Настройка ОС Astra Linux
Обновлено: 21.11.2024
OSSEC (система обнаружения вторжений с открытым исходным кодом) – это хостовая система обнаружения вторжений. Если у вас появилась задача проверки контроля целостности файлов на ваших серверах, логирования различных действий на серверах, получения событий безопасности с ваших серверов (а также любых других) и оповещения об этих событиях, получения различных отчетов и многого другого, то HIDS OSSEC — отличное решение под эти задачи. OSSEC может работать по схеме агент + сервер в гибридном режиме (агент->сервер->сервер). Мы будем разрабатывать схему агента + сервер и работать в гибридном режиме.
Содержание
Установка OSSEC
Установим на ОС Ubuntu 14.04 Установим необходимые пакеты для установки OSSEC:
Скачать OSSEC с офф.сайта:
Запустим установочный скрипт ./install.sh. Выбираем язык (en). Отвечаем на вопросы:
Ждем завершения установки.
По умолчанию OSSEC устанавливается в каталог /var/ossec/. Директории с бинарными файлами — /var/ossec/bin/. Директории с конфигурационными файлами — /var/ossec/etc/. Директории с логами — /var/ossec/logs/. Для работы агентов с сервером необходимо открыть порт 1514udp.
Настройка конфигурационного файла OSSEC
Откроем конфиг файл.
нано /var/ossec/etc/ossec.conf.
Секция глобальная.
В этом разделе мы настроим оповещение по электронной почте:
Секция syscheck. В этом разделе проверки проверки наличия файлов:
Разберем дополнительные проверки проверки целостности файлов. Если необходимо запустить проверку в определенное время, можно настроить параметры сканирования scan_time или scan_day:
Если существует постоянный контроль содержания, каких-либо файлов, на этот случай существует параметр в реальном времени:
Постоянный контроль Различных файлов нельзя, обязательно указывать каталог, где этот файл находится. Также можно включить запуск проверки при старте ОС:
Если вдруг включится оповещения о смеси новых фалов в каталогах, можно Регулировать параметром alert_new_files:
В секции rootcheck загружаются файлы с сигнатурами руткитов.
В секциях localfile журнал использования файлов, которые ossec будет отслеживать.
На основе декодеров и правил, находящихся в /var/ossec/etc/decoders.xml и /var/ossec/rules/, OSSEC будет обрабатывать события из файлов журнала. OSSEC имеет довольно большое количество правил, которые можно использовать в секциях. Если у них нет правил, вам не хватает некоторых из устарели, никто не может изменить их или написать свои.
В секциях команды и активного ответа расположены настройки IPS. Можно настроить реагирование на какое-либо событие. В /var/ossec/active-response/bin/ находятся дефолтные скрипты, которые можно применять при наступлении каких-либо событий. Можно добавить свои скрипты.
Добавление агентов
Установим агент OSSEC из этого же дистрибутива, только при установке выберем агент режима.
3.1- Какой IP-адрес или имя хоста у сервера OSSEC HIDS? Укажем IP-адрес нашего сервера OSSEC. Снова включим модуль проверки целостности и поиска руткитов. Ждем завершения установки.Теперь необходимо связать агент ossec с общественным сервером. Для этого существует два хорошо.
1-й способ
Идем на сервер и запускаем менеджеров по работе с агентами:
Выбираем A (A)добавить агента (A). Далее пишем имя нашего агента. Уведомление об ip адресе нашего агента. Выбираем идентификатор агента, можно оставить идентификатор, который предлагает OSSEC.
Подтвердить добавление?(y/n):y
Подтверждаем добавление агента. Далее выбираем ключ (E)extract для агента. Уведомление об идентификаторе нашего нового агента. Копируем base64 и нажимаем Enter. Выбираем Q выход из менеджера работы с агентами. Рестартим сервер для успешного добавления агента:
Далее идем на нашего агента и заходим в менеджер по работе с агентами:
Выбираем (I)импортировать ключ с сервера для добавления ключа, который мы скопировали. Вставляем и подверждаем добавление агента и выходим. Далее можно запустить наш агент.
Должно прийти. Идем на сервер, чтобы проверить, подключился ли агент.
Мы должны увидеть в списке ваш агент со статусом Active. Также в /var/ossec/logs/alerts.alerts.log мы должны увидеть это событие.
Подключен новый агент ossec.
Агент успешно добавлен.
2-й способ
Идем на сервер. Генерируем сертификат для нашего сервера:
Запускаем демона, который будет ожидать регистрации агентов по порту 1515:
Переходим на машину с агентом:
Запускаем агент /etc/init.d/ossec start. Переходим обратно на сервер и смотрим, появился ли наш агент:
Мы должны увидеть нового агента, имя агента будет совпадать с именем хоста. Для успешного подключения агента необходимо перезапустить сервер OSSEC. Этот способ добавления очень удобен, т.к. не требует от администратора сервера OSSEC многих действий по работе с ключами. Для работы этого режима, как на сервере, так и на агенте, необходимо произвести установку OSSEC с пакетом libssl-dev.
Настройка конфигурации файла агентов
Настройка конфигурации файла для агентов мало чем отличается от настройки этого файла для сервера. Там также есть секции syschek, rootkit, localfile и прочие. Но лучше сохранить один конфигурационный файл для агентов на сервере, а агенты будут сами подхватывать этот файл конфигурации и его изменения.
Для этого нам необходимо на сервере в /var/ossec/etc/shared/ создать файл agent.conf – это и будет наш Общий файл конфигурации. В этом файле можно делать разные наборы для наших агентов, которые можно разбить по предпочтениям типов:
— Имя агента. Можно сделать конфигурацию для нескольких агентов и перечислить их имена.
— Профиль сервера. Можно сделать конфигурации для групповых серверов(например, веб-серверы, базы данных и т.д):
— Тип ОС. Можно сделать конфигурацию в зависимости от типа ОС:
Для проверки подлинности синтаксиса в конфиг.файле для агентов можно следовать правилам:
В итоге в /var/ossec/etc/ossec.conf на агенте можно оставить несколько строк:
Остальную часть набора агент подхватывает с сервера.
Оповещения по электронной почте
Настройки файла для работы по электронной почте, которые мы уже использовали в секции глобального конфигурационного сервера OSSEC. В каждом событии из правил ossec есть уровень критичности, если мы желаем получать рассылку по электронной почте не ниже какого-то определенного уровня, мы можем это настроить в секциях оповещений:
Работа с агентами и получение отчетов
Получения списка всех агентов:
Получение информации об агенте, интересна здесь контрольная сумма файла набора. Его можно сравнить с конфигурацией на сервере:
Если контрольные суммы не совпадают, значит агент не перехватил конфиг с сервера.
Перезапуск агента, обычно необходимо для изменений в конфигурации для агентов.
Принудительный запуск обнаружения наличия и поиска руткитов на всех агентах:
Тоже самое, но только для определенного агента:
Обнуление счетчиков контрольных суммирующих файлов:
Для получения отчетов в консоли можно использовать:
Можно получать отчеты о смене контрольных суммированных файлов определенного агента или любого файла.
Вывод данных в другие системы
Кроме того, вывод событий в файлы предупреждений и в виде оповещений по электронной почте, в OSSEC можно вывести вывод событий в другие системы или в БД.
Вывод в SIEM Prelude
Для вывода событий в SIEM Prelude необходимо перед установкой сервера OSSEC установить пакет libprelude-dev и поддержку и добавить prelude
Генерация 1024-битного ключа Диффи-Хеллмана для анонимной аутентификации…
Ожидание запроса на установку пиров на 0.0.0.0:5553…
Ожидание запроса на установку пиров на . 5553.
В консольном терминале консоли OSSEC команда:
Генерация 2048-битного закрытого ключа RSA… Это может занять очень много времени.
[Увеличение активности системы ускорит процесс].
Выполняется создание… X
Теперь запустим оба демона.
Теперь мы наблюдаем за событиями из OSSEC в Prelude.
Вывод событий в БД
Для вывода событий в БД необходимо добавить поддержку БД перед установкой OSSEC:
Позже добавить параметры подключения к БД в конфигурационном файле. Пример:
Поддерживаемые БД: MySQL и PostgreSQL.
Схемы баз данных есть в офф.документации.
Далее необходимо включить вывод в БД:
Вывод в другие системы через syslog
Необходимо добавить в конфиг.файл следующую строку:
Часто через системный журнал из OSSEC выводит события в SPLUNK, Logstash, различные SIEM.
Работа OSSEC в гибридном режиме
Гибридный режим в OSSEC служителя для того, чтобы построить схему Агент -> Сервер -> Основной сервер, и словами для форварда событий на головной сервер OSSEC. В этом протоколе на сервере работает как агент OSSEC, так и сервер OSSEC.
Чтобы установить OSSEC в гибридном режиме, необходимо использовать установочный скрипт и выбрать режим установки hybrid, ответить на все вопросы и в процессе установки установить ip-адрес сервера сервера.
Все файлы от агента находятся в каталоге /var/ossec/ossec-agent/.
Запуск, Стоп, Рестарт агента производится с помощью:
Чтобы добавить этот агент к основному серверу, необходимо также установить ключ, созданный на основном сервере.
Теперь этот агент будет читать файл /var/ossec/logs/alerts/alerts.log и переданы эти события на основной сервер.
Сейчас на моем OSSEC подключено 135 агентов, есть как сервер на Windows, так и на Linux (Ubuntu, Debian, CentOS).
OSSEC — это хост-система обнаружения вторжений с открытым исходным кодом, которую можно использовать для отслеживания активности серверов. Он поддерживает большинство операционных систем, таких как Linux, FreeBSD, OpenBSD, Windows, Solaris и многие другие. Он используется для мониторинга одного сервера или нескольких серверов в режиме сервера/агента и дает вам представление о том, что происходит на вашем сервере в режиме реального времени. OSSEC имеет кросс-платформенную архитектуру, которая позволяет централизованно контролировать несколько систем.
В этом руководстве мы узнаем, как установить и настроить OSSEC для мониторинга локального сервера Ubuntu 16.04. Мы также установим веб-интерфейс OSSEC и протестируем OSSEC на предмет любых модификаций файлов
Системные требования
- Недавно развернутый сервер Ubuntu 16.04.
- На вашем сервере настроен статический IP-адрес 192.168.15.189.
- Имя хоста localhost установлено на вашем сервере
Установите необходимые зависимости
Во-первых, вам необходимо обновить систему до последней стабильной версии. Вы можете сделать это с помощью следующей команды:
OSSEC требует gcc, libc, apache и PHP. Вы можете установить все эти пакеты с помощью следующей команды:
Установить OSSEC
Сначала загрузите последнюю версию OSSEC из репозитория GitHub с помощью следующей команды:
После завершения загрузки извлеките загруженный файл с помощью следующей команды:
Затем измените каталог на извлеченный каталог, затем запустите install.sh для установки OSSEC:
Вам будет предложено ответить на несколько вопросов:
Выберите свой язык. Если ваш язык английский, введите en и нажмите Enter:
Вы должны увидеть следующий вывод:
Нажмите Enter, вы должны увидеть следующий вывод:
Выберите локальный для мониторинга сервера, на котором он был установлен, затем нажмите Enter:
Выберите место установки OSSEC и нажмите Enter:
Введите y и нажмите Enter, если хотите получать уведомления по электронной почте:
Введите свой локальный адрес электронной почты и нажмите Enter:
Нажмите Enter для демона проверки целостности:
Нажмите Enter, чтобы активировать механизм обнаружения руткитов:
Нажмите Enter, чтобы включить активный ответ:
Нажмите Enter, чтобы активировать ответ на удаление брандмауэра:
Введите n и нажмите Enter, если вы не хотите добавлять белый список:
Нажмите Enter, чтобы включить удаленный системный журнал:
Наконец, нажмите Enter, чтобы начать установку. После успешной установки вы должны увидеть следующий вывод:
После завершения установки запустите OSSEC с помощью следующей команды:
Вы должны увидеть следующий вывод:
После запуска OSSEC вы также должны получить оповещение по электронной почте. Вы можете проверить это с помощью следующей команды:
Вы должны увидеть, что электронное письмо выглядит следующим образом:
Теперь OSSEC работает нормально и также будет отправлять оповещения по электронной почте.
Настроить OSSEC
Конфигурация OSSEC по умолчанию работает нормально. Файл конфигурации почты OSSEC находится в каталоге /var/ossec/etc/.
Теперь откройте основной файл конфигурации OSSEC ossec.conf с помощью следующей команды:
Первые параметры конфигурации — это настройки электронной почты, которые вы указали во время установки. Вы можете изменить эту настройку в любое время:
По умолчанию OSSEC не уведомляет о добавлении нового файла на сервер. Вы можете изменить это, добавив новую строку прямо под разделом, как показано ниже:
По умолчанию OSSEC не отправляет оповещения в режиме реального времени. Вам также нужно будет изменить is в списке на каталоги, которые OSSEC должен проверять. По умолчанию каталоги показаны ниже:
Вам потребуется изменить две приведенные выше строки, чтобы OSSEC сообщал об изменениях в режиме реального времени. Замените обе строки следующим:
Сохраните и закройте файл, когда закончите.
Далее вам нужно будет изменить файл правил local_rules.xml, расположенный в каталоге /var/ossec/rules. Этот файл содержит правила для нового файла, добавляемого в систему.
Добавьте следующие строки между . разделы:
Сохраните и закройте файл, когда закончите. Затем перезапустите OSSEC с помощью следующей команды:
Если все в порядке, OSSEC перезапускается без ошибок.
Установить веб-интерфейс OSSEC
Сначала загрузите последнюю версию исходного кода веб-интерфейса OSSEC из репозитория GitHub:
После загрузки извлеките загруженный файл с помощью следующей команды:
Затем переместите извлеченный каталог в корневой веб-каталог apache:
Затем установите веб-интерфейс OSSEC с помощью следующей команды:
Ответьте на все вопросы, как показано ниже:
Наконец, перезапустите apache с помощью следующей команды:
Тест OSSEC
Теперь OSSEC запущен и работает. Пришло время проверить OSSEC, работает он или нет.
Попробуйте внести некоторые изменения в /etc/network/interfaces, /etc/rc.local , /etc/fstab и файл /etc/aliases.
После внесения изменений вы должны получить уведомление по электронной почте о том, что в вашей системе что-то изменилось. Вы можете проверить электронную почту с помощью следующей команды:
Проверьте все письма с уровнем оповещения 7, вы должны увидеть следующие оповещения:
Руководство
оссек астра линукс
В двух словах о настройке Ossec в Астре
<р>1. Настроить apache2 (глава 12 Ruk_admin) и ossec (глава 15 Ruk_admin)При корректной работе системы ossec на сервере будет ожидаться файл логов: /var/ossec/logs/alerts/alerts.log
<р>2. Проверка пакетов:libapache2-mod-php5
php5-common
php5 <р>8. В файле /etc/php5/cli/php.ini выставить часовой пояс:
date.timezone = Europe/Moscow
Наслаждать вэбинтерфейсом 🙂
Все, что здесь находится, будет заменено в браузерах, поддерживающих элемент canvas
Команда su – это специальная Linux, которая разрешает использование команды от имени другого пользователя и группы. Она также позволяет переключиться на корневую учетную запись (если более высокая без аргументов) или другую указанную учетную запись пользователя. По умолчанию доступ к игре su разрешен всем пользователям. Но как системный администратор, вы можете запретить доступ к su для [...]
Возможность обнаружения задач с использованием скриптов Bash в Linux является наиболее часто используемой системой обнаружения. Однако из-за наличия множества компонентов скриптов это может быть пугающим для новичков. Даже опытные пользователи время от времени могут что-то забыть, поэтому мы затрагиваем эту шпаргалку Bash. В такие моменты очень удобно собирать список компонентов Bash, […]
Введение Развертывание контейнеров – это практический метод обеспечения переносимости, масштабируемости и гибкости в мире DevOps. От тестирования до продажи, контейнеры облегчают весь процесс разработки программного обеспечения. Платформы для управления и оркестрации контейнеров были разработаны так, чтобы быть реализованными и естественными для конечного пользователя. Однако сами платформы сложны и возникают из возникающих скоординированных проектов. В этом […]
Целью nist-data-mirror является возможность предлагать данные об уязвимостях NIST внутри брандмауэра компании, чтобы использовать локальный (более быстрый) доступ к данным NIST. nist-data-mirror не зависит от каких-либо внешних зависимостей, только от основных библиотек Java SE. Его можно использовать в оценке с [OWASP Dependency-Check], чтобы выбрать Dependency-Check зеркально используемую информацию NIST. OWASP DependencyCheck – открытое публичное […]
OSSEC — это система обнаружения вторжений со стороны на основе хоста с вероятным исходным кодом (еще она называется IDS). OSSEC позиционирует себя как одну из самых популярных систем обнаружения вторжений в мире. Она позволяет осуществлять мониторинг такого типа, как:
- аномалии сети;
- анализ журнала;
- проверка целостности системы;
- мониторинг реестра Windows;
- обнаружение руткитов;
- мониторинг текущих процессов;
- отправление оповещений в режиме реального времени;
- соответствует активному каталогу;
- мониторинг политики безопасности.
Необходимые компоненты
Для установки агента OSSEC на Ubuntu 20.04.1 нужны свойства личности. Они указаны ниже:
- ССЗ
- Сделать
- Libevent-dev
- Zlib-dev
- Libssl-dev
- Libpcre2-dev
- Получить
- Тар
Пользователь может скачать все эти компоненты, просто выполнив задание:
Скачивание исходного кода OSSEC
Пользователи могут загрузить последнюю версию исходного кода OSSEC с официальной страницы на GitHub или просто получить эту команду:
Извлечение и установка агента OSSEC
После завершения загрузки исходного кода необходимо его потребление, просто выполнив эту команду:
Чтобы установить агент OSSEC, человек обнаружил исходный код и запустил скрипт установки, как показано ниже:
Далее он выберет язык установки или нажмет на обнаружение ENTER, чтобы выбрать параметры установки по умолчанию.
Развертывание агента OSSEC на сервере AlienVault
Чтобы установить связь агента с сервером, нужно:
- добавить его на сервер HIDS или сервер AlienVault;
- из ключей аутентификации агентов с сервером AlienVault.
Затем выберите или добавьте агент извне, где пользователь установил OSSEC. После этого пользователь извлекает или копирует ключ, как показано ниже на рисунке:
После захвата ключа пользователь импортирует его в агент, выполнив эту команду:
Запуск агента OSSEC
После завершения установки пользователь запустил агент OSSEC, просто выполнив эту команду:
Чтобы арестовать работу агента, следует за властью:
Другие команды для управления агентом представлены ниже:
Чтобы проверить его статус, следует за полномочиями:
Необходимо также проверить, подключился ли агент к серверу.
Как можно увидеть на картинке, агент успешно подключился к серверу AlienVault.
Отлично! Пользователь успешно провел развертывание своей машины Ubuntu на сервере AlienVault.
Для компьютеров на базе ОС Windows
Сначала нужно скачать агент OSSEC для Windows.
Пользователи могут скачать агент OSSEC для Windows с официальной страницы OSSEC.
Следует найти нужный агент OSSEC (это ossec-agent-win-32-3.6.exe или его последняя версия).
Установка агента OSSEC
Создание ключа для агента OSSEC
Пользователь выполняет действие:
Теперь следует вернуться к системе Windows.
Пользователь вводит IP-адрес сервера AlienVault и вставляет ключ, как показано ниже:
Нужно открыть его и убедиться, что агент OSSEC подключился и работает нормально.
Новую службу Windows можно найти в веб-интерфейсе OSSIM, как показано ниже.
Отлично!Пользователь успешно провел развертывание агента Windows на сервере AlienVault.
Читайте также: