Iniziare con OSSEC
Un sistema di rilevamento delle intrusioni può avvertirci contro DDO, forza bruta, exploit, perdite di dati e altro ancora, monitora la nostra rete in tempo reale e interagisce con noi e con il nostro sistema mentre decidiamo.
In Linuxhint abbiamo precedentemente dedicato a Snort due tutorial, Snort è uno dei principali sistemi di rilevamento delle intrusioni sul mercato e probabilmente il primo. Gli articoli stavano installando e utilizzando il sistema di rilevamento delle intrusioni Snort per proteggere server e reti e configurare ID Snort e creare regole.
Questa volta mostrerò come configurare OSSEC. Il server è il nucleo del software, contiene le regole, le voci e le politiche degli eventi mentre gli agenti sono installati sui dispositivi per monitorare. Gli agenti forniscono registri e informano gli incidenti al server. In questo tutorial installeremo solo il lato server per monitorare il dispositivo in uso, il server contiene già le funzioni dell'agente al dispositivo in cui è installato in.
Installazione OSSEC:
Prima di tutto la corsa:
APT Installa libmariadb2
Per i pacchetti Debian e Ubuntu è possibile scaricare OSSEC Server su https: // aggiornamenti.Atomicorp.com/canali/OSSEC/Debian/Pool/Main/O/OSSEC-HIDS-Server/
Per questo tutorial scaricherò la versione corrente digitando la console:
wget https: // aggiornamenti.Atomicorp.com/canali/OSSEC/Debian/Pool/Main/O/
OSSEC-HIDS-SERVER/OSSEC-HIDS-Server_3.3.0.6515stretch_amd64.Deb
Quindi corri:
dpkg -i OSSEC-HIDS-Server_3.3.0.6515stretch_amd64.Deb
Inizia OSSEC eseguendo:
/var/OSSEC/Bin/OSSEC-Control
Per impostazione predefinita la nostra installazione non ha abilitato la notifica della posta, per modificarlo
Nano/var/OSSEC/ETC/OSSEC.conf
ModificaNO
PerSÌ
E aggiungi:IL TUO INDIRIZZO Server SMTP OSSECM@localhost
Premere Ctrl+X E Y Per salvare e uscire e ricominciare da OSSEC:
/var/OSSEC/Bin/OSSEC-Control
Nota: Se si desidera installare l'agente di OSSEC su un tipo di dispositivo diverso:
wget https: // aggiornamenti.Atomicorp.com/canali/OSSEC/Debian/Pool/Main/O/
OSSEC-HIDS-AGENT/OSSEC-HIDS-AGENT_3.3.0.6515stretch_amd64.Deb
dpkg -i Ossec-Hids-agent_3.3.0.6515stretch_amd64.Deb
Ancora una volta consente di controllare il file di configurazione per OSSEC
Nano/var/OSSEC/ETC/OSSEC.conf
Scorri verso il basso per raggiungere la sezione Syscheck
Qui puoi determinare le directory controllate da OSSEC e gli intervalli di revisione. Possiamo anche definire directory e file da ignorare.
Per impostare OSSEC per segnalare gli eventi in tempo reale modificare le righe
/etc,/usr/bin,/usr/sbin /cestino,/sbin
A/etc,/usr/bin,
/usr/sbin/cestino,/sbin
Per aggiungere una nuova directory per OSSEC per controllare Aggiungi una riga:
/Dir1,/dir2
Chiudi nano premendo Ctrl+X E Y e tipo:
Nano/var/Ossec/Regole/Ossec_Rules.XML
Questo file contiene le regole di OSSEC, il livello delle regole determinerà la risposta del sistema. Ad esempio, per impostazione predefinita OSSEC solo rapporti sugli avvertimenti di livello 7, se esiste una regola con un livello inferiore a 7 e si desidera essere informato quando OSSEC identifica l'incidente Modifica il numero di livello per 7 o superiore. Ad esempio, se si desidera essere informato quando un host viene sbloccato dalla risposta attiva di OSSEC Modifica la seguente regola:
600 firewall-drop.sh eliminare Ospite Unbloccato da Firewall-Drop.risposta attiva Active_response,
A:600 firewall-drop.sh eliminare Ospite Unbloccato da Firewall-Drop.risposta attiva Active_response,
Un'alternativa più sicura può essere quella di aggiungere una nuova regola alla fine del file che riscrive quella precedente:
600 firewall-drop.sh eliminare Ospite Unbloccato da Firewall-Drop.risposta attiva
Ora abbiamo OSSEC installato a livello locale, in un prossimo tutorial impareremo di più sulle regole e sulla configurazione OSSEC.
Spero che tu abbia trovato questo tutorial utile per iniziare con OSSEC, continua a seguire Linuxhint.com per ulteriori suggerimenti e aggiornamenti su Linux.