiếp theo.

Bước 7 - Cảnh báo về file mới

Theo mặc định, OSSEC không cảnh báo khi file mới được tạo trong hệ thống, vì vậy ta sẽ thay đổi hành vi đó. Có hai thành phần cho sự thay đổi này.

Đặt kiểm tra hệ thống

Cuộn trở lại hệ điều syscheck khu vực kiểm tra hệ thống của ossec.conf và thêm một dòng tệp mới cảnh báo ngay dưới khoảng thời gian kiểm tra tần suất.

Kết quả nên đọc:

<syscheck>     <!-- Frequency that syscheck is executed -- default every 20 hours -->     <frequency>17200</frequency>      <alert_new_files>yes</alert_new_files>

Đến đây bạn có thể lưu và đóng ossec.conf . Ta đã hoàn thành với nó.

Sửa đổi mức phân loại của luật

Mặc dù ta đã yêu cầu syscheck theo dõi các file mới được tạo, nhưng OSSEC sẽ không thực sự thông báo cho ta về chúng. Để làm được điều đó, ta cần sửa đổi luật OSSEC mặc định.

Mở ossec_rules.xml bằng nano .

sudo nano /usr/local/ossec-hids/rules/ossec_rules.xml

Luật kích hoạt khi file được thêm vào folder được giám sát là luật 554 . Đây là những gì nó trông giống như:

<rule id="554" level="0"> <category>ossec</category> <decoded_as>syscheck_new_entry</decoded_as> <description>File added to the system.</description> <group>syscheck,</group> </rule>

OSSEC không gửi cảnh báo nếu luật có mức được đặt thành 0 , vì vậy bạn phải sao chép luật đó vào local_rules.xml và sửa đổi luật để luật sẽ kích hoạt cảnh báo. Bạn có thể sử dụng chuột hoặc bàn di chuột để đánh dấu luật trong nano , copy paste tạm thời vào editor trên server của bạn.

Bây giờ hãy mở local_rules.xml Đây là nơi tất cả các luật OSSEC do user sửa đổi sẽ đi đến; bạn không nên thực hiện thay đổi đối với ossec_rules.xml .

sudo nano /usr/local/ossec-hids/rules/local_rules.xml

Sử dụng CONTROL+SHIFT+V để dán luật từ editor văn bản của server của bạn vào nano . Đảm bảo bạn dán nó trong các thẻ group . Ta sẽ thay đổi mức thông báo thành 7 và nói với OSSEC rằng luật này overrides luật 554 từ ossec_rules.xml .

Khi hoàn tất, phần cuối của file local_rules.xml của bạn sẽ giống như bên dưới. Dòng đầu tiên là tất cả những gì đã được thay đổi so với luật ban đầu.

<rule id="554" level="7" overwrite="yes">     <category>ossec</category>     <decoded_as>syscheck_new_entry</decoded_as>     <description>File added to the system.</description>     <group>syscheck,</group> </rule>   </group> <!-- SYSLOG,LOCAL -->   <!-- EOF -->

Khi tất cả hoàn tất, hãy lưu file , sau đó khởi động lại OSSEC bằng lệnh :

sudo /usr/local/ossec-hids/bin/ossec-control restart

Kết luận

Ngay sau khi khởi động lại OSSEC, bạn sẽ nhận được cảnh báo cho biết rằng OSSEC đã khởi động, giống như bạn đã làm trong Bước 3 khi cấu hình server SMTP. Sẽ là một ý kiến hay nếu bạn làm quen với các mức luật khác nhau và mức độ nghiêm trọng mà chúng ngụ ý. Bạn có thể đọc về chúng trong tài liệu OSSEC .

Và sau khi OSSEC thực hiện kiểm tra hệ thống tiếp theo, bạn cũng sẽ nhận được các cảnh báo tiêu chuẩn mà bạn có thể mong đợi từ một hệ thống mới. Dưới đây là một số thông báo bạn có thể sẽ thấy (hoặc xem các biến thể của) ngay sau khi bạn đã cấu hình trên server của bạn .

Lần đầu tiên user freebsd đã chạy một lệnh sudo.

OSSEC HIDS Notification. 2015 Jan 24 07:10:56  Received From: liniverse->/var/log/auth.log Rule: 5403 fired (level 4) -> "First time user executed sudo." Portion of the log(s):  Jan 24 02:10:56 liniverse sudo:  freebsd : TTY=pts/1 ; PWD=/usr/home/freebsd ; USER=root ; COMMAND=/usr/sbin/pkg install namp   --END OF NOTIFICATION

OSSEC đã chặn địa chỉ IP 93.50.186.75 trong hosts.allow.

OSSEC HIDS Notification. 2015 Jan 25 02:06:47  Received From: Freebsd->syscheck Rule: 552 fired (level 7) -> "Integrity checksum changed again (3rd time)." Portion of the log(s):  Integrity checksum changed for: '/etc/hosts.allow' Size changed from '3408' to '3434' What changed: 93a94      ALL : 93.50.186.75 : deny  Old md5sum was: 'f8ba903734ee1bd6afae641974a51522' New md5sum is : '56dfbd3922cf7586b81b6575f6564196' Old sha1sum was: 'a7a9886aa90f2f6aaa7660490809d6a0717b8d76' New sha1sum is : '6a0bf14c4614976d2c2e1157f157ae513f3f9cfc'   --END OF NOTIFICATION

Tệp ngx.txt đã được tạo trong /home/freebsd .

OSSEC HIDS Notification. 2015 Jan 24 20:08:38  Received From: liniverse->syscheck Rule: 554 fired (level 7) -> "File added to the system." Portion of the log(s):  New file '/home/freebsd/ngx.txt' added to the file system.    --END OF NOTIFICATION

Hy vọng rằng điều này đã cho bạn biết những gì OSSEC cung cấp. Như đã nêu trước đó, cảnh báo thời gian thực và cảnh báo về việc xóa file chưa được hỗ trợ trên FreeBSD. Tuy nhiên, một yêu cầu tính năng liên quan đến những thứ đó đã được thực hiện trên trang GitHub của dự án. Để biết thêm thông tin về OSSEC, hãy truy cập trang web của dự án tại http://www.ossec.net/ .

Tags:

Các tin liên quan