hot Về việc đăng ký thành viên

hot Thông tin Việc Làm Khách Sạn lương cao

hot Hỗ trợ đăng bài PR MIỄN PHÍ


Cách Cài đặt và Thiết lập Cảnh báo Bảo mật OSSEC trên Ubuntu 14.04

Thảo luận trong 'Rao vặt linh tinh'

Ads

Chia sẻ trang này

  1. hauphong

    hauphong Nhân viên thử việc

    Tham gia ngày:
    16/12/14
    Bài viết:
    433
    Đã được thích:
    0
    Điểm thành tích:
    16
    Giới tính:
    Nam
    Giới thiệu
    hosting gia re


    Làm thế nào để theo dõi các hoạt động được cho phép và không cho phép trên server của bạn?

    OSSEC là một công cụ mà bạn có thể cài đặt trên server của bạn để theo dõi các hoạt động của nó.

    OSSEC là một mã nguồn mở, dựa trên hệ thống phát hiện xâm nhập (HIDS) để thực hiện các hoạt động phân tích, kiểm tra tính toàn vẹn, giám sát đăng ký Windows, phát hiện rootkit, cảnh báo theo thời gian, và phản hồi động. Nó có thể được sử dụng để theo dõi một server hoặc hàng nghìn server trong chế độ server / agent.

    Nếu cấu hình đúng, OSSEC có thể cung cấp cho bạn một cái nhìn thời gian-thực vào những gì đang xảy ra trên server của bạn.

    Hướng dẫn này sẽ chỉ cho bạn cách cài đặt và thiết lập OSSEC để theo dõi một server Ubuntu 14.04 DigitalOcean chạy LTS. Chúng ta sẽ thiết lập OSSEC để nếu một file được sửa đổi, xóa, hoặc thêm vào các server, OSSEC sẽ thông báo cho bạn qua email – trong thời gian thực. Đó là ngoài các tính năng tính kiểm tra khác mà OSSEC cung cấp.

    OSSEC có thể làm nhiều hơn là thông báo cho bạn về những thay đổi file, nhưng một bài báo là không đủ để cho bạn làm thế nào để tận dụng lợi thế của tất cả các tính năng của nó.

    ** Lợi ích của OSSEC là gì?

    Trước khi có thể cài đặt và thiết lập, hãy xem một vài lợi ích cụ thể mà bạn có được từ việc sử dụng OSSEC.

    Dưới đây là một ví dụ về một thông báo email từ OSSEC, chỉ ra rằng file /var/ossec/etc/ossec.conf đã được sửa đổi.

    OSSEC HIDS Notification.2014 Nov 29 09:45:15 Received From: kuruji->syscheckRule: 552 fired (level 7) -> “Integrity checksum changed again (3rd time).”Portion of the log(s): Integrity checksum changed for: ‘/var/ossec/etc/ossec.conf’Size changed from ‘7521’ to ‘7752’

    Nếu bạn nhận được một thông báo như vậy, và bạn không muốn rằng file này thay đổi, hãy biết rằng một điều gì đó không được phép đã gây ra cho server của bạn.

    Dưới đây là một ví dụ khác về cảnh báo email từ OSSEC, cho thấy rằng file /etc/ossec/testossec.txt đã bị xóa.

    OSSEC HIDS Notification.2014 Nov 29 10:56:14 Received From: kuruji->syscheckRule: 553 fired (level 7) -> “File deleted. Unable to retrieve checksum.”Portion of the log(s): File/etc/ossec/testossec.txt was deleted. Unable to retrieve checksum.

    Một lần nữa, nếu bạn chưa xóa các file trong câu hỏi, bạn nên tìm ra những gì đang xảy ra trên server của bạn.

    Bây giờ, nếu những điều trên đã đủ làm bạn muốn cài đặt OSSEC, đây là một vài điều bạn cần làm đầu tiên.

    Yêu cầu đầu tiên
    Bạn, tất nhiên, cần phải có một server mà bạn muốn điều khiển. Theo ướng dẫn này, giả định bạn đã có một server và rằng nó đã được thiết lập để sử dụng. Nó có thể là một server mà bạn vừa thiết lập ngày hôm nay hay đã sử dụng trong nhiều tháng. Điều quan trọng nhất là bạn phải truy cập vào nó và có thể đăng nhập qua SSH. Thiết lập OSSEC không phải là một cái gì đó mà bạn muốn thực hiện khi bạn vẫn không biết cách nào để ssh đi vào server của bạn.

    • Ubuntu 14.04 server
    • Bạn nên tạo một người dùng sudo trên server. Trong ví dụ này, người sử dụng có tên là Sammy. Tuy nhiên, việc hướng dẫn này sẽ dễ dàng hoàn thành hơn với người dùng root:
    sudo su

    • Tùy chọn: Nếu bạn muốn gửi thư từ một server SMTP địa phương, bạn nên cài đặt Postfix để đơn giản việc gửi
    • Cài đặt OSSEC liên quan đến một số biên soạn, vì vậy bạn cần gcc và make được cài đặt. Bạn có thể cài đặt cả hai bằng cách cài một gói phần mềm duy nhất được gọi là build-essential
    • Bạn cũng cần phải cài đặt một gói có tên inotify-tools, đây là công cụ bắt buộc cho cảnh báo thời gian thực để làm việc
    Để cài đặt tất cả các gói cần thiết, đầu tiên cập nhật các server:

    apt-get update

    Việc cài đặt các gói:

    apt-get install build-essential inotify-tools

    Bây giờ chúng ta đã có mọi thứ được sắp xếp, hãy bắt đầu phần thú vị nhất.

    Bước 1 – Tải về và Xác nhận OSSEC

    Trong bước này, bạn sẽ tải về các tarball OSSEC và một file có chứa công cụ checksums của nó.

    Từ bài viết về bảo mật này, chúng ta sẽ phải làm thêm một ít công việc để xác minh rằng chúng ta đang cài đặt phần mềm hợp lệ. Ý tưởng là bạn tạo ra MD5 và SHA1 checksum của OSSEC tarball được tải về và so sánh chúng với những người trong các file checksum. Nếu chúng phù hợp, bạn có thể giả định rằng các tarball đã không bị giả mạo.

    Tại thời điểm viết, phiên bản server mới nhất của OSSEC là phiên bản 2.8.1. Để tải về nó, gõ:

    wget -U ossec http://www.ossec.net/files/ossec-hids-2.8.1.tar.gz

    Để tải về các file checksum, gõ:

    wget -U ossec http://www.ossec.net/files/ossec-hids-2.8.1-checksum.txt

    Để xác minh rằng cả hai file được đặt đung chỗ, gõ:

    ls -l ossec*

    Bạn nên xem các file sau:

    ossec-hids-2.8.1-checksum.txtossec-hids-2.8.1.tar.gz

    Bây giờ, chúng ta hãy kiểm tra các file checksum bằng lệnh cat, giống như sau:

    cat ossec-hids-2.8.1-checksum.txt

    Lượng xuất dự kiến:

    MD5(ossec-hids-2.8.1.tar.gz)= c2ffd25180f760e366ab16eeb82ae382SHA1(ossec-hids-2.8.1.tar.gz)= 0ecf1df09558dc8bb4b6f65e1fb2ca7a7df9817c

    Trong phần xuất ra ở trên, các phần quan trọng là phần nằm bên phải của dấu =. Đó là MD5 và SHA1 checksums của tarball.

    Bây giờ chúng tôi sẽ đảm bảo rằng các checksums đã tạo ra cho các tarball phải phù hợp với checksums đã tải về.

    Để tạo ra các md5sum của tarball, gõ:

    md5sum ossec-hids-2.8.1.tar.gz

    Xuất ra dự kiến:

    c2ffd25180f760e366ab16eeb82ae382 ossec-hids-2.8.1.tar.gz

    Khi so sánh với MD5 checksum được tạo ra với một trong các file checksum, chúng phải khớp nhau.

    Làm tương tự cho các checksum SHA1 bằng cách gõ:

    sha1sum ossec-hids-2.8.1.tar.gz

    Xuất ra dự kiến:

    0ecf1df09558dc8bb4b6f65e1fb2ca7a7df9817c ossec-hids-2.8.1.tar.gz

    Nếu cả hai khớp nhau, bạn đã đi đúng hướng. Bước Hai đang đợi chúng ta.
     

Chia sẻ trang này

Tags: No tags Edit Tags

Bài viết giới thiệu: "Cách Cài đặt và Thiết lập Cảnh báo Bảo mật OSSEC trên Ubuntu 14.04"