hot Về việc đăng ký thành viên

hot Thông tin Việc Làm Khách Sạn lương cao

hot Hỗ trợ đăng bài PR MIỄN PHÍ


Bước 3 – Khởi động OSSEC

Thảo luận trong 'Rao vặt linh tinh'

Ads

Chia sẻ trang này

  1. hauphong

    hauphong Nhân viên thử việc

    Tham gia ngày:
    16/12/14
    Bài viết:
    433
    Đã được thích:
    0
    Điểm thành tích:
    16
    Giới tính:
    Nam
    Bước 3 – Khởi động OSSEC

    hosting gia re

    Theo mặc định OSSEC được thiết lập để bắt đầu khởi động, nhưng trong lần đầu tiên, bạn sẽ phải thực hiện nó một cách thủ công.

    Nếu bạn muốn kiểm tra trạng thái hiện tại của bạn, gõ:

    /var/ossec/bin/ossec-control status

    Xuất ra dự kiến:

    ossec-monitord not running…ossec-logcollector not running…ossec-syscheckd not running…ossec-analysisd not running…ossec-maild not running…ossec-execd not running…

    Điều đó nói rằng không có quá trình OSSEC nào đang chạy.

    Để khởi động OSSEC, gõ:

    /var/ossec/bin/ossec-control start

    Bạn sẽ thấy nó khởi động :

    Starting OSSEC HIDS v2.8 (by Trend Micro Inc.)…Started ossec-maild…Started ossec-execd…Started ossec-analysisd…Started ossec-logcollector…Started ossec-syscheckd…Started ossec-monitord…Completed.

    Nếu bạn kiểm tra tình trạng này một lần nữa, bạn sẽ nhận được xác nhận rằng OSSEC hiện đang chạy.

    /var/ossec/bin/ossec-control status

    Kết quả xuất ra này cho thấy rằng OSSEC đang chạy:

    ossec-monitord is running…ossec-logcollector is running…ossec-syscheckd is running…ossec-analysisd is running…ossec-maild is running…ossec-execd is running…

    Ngay sau khi khởi động OSSEC, bạn sẽ nhận được một email như sau:

    OSSEC HIDS Notification.2014 Nov 30 11:15:38 Received From: ossec2->ossec-monitordRule: 502 fired (level 3) -> “Ossec server started.”Portion of the log(s): ossec: Ossec started.

    Đây là một xác nhận rằng OSSEC đang hoạt động và sẽ gửi cho bạn email thông báo bất cứ khi nào một thiết lập nào đó được thực hiện. Ngay cả khi nó được khởi động lại, OSSEC sẽ gửi cho bạn một email.

    Nếu bạn không nhận được email này ngay, đừng lo lắng. Bạn có thể cần phải tinh chỉnh các thiết lập email của mình (mà chúng tôi sẽ đề cập sau trong hướng dẫn) để đảm bảo rằng các email của server OSSEC có thể có được thông qua nhà cung cấp email của bạn. Điều này đặc biệt đúng đối với một số nhà cung cấp dịch vụ email của bên thứ 3 như Google và FastMail.

    Bước 4 – Thiết lập OSSEC cho Real-time Alerts trên File Modifications
    Tiếp theo, chúng ta cần biết về các file và thư mục của OSSEC, và tìm hiểu cách thay đổi các thiết lập giám sát và cảnh báo của OSSEC.

    Trong hướng dẫn này, chúng tôi sẽ sửa đổi OSSEC để thông báo cho bạn bất cứ khi nào một file được sửa đổi, xóa, hoặc bổ sung vào thư mục mà bạn chỉ định.

    Tìm hiểu cấu trúc thư mục chứa của OSSEC
    Thư mục mặc định của OSSEC là một chroot-ed (sandbox), nơi mà chỉ có một người dùng với root (admin) đặc quyền có thể truy cập. Một người dùng chuẩn có thể không cd vào / var / OSSEC hoặc thậm chí liệt kê các file trong đó. Khi root (hoặc admin) sử dụng, tuy nhiên, bạn có thể.

    Vì vậy, cd vào thư mục cài đặt bằng cách gõ:

    cd /var/ossec

    Để liệt kê các file trong thư mục mới, gõ:

    ls -lgG

    Bạn nên xem các file và thư mục dưới đây:

    total 40dr-xr-x— 3 4096 Nov 26 14:56 active-responsedr-xr-x— 2 4096 Nov 20 20:56 agentlessdr-xr-x— 2 4096 Nov 20 20:56 bindr-xr-x— 3 4096 Nov 29 00:49 etcdrwxr-x— 5 4096 Nov 20 20:56 logsdr-xr-x— 11 4096 Nov 20 20:56 queuedr-xr-x— 4 4096 Nov 20 20:56 rulesdrwxr-x— 5 4096 Nov 20 21:00 statsdr-xr-x— 2 4096 Nov 20 20:56 tmpdr-xr-x— 3 4096 Nov 29 18:34 var

    • File thiết lập chính OSSEC là trong thư mục / var / OSSEC / etc.
    • Các quy tắc xác định nằm trong thư mục / var / OSSEC / rules.
    • Các lệnh được sử dụng để quản lý OSSEC nằm trong / var / OSSEC / bin
    • Lưu ý thư mục / var / OSSEC / logs. Nếu OSSEC đưa ra một lỗi, file /var/ossec/logs/ossec.log trong thư mục đó là nơi đầu tiên cần xem xét
    File thiết lập chính, /var/ossec/etc/ossec.conf
    Để truy cập vào các file thiết lập chính, bạn phải thay đổi ở / var / OSSEC / etc. Để làm điều đó, gõ:

    cd /var/ossec/etc

    Nếu bạn làm một ls trong khi trong thư mục đó, bạn thấy các file và các thư mục:

    ls -lgG

    Kết quả:

    total 120-r–r—– 1 97786 Sep 8 22:03 decoder.xml-r–r—– 1 2842 Sep 8 22:03 internal_options.conf-r–r—– 1 3519 Oct 30 13:46 localtime-r–r—– 1 7752 Nov 29 09:45 ossec.conf-rw-r—– 1 87 Nov 20 20:56 ossec-init.confdrwxrwx— 2 4096 Nov 20 21:00 shared

    File thiết lập chính là /var/ossec/etc/ossec.conf.

    Trước khi sửa đổi các file, tạo một bản sao dự phòng backup, trong trường hợp cần thiết. Để làm bản sao này, sử dụng lệnh cp như sau:

    cp /var/ossec/etc/ossec.conf /var/ossec/etc/ossec.conf.00

    Ý tưởng là nếu sự thay đổi của bạn không thực hiện hoặc mess up hệ thống, bạn có thể chuyển về các bản copy và hoạt động trở lại bình thường. Đó là việc khôi phục đơn giản nhất mà bạn nên taanh dụng.

    Bây giờ, mở ossec.conf bằng cách sử dụng trình soạn thảo nano.

    nano /var/ossec/etc/ossec.conf

    Việc thiết lập file là một file XML rất dài với nhiều phần khác nhau.

    Cài đặt Email

    Lưu ý: Nói chung, email là phần khó, đặc biệt là nếu bạn đang gửi đến một nhà cung cấp mail nghiêm túc như gửi đến một địa chỉ Gmail. Kiểm tra spam của bạn, và chỉnh các thiết lập của bạn nếu cần thiết.

    Các tùy chọn thiết lập đầu tiên bạn sẽ thấy là các thông tin email mà bạn chỉ định trong khi cài đặt. Nếu bạn cần phải xác định một địa chỉ email khác và / hoặc server SMTP, đây là nơi để làm điều đó.

    <global> <email_notification>yes</email_notification> <email_to>sammy@example.com</email_to> <smtp_server>mail.example.com.</smtp_server> <email_from>ossecm@ossec_server</email_from></global>

    Theo mặc định, OSSEC gửi 12 email mỗi giờ, vì vậy bạn sẽ không bị ngập với các email thông báo. Bạn có thể tăng hoặc giảm con số này bằng cách thêm <email_maxperhour>N</email_maxperhour> vào để đọc:

    <global> <email_notification>yes</email_notification> <email_to>sammy@example.com</email_to> <smtp_server>mail.example.com.</smtp_server> <email_from>ossecm@ossec_server</email_from> <email_maxperhour>N</email_maxperhour></global>

    Hãy thay thế N với số email bạn muốn nhận được một giờ, từ 1 đến 9999.

    Một số nhà cung cấp dịch vụ email bên thứ ba (ví dụ Google và FastMail) sẽ âm thầm xóa các thông báo được gửi bởi OSSEC nếu địa chỉ <email_from> không chứa một phần tên miền hợp lệ, chẳng hạn như một đoạn mã ở trên. Để tránh điều này, hãy đảm bảo rằng địa chỉ email chứa một phần tên miền hợp lệ. Ví dụ:

    <global> <email_notification>yes</email_notification> <email_to>sammy@example.com</email_to> <smtp_server>mail.example.com.</smtp_server> <email_from>sammy@ossec_server.com</email_from></global>

    Các địa chỉ <email_to> và <email_from> có thể giống nhau. Ví dụ:

    <global> <email_notification>yes</email_notification> <email_to>sammy@example.com</email_to> <smtp_server>mail.example.com.</smtp_server> <email_from>sammy@example.com</email_from></global>

    Nếu bạn không muốn sử dụng server SMTP của một nhà cung cấp email bên ngoài, bạn có thể chỉ định server SMTP của riêng bạn, nếu bạn đã thiết lập. (Điều này không được đề cập trong hướng dẫn này, nhưng bạn có thể cài đặt Postfix theo hướng dẫn.) Nếu server SMTP của bạn đang chạy trên cùng một Droplet như OSSEC, thay đổi thiết lập <smtp_server> để trở thành localhost. Ví dụ:

    <global> <email_notification>yes</email_notification> <email_to>sammy@example.com</email_to> <smtp_server>localhost</smtp_server> <email_from>sammy@example.com</email_from></global>

    OSSEC không gửi real-time alert theo mặc định, nhưng hướng dẫn này kêu gọi cài đặt real-time alert, và đây là một công đoạn mà bạn sẽ thực hiện.

    Nếu bạn vẫn không nhận được các email mong muốn từ OSSEC, kiểm tra các lỗi mail tại các bản ghi tại /var/ossec/logs/ossec.log.

    Lỗi email ví dụ:

    2014/12/18 17:48:35 os_sendmail(1767): WARN: End of DATA not accepted by server2014/12/18 17:48:35 ossec-maild(1223): ERROR: Error Sending email to 74.125.131.26 (smtp server)

    Bạn có thể sử dụng các thông báo lỗi này để gỡ rối bất kỳ vấn đề nào khi nhận được các email thông báo.

    Tần số quét
    Trong phần <syscheck> của ossec.conf, bắt đầu như bên dưới:

    <syscheck> <!– Frequency that syscheck is executed – default to every 22 hours –> <frequency>79200</frequency>

    Chúng tôi sẽ bật cảnh báo để tạo file mới. Thêm dòng <alert_new_files> Có </ alert_new_files> để nó trở thành:

    <syscheck> <!– Frequency that syscheck is executed – default to every 22 hours –> <frequency>79200</frequency> <alert_new_files>yes</alert_new_files>

    Để test, bạn có thể muốn thiết lập tần số của hệ thống kiểm tra thấp hơn nhiều. Theo mặc định, hệ thống kiểm tra làm việc 22 giờ một lần. Để test, bạn cũng có thể muốn thiết lập này thực hiện một lần một phút, nghĩa là, 60 giây.

    Chuyển phần này về dạng thuần khi test.

    <syscheck> <!– Frequency that syscheck is executed – default to every 22 hours –> <frequency>60</frequency> <alert_new_files>yes</alert_new_files>

    Thiết lập thay đổi thư mục và file chứa

    Ngay sau đó, bạn sẽ thấy danh sách các thư mục hệ thống mà OSSEC giám sát. Như sau:

    <!– Directories to check (perform all possible verifications) –><directories check_all=”yes”>/etc,/usr/bin,/usr/sbin</directories><directories check_all=”yes”>/bin,/sbin</directories>

    Hãy cho phép theo dõi thời gian thực bằng cách thêm thiết lập report_changes = “yes” realtime = “yes” vào mỗi dòng. Sửa đổi những dòng này:

    <!– Directories to check (perform all possible verifications) –><directoriesreport_changes=”yes” realtime=”yes” check_all=”yes”>/etc,/usr/bin,/usr/sbin</directories><directoriesreport_changes=”yes” realtime=”yes” check_all=”yes”>/bin,/sbin</directories>

    report_changes = “yes” là những gì được đề cập. realtime=”yes”

    Ngoài danh sách thư mục mặc định mà OSSEC đã được thiết lập để theo dõi, bạn có thể thêm các thư mục mới mà bạn muốn theo dõi. Trong phần tiếp theo này, tôi sẽ dùng OSSEC để giám sát / home / sammy và / var / www. Đẻ làm được, tôi sẽ để thêm một dòng mới ngay dưới những dòng hiện có, để các phần như sau:

    <!– Directories to check (perform all possible verifications) –><directories report_changes=”yes” realtime=”yes” check_all=”yes”>/etc,/usr/bin,/usr/sbin</directories><directories report_changes=”yes” realtime=”yes” check_all=”yes”>/bin,/sbin</directories> <directories report_changes=”yes” realtime=”yes” restrict=”.php|.js|.py|.sh|.html” check_all=”yes”>/home/sammy,/var/www</directories>

    Bạn nên thay đổi các thư mục để phù hợp với các thiết lập mong muốn của bạn. Nếu người dùng của bạn không được đặt tên sammy, bạn sẽ muốn thay đổi đường dẫn đến thư mục chính.

    Đối với các thư mục mới để theo dõi, chúng tôi đã thêm các tùy chọn restrict, trong đó OSSEC chỉ theo dõi những định dạng file được chỉ định. Bạn không cần phải sử dụng tùy chọn này, nhưng nó có ích khi bạn có các file khác, như file ảnh, mà bạn không muốn OSSEC thông báo.

    Đó là tất cả những thay đổi cho ossec.conf. Bạn có thể lưu và đóng file.

    Quy tắc trong /var/ossec/rules/local_rules.xml

    Các file tiếp theo để sửa đổi nằm trong thư mục /var/ossec/rules, vì vậy cd vào nó bằng cách gõ:

    cd /var/ossec/rules

    Nếu bạn làm một ls trong thư mục đó, bạn sẽ thấy một loạt các file XML như thế này:

    ls -lgG

    Viết tắt của xuất ra:

    total 376-r-xr-x— 1 5882 Sep 8 22:03 apache_rules.xml-r-xr-x— 1 2567 Sep 8 22:03 arpwatch_rules.xml-r-xr-x— 1 3726 Sep 8 22:03 asterisk_rules.xml-r-xr-x— 1 4315 Sep 8 22:03 attack_rules.xml … -r-xr-x— 1 1772 Nov 30 17:33 local_rules.xml … -r-xr-x— 1 10359 Sep 8 22:03 ossec_rules.xml …

    Hiện tại, chỉ có hai trong số các file này là thu hút chúng tôi – local_rules.xml và ossec_rules.xml. Cái sau có chứa các định nghĩa quy tắc mặc định của OSSEC, trong khi cái trước chỉ ra nơi bạn thêm các quy tắc tùy chỉnh. Nói cách khác, ngoài local_rules.xml, bạn không sửa đổi bất kỳ file nào trong thư mục này.

    Các định nghĩa quy tắc mặc định trong ossec_rules.xml rất hữu ích để xem vì vậy chúng tôi có thể chỉnh sửa và sao chép chúng vào các quy tắc local của mình. Trong ossec_rules.xml, các quy tắc thực hiện khi một file được thêm vào một thư mục được giám sát gọi là quy tắc 554. Theo mặc định, OSSEC không gửi các cảnh báo khi nó được kích hoạt, vì vậy nhiệm vụ ở đây là để thay đổi hành vi này. Dưới đây là quy tắc 554 theo phiên bản mặc định:

    <rule id=”554″ level=”0″><category>ossec</category><decoded_as>syscheck_new_entry</decoded_as><description>File added to the system.</description><group>syscheck,</group></rule>

    OSSEC không gửi một cảnh báo nếu một quy tắc có level đặt 0. Chúng tôi muốn sửa đổi quy tắc này để nâng mức báo động. Thay vì thay đổi nó trong file mặc định, chúng tôi sẽ sao chép các quy tắc đến local_rules.xml và sửa đổi để nó có thể đưa ra một cảnh báo.

    Để làm điều này, tạo một bản sao lưu của file /var/ossec/rules/local_rules.xml:

    cp /var/ossec/rules/local_rules.xml /var/ossec/rules/local_rules.xml.00

    Chỉnh sửa các file với nano:

    nano /var/ossec/rules/local_rules.xml

    Thêm các quy tắc mới vào phần cuối của file. Hãy đảm bảo rằng nó nằm trong tag <group> … </ group>.

    <rule id=”554″ level=”7″ overwrite=”yes”><category>ossec</category><decoded_as>syscheck_new_entry</decoded_as><description>File added to the system.</description><group>syscheck,</group></rule>

    Lưu và đóng file.

    Đây là tất cả thay đổi cần thiết.

    Khởi động lại OSSEC

    Tất cả những gì còn lại bây giờ là để khởi động lại OSSEC, cái gì đó đã được thực hiện bất cứ lúc nào bạn sửa đổi các file của OSSEC. Để khởi động lại OSSEC loại:

    / var / OSSEC / bin / OSSEC kiểm soát khởi động lại
    Nếu tất cả được làm việc một cách chính xác, bạn sẽ nhận được một email từ OSSEC thông báo cho bạn rằng nó đã (lại) bắt đầu.

    Bước 5 – Trigger file Change Alerts
    Và tùy thuộc vào những gì xảy ra trong những thư mục mà OSSEC đã được cấu hình để theo dõi, bạn nên có nhận được email mà đọc một cái gì đó như thế này:

    Bây giờ hãy thử tạo một file mẫu trong / home / sammy

    touch /home/sammy/index.html

    Chờ một phút. Thêm một số nội dung:

    nano /home/sammy/index.html

    Chờ một phút. Xóa file:

    rm /home/sammy/index.html

    Bạn nên bắt đầu việc nhận được các thông báo như thế này:

    OSSEC HIDS Notification.2014 Nov 30 18:03:51 Received From: ossec2->syscheckRule: 550 fired (level 7) -> “Integrity checksum changed.”Portion of the log(s): Integrity checksum changed for: ‘/home/sammy/index.html’Size changed from ’21’ to ’46’What changed:1c1,4< This is an html file— <!doctype html> <p>This is an html file</p> Old md5sum was: ‘4473d6ada73de51b5b36748627fa119b’New md5sum is : ‘ef36c42cd7014de95680d656dec62de9’Old sha1sum was: ’96bd9d685a7d23b20abd7d8231bb215521bcdb6c’New sha1sum is : ‘5ab0f31c32077a23c71c18018a374375edcd0b90′

    Hoặc :

    OSSEC HIDS Notification.2014 Dec 01 10:13:31 Received From: ossec2->syscheckRule: 554 fired (level 7) -> “File added to the system.”Portion of the log(s): New file ‘/var/www/header.html’ added to the file system.

    Lưu ý: OSSEC không gửi ra các real-time alerts trên file bổ sung, chỉ xóa và sửa đổi file. Cảnh báo về file bổ sung thoát ra sau khi kiểm tra toàn bộ hệ thống, được điều khển bởi thời gian kiểm tra tần số trong ossec.conf.

    nano /var/ossec/etc/ossec.conf

    Thiết lập cho frequency:

    <syscheck> <!– Frequency that syscheck is executed – default to every 22 hours –> <frequency>79200</frequency>

    Một lần nữa, nếu bạn không nhận được email, hãy kiểm tra thư rác của bạn, kiểm tra /var/ossec/logs/ossec.log của bạn, kiểm tra các bản ghi mail của bạn, vv

    Kết luận

    Tôi hy vọng hướng dẫn này sẽ cho bạn một số hieru biết về OSSEC. Theo dõi các bài tiếp theo để bảo vệ server của bạn.

    Để biết thêm thông tin về OSSEC, hãy truy cập trang web của dự án tại http://www.ossec.net/.
     

Chia sẻ trang này

Tags: No tags Edit Tags

Bài viết giới thiệu: "Bước 3 – Khởi động OSSEC"