A behatolásérzékelő rendszer figyelmeztethet minket a DDOS-ra, a brutális erőszakra, a kihasználásra, az adatszivárgásra és egyebekre, valós időben figyeli hálózatunkat, és kölcsönhatásban áll velünk és rendszerünkkel, ahogy döntünk.
A LinuxHintnél korábban két oktatóprogramot szenteltünk a Snortnak. A Snort a piac egyik vezető behatolásérzékelő rendszere, és valószínűleg az első. A cikkek a Snort Intrusion Detection System telepítése és használata volt a szerverek és hálózatok védelme, valamint a Snort IDS konfigurálása és a szabályok létrehozása.
Ezúttal megmutatom, hogyan kell beállítani az OSSEC-t. A kiszolgáló a szoftver magja, tartalmazza a szabályokat, az eseménybejegyzéseket és házirendeket, miközben ügynökök vannak telepítve a monitorozásra szolgáló eszközökre. Az ügynökök naplókat szállítanak, és az eseményekről tájékoztatnak a szerveren. Ebben az oktatóanyagban csak a szerver oldalt telepítjük a használt eszköz megfigyelésére, a szerver már tartalmazza az ügynök funkcióit az eszközhöz, amelybe telepítve van.
OSSEC telepítés:
Először futtassa:
apt install libmariadb2A Debian és az Ubuntu csomagokhoz letöltheti az OSSEC Server webhelyet a https: // updates webhelyről.atomicorp.com / channels / ossec / debian / pool / main / o / ossec-hids-server /
Ehhez az oktatóanyaghoz a konzolba gépelve töltöm le az aktuális verziót:
wget https: // frissítések.atomicorp.com / channels / ossec / debian / pool / main / o /ossec-hids-server / ossec-hids-server_3.3.0.6515stretch_amd64.deb
Ezután futtassa:
dpkg -i ossec-hids-server_3.3.0.6515stretch_amd64.deb
Indítsa el az OSSEC-t az alábbiak végrehajtásával:
/ var / ossec / bin / ossec-control start
Alapértelmezés szerint telepítésünk nem engedélyezte az e-mail értesítést annak típusának szerkesztésére
nano / var / ossec / etc / ossec.konfváltozás
Mert
És add hozzá:
nyomja meg ctrl + x és Y az OSSEC mentéséhez és kilépéséhez, és indítsa újra:
/ var / ossec / bin / ossec-control indítás
Jegyzet: ha egy másik eszköztípusra szeretné telepíteni az OSSEC ügynökét:
wget https: // frissítések.atomicorp.com / channels / ossec / debian / pool / main / o /ossec-hids-agent / ossec-hids-agent_3.3.0.6515stretch_amd64.deb
dpkg -i ossec-hids-agent_3.3.0.6515stretch_amd64.deb
Ismét ellenőrizheti az OSSEC konfigurációs fájlját
nano / var / ossec / etc / ossec.konfGörgessen lefelé, hogy elérje a Syscheck szakaszt
Itt határozhatja meg az OSSEC által ellenőrzött könyvtárakat és a felülvizsgálati intervallumokat. Meghatározhatjuk a figyelmen kívül hagyandó könyvtárakat és fájlokat is.
Annak beállításához, hogy az OSSEC valós időben jelentse az eseményeket, szerkessze a sorokat
Nak nek
/ usr / sbin
Új könyvtár hozzáadása az OSSEC számára az ellenőrzéshez:
Zárja be a nanót a megnyomásával CTRL + X és Y és típus:
nano / var / ossec / rules / ossec_rules.xml
Ez a fájl az OSSEC szabályait tartalmazza, a szabály szintje határozza meg a rendszer válaszát. Például alapértelmezés szerint az OSSEC csak a 7-es szintű figyelmeztetésekről számol be, ha van olyan szabály, amelynek szintje 7-nél alacsonyabb, és tájékoztatást szeretne kapni, amikor az OSSEC azonosítja az eseményt, szerkessze a 7-es vagy annál magasabb szintszámot. Például, ha tájékoztatást szeretne kapni arról, amikor egy gazdagépet letiltja az OSSEC Aktív válasza, módosítsa a következő szabályt:
Nak nek:
Biztonságosabb alternatíva lehet egy új szabály hozzáadása a fájl végéhez, az előző átírása:
Most már telepítettük az OSSEC-et helyi szinten, a következő oktatóanyagon többet megtudhatunk az OSSEC-szabályokról és a konfigurációról.
Remélem, hogy hasznosnak találta ezt az oktatóanyagot az OSSEC használatának megkezdéséhez, kövesse tovább a LinuxHint alkalmazást.com további tippekért és frissítésekért a Linuxról.