Introdução ao OSSEC
Um sistema de detecção de intrusões pode nos alertar contra DDOs, força bruta, explorações, vazamento de dados e muito mais, monitora nossa rede em tempo real e interage conosco e com nosso sistema à medida que decidirmos.
No Linuxhint, anteriormente dedicamos dois tutoriais, Snort é um dos principais sistemas de detecção de intrusões no mercado e provavelmente o primeiro. Os artigos estavam instalando e usando o sistema de detecção de intrusões do Snort para proteger servidores e redes e configurar IDs Snort e criar regras.
Desta vez, mostrarei como configurar o Assec. O servidor é o núcleo do software, contém as regras, entradas de eventos e políticas enquanto os agentes são instalados nos dispositivos para monitorar. Os agentes entregam logs e informam sobre os incidentes no servidor. Neste tutorial, instalaremos apenas o lado do servidor para monitorar o dispositivo em uso, o servidor já contém as funções do agente no dispositivo em que está instalado em.
Instalação do OSSEC:
Primeiro de tudo, execute:
APT Install LibMariAdb2
Para pacotes Debian e Ubuntu, você pode baixar o OSSEC Server em https: // atualizações.Atomicorp.com/canais/ossec/debian/pool/main/o/ossec-hids-server/
Para este tutorial, vou baixar a versão atual digitando no console:
wget https: // atualizações.Atomicorp.com/canais/ossec/debian/pool/main/o///
OSSEC-HIDS-SERVER/OSSEC-HIDS-SERVER_3.3.0.6515stretch_amd64.Deb
Então corra:
DPKG -I OSSEC-HIDS-SERVER_3.3.0.6515stretch_amd64.Deb
Comece oSSEC executando:
/var/ossec/bin/ossec-control start
Por padrão, nossa instalação não permitiu a notificação de correio, para editá -la
nano/var/ossec/etc/assec.conf
Mudarnão
Parasim
E adicione:SEU ENDEREÇO Servidor SMTP OSSECM@localhost
Imprensa Ctrl+x e Y Para salvar e sair e iniciar o OSSEC novamente:
/var/ossec/bin/ossec-control start
Observação: Se você deseja instalar o agente da OSSEC em um tipo de dispositivo diferente:
wget https: // atualizações.Atomicorp.com/canais/ossec/debian/pool/main/o///
OSSEC-HIDS-AGENT/OSSEC-HIDS-AGENT_3.3.0.6515stretch_amd64.Deb
DPKG -I OSSEC-HIDS-AGENT_3.3.0.6515stretch_amd64.Deb
Novamente vamos verificar o arquivo de configuração para o Assec
nano/var/ossec/etc/assec.conf
Role para baixo para chegar à seção Syscheck
Aqui você pode determinar os diretórios verificados pelo OSSEC e os intervalos de revisão. Também podemos definir diretórios e arquivos a serem ignorados.
Para definir o OSSEC para relatar eventos em tempo real editar as linhas
/etc,/usr/bin,/usr/sbin /bin,/sbin
Para/etc,/usr/bin,
/usr/sbin/bin,/sbin
Para adicionar um novo diretório para o OSSEC para verificar adicione uma linha:
/Dir1,/dir2
Fechar Nano pressionando Ctrl+x e Y e tipo:
nano/var/ossec/regras/ossec_rules.xml
Este arquivo contém as regras da OSSEC, o nível de regra determinará a resposta do sistema. Por exemplo, por padrão, o Assec relata apenas os avisos de nível 7, se houver alguma regra com nível inferior a 7 e você deseja ser informado quando o Assec identificar o incidente editar o número de nível para 7 ou superior. Por exemplo, se você deseja ser informado quando um host não for bloqueado pela resposta ativa da OSSEC, edite a seguinte regra:
600 Firewall-Drop.sh excluir Anfitrião desbloqueado por Firewall-Drop.SH Resposta ativa Active_Response,
Para:600 Firewall-Drop.sh excluir Anfitrião desbloqueado por Firewall-Drop.SH Resposta ativa Active_Response,
Uma alternativa mais segura pode ser adicionar uma nova regra no final do arquivo reescrevendo a anterior:
600 Firewall-Drop.sh excluir Anfitrião desbloqueado por Firewall-Drop.SH Resposta ativa
Agora, temos o OSSEC instalado em nível local, em um próximo tutorial, aprenderemos mais sobre as regras e configurações do OSSEC.
Espero que você tenha achado este tutorial útil para começar com o Assec, continue seguindo Linuxhint.com para mais dicas e atualizações no Linux.