Thứ năm, 12/03/2015 | 00:00 GMT+7

Cách giám sát tác nhân OSSEC bằng server OSSEC trên Ubuntu 14.04

OSSEC là một hệ thống phát hiện xâm nhập dựa trên server (HIDS) open-souce , thực hiện phân tích log , kiểm tra tính toàn vẹn, giám sát register Windows, phát hiện rootkit, cảnh báo dựa trên thời gian và phản hồi tích cực. Đây là ứng dụng để cài đặt trên server của bạn nếu bạn muốn theo dõi những gì đang xảy ra bên trong nó. OSSEC được hỗ trợ trên Windows và tất cả các hệ điều hành giống Unix; tuy nhiên, các Server được sử dụng trong hướng dẫn này đều đang chạy Ubuntu 14.04.

OSSEC có thể được cài đặt để chỉ giám sát server mà nó được cài đặt, đây là một cài đặt local theo cách nói của OSSEC. Hai hướng dẫn trước về OSSEC là ví dụ về cài đặt OSSEC local : Cách cài đặt và cấu hình thông báo bảo mật OSSEC trên Ubuntu 14.04Cách cài đặt và cấu hình OSSEC trên FreeBSD 10.1 .

OSSEC cũng được dùng để giám sát hàng nghìn server khác, được gọi là các tác nhân OSSEC. Các tác nhân OSSEC được giám sát bởi một kiểu cài đặt OSSEC khác được gọi là server OSSEC. Sau khi server OSSEC được cấu hình để giám sát một hoặc nhiều tác nhân, các tác nhân bổ sung có thể được thêm vào hoặc xóa bỏ bất kỳ lúc nào. Giám sát các đại lý OSSEC có thể thông qua phần mềm đại lý được cài đặt trên các đại lý hoặc thông qua chế độ không có tác nhân. Hướng dẫn này sẽ sử dụng chế độ tác nhân, đòi hỏi phải cài đặt phần mềm tác nhân OSSEC trên các tác nhân.

Trong hướng dẫn này, bạn sẽ học cách cài đặt server OSSEC và tác nhân OSSEC, sau đó cấu hình server và tác nhân để server giám sát tác nhân, với server gửi cảnh báo đến email của bạn.

Yêu cầu

Để hoàn thành hướng dẫn này, bạn cần những thứ sau.

  • Hai server Ubuntu 14.04. Đảm bảo ghi chú địa chỉ IP của cả hai địa chỉ này mà bạn có thể thấy trên trang tổng quan DigitalOcean. Ta sẽ gọi chúng là your_server_ipyour_agent_ip , tương ứng.

  • Một user không phải root có quyền sudo trên cả hai Server, bạn có thể có được theo ba bước đầu tiên của hướng dẫn này .

  • Tường lửa Iptables được bật trên cả hai. Trong Linux, bản phát hành ổn định mới nhất của OSSEC cần có iptables cho tính năng phản hồi tích cực của nó. Nó không hoạt động với ufw, ứng dụng firewall mặc định trên Ubuntu. Làm theo hướng dẫn trong Cách cài đặt firewall bằng Iptables trên Ubuntu 14.04 để cài đặt iptables trên cả hai server .

Bước 1 - Download và xác minh OSSEC trên Server và Tác nhân

Ta sẽ bắt đầu bằng cách download và xác minh OSSEC trên cả Server ( server và tác nhân). Tất cả các lệnh trong bước này phải được thực hiện trên cả hai Server, trừ khi được chỉ định khác.

OSSEC được phân phối dưới dạng tarball nén. Trong phần này, bạn sẽ download OSSEC và file tổng kiểm tra của nó, được sử dụng để xác minh tarball không bị giả mạo. Để bắt đầu, hãy đăng nhập vào server như bình thường, sau đó cập nhật database gói.

sudo apt-get update 

Cài đặt mọi bản cập nhật có sẵn.

sudo apt-get upgrade 

Cuối cùng, cài đặt các gói cần thiết.

Trên server , bạn nên cài đặt những thứ sau:

sudo apt-get install inotify-tools build-essential 

Trên đại lý , bạn nên cài đặt những thứ sau:

sudo apt-get install build-essential 

Sau đó, trên cả hai Server, hãy download OSSEC và file tổng kiểm tra của nó. Bạn có thể kiểm tra trang web của dự án để biết version mới nhất, nhưng những trang bên dưới là version mới nhất tại thời điểm viết bài.

wget -U ossec http://www.ossec.net/files/ossec-hids-2.8.1.tar.gz  wget -U ossec http://www.ossec.net/files/ossec-hids-2.8.1-checksum.txt 

Sau khi download cả hai file , hãy xác minh md5sum rball đã nén.

md5sum -c ossec-hids-2.8.1-checksum.txt 

Đầu ra phải là:

ossec-hids-2.8.1.tar.gz: OK md5sum: WARNING: 1 line is improperly formatted 

Thực hiện theo điều đó bằng cách xác minh tổng kiểm tra SHA1.

sha1sum -c ossec-hids-2.8.1-checksum.txt 

Đầu ra của nó phải là:

ossec-hids-2.8.1.tar.gz: OK sha1sum: WARNING: 1 line is improperly formatted 

Trong mỗi trường hợp, hãy bỏ qua dòng CẢNH BÁO . Dòng OK là dòng xác nhận file tốt.

Bước 2 - Cài đặt Server OSSEC

Trong bước này, ta sẽ cài đặt server OSSEC, vì vậy các lệnh này chỉ nên được thực thi trên một Server. Trước khi bắt đầu cài đặt server , hãy mở khóa server .

tar xf ossec-hids-2.8.1.tar.gz 

Nó sẽ được extract vào một folder có tên ossec-hids-2.8.1 Thay đổi vào folder đó.

cd ossec-hids-2.8.1/ 

Sau đó bắt đầu cài đặt.

sudo ./install.sh 

Trong suốt quá trình cài đặt , bạn sẽ được yêu cầu cung cấp một số thông tin đầu vào. Trong hầu hết các trường hợp đó, tất cả những gì bạn cần làm là nhấn ENTER để chấp nhận các giá trị mặc định.

Lựa chọn đầu tiên bạn sẽ được yêu cầu thực hiện là chọn ngôn ngữ cài đặt. Theo mặc định, nó là tiếng Anh (vi), vì vậy hãy nhấn ENTER nếu đó là ngôn ngữ bạn muốn . Nếu không, hãy nhập 2 chữ cái từ danh sách các ngôn ngữ được hỗ trợ.

Câu hỏi tiếp theo sẽ hỏi bạn muốn loại cài đặt nào. Tại đây, hãy nhập server .

1- What kind of installation do you want (server, agent, local, hybrid or help)? server 

Đối với phần còn lại của các câu hỏi tiếp theo, bạn có thể chấp nhận các giá trị mặc định, nghĩa là chỉ cần nhấn ENTER . Đối với câu hỏi trên email, hãy đảm bảo nhập một địa chỉ email hợp lệ. Thông báo sẽ được gửi đến nó.

Nếu cài đặt thành công, bạn sẽ nhận được kết quả này:

- System is Debian (Ubuntu or derivative).  - Init script modified to start OSSEC HIDS during boot.   - Configuration finished properly.  ...      More information can be found at http://www.ossec.net      ---  Press ENTER to finish (maybe more information below). --- 

Sau đó nhấn ENTER , và bạn sẽ thấy điều này:

- In order to connect agent and server, you need to add each agent to the server.    Run the 'manage_agents' to add or remove them:     /var/ossec/bin/manage_agents     More information at:    http://www.ossec.net/en/manual.html#ma 

Bước 3 - Cấu hình Server OSSEC

Vì tác nhân chưa được cài đặt, ta sẽ giải quyết công việc thêm nó vào server sau. Bây giờ, hãy cấu hình server đảm bảo rằng nó có thể gửi cảnh báo.

Ở đây ta sẽ cấu hình cài đặt email của server OSSEC và đảm bảo nó có thể gửi cảnh báo đến email được chỉ định. Để truy cập và sửa đổi các file và folder của OSSEC, bạn cần chuyển sang user root .

sudo su 

Đến đây bạn đã root, hãy cd vào folder chứa file cấu hình của OSSEC.

cd /var/ossec/etc 

Tệp cấu hình là ossec.conf . Đầu tiên, tạo một bản backup .

cp ossec.conf ossec.conf.00 

Sau đó mở bản root . Ở đây, ta sử dụng editor nano , nhưng bạn có thể sử dụng tùy chọn nào bạn thích.

nano ossec.conf 

Cài đặt email nằm ở đầu file . Dưới đây là mô tả về các trường bạn sẽ thay đổi, tiếp theo là file ossec.conf mẫu.

  • <email_to \> là email bạn đã cung cấp trong quá trình cài đặt. Cảnh báo sẽ được gửi đến địa chỉ email đó.
  • <email_from \> là nơi xuất phát các cảnh báo của OSSEC. Thay đổi địa chỉ email đó thành địa chỉ email hợp lệ để giảm tỷ lệ email của bạn bị server SMTP của nhà cung cấp dịch vụ email của bạn gắn thẻ là spam.
  • Nếu bạn có server email của riêng mình và nó nằm trên cùng một server với server OSSEC được cài đặt, bạn có thể thay đổi cài đặt <smtp_server \> thành localhost .

Lưu ý <email_to \><email_from \> có thể giống nhau. Đây là phần đó sẽ trông như thế nào khi bạn hoàn thành; thay thế các biến màu đỏ bằng biến của bạn .

<global>     <email_notification>yes</email_notification>     <email_to>sammy@example.com</email_to>     <smtp_server>mail.example.com.</smtp_server>     <email_from>sammy@example.com</email_from> </global>  

Sau khi sửa đổi cài đặt email, hãy lưu file . Sau đó khởi động OSSEC.

/var/ossec/bin/ossec-control start  

Kiểm tra hộp thư đến của bạn để tìm email thông báo rằng OSSEC đã bắt đầu. Kiểm tra folder thư rác của bạn nếu bạn không thấy email.

Bước 4 - Cài đặt OSSEC Agent

Trong phần này, bạn sẽ học cách cài đặt tác nhân OSSEC trên Server thứ hai của bạn . Điều này sẽ tương tự như cài đặt server . Trước khi bắt đầu cài đặt tác nhân, hãy gỡ bỏ nó.

tar xf ossec-hids-2.8.1.tar.gz 

Nó sẽ được extract vào một folder có tên ossec-hids-2.8.1 Thay đổi vào folder đó.

cd ossec-hids-2.8.1/ 

Sau đó bắt đầu cài đặt.

sudo ./install.sh 

Hầu hết các dấu nhắc đều giống như trước đây, nhưng một số thì khác. Khi được hỏi:

1- What kind of installation do you want (server, agent, local, hybrid or help)? agent 

Câu trả lời nên là đại lý . Và khi được hỏi:

3.1- What's the IP Address or hostname of the OSSEC HIDS server?:your_server_ip 

Nhập địa chỉ IP của server OSSEC mà bạn đã lấy trước đó. Đây là địa chỉ IP của Server khác (địa chỉ nơi server OSSEC đã được cài đặt).

Đối với các câu hỏi khác, hãy chấp nhận các giá trị mặc định bằng cách nhấn ENTER như bạn đã làm trong quá trình cài đặt server OSSEC. Sau khi cài đặt, bạn sẽ nhận được kết quả này:

- System is Debian (Ubuntu or derivative).  - Init script modified to start OSSEC HIDS during boot.   - Configuration finished properly.  ...      More information can be found at http://www.ossec.net      ---  Press ENTER to finish (maybe more information below). ---  

Và sau khi nhấn ENTER lần nữa, bạn sẽ thấy:

- You first need to add this agent to the server so they    can communicate with each other. When you have done so,    you can run the 'manage_agents' tool to import the    authentication key from the server.     /var/ossec/bin/manage_agents     More information at:    http://www.ossec.net/en/manual.html#ma  

Bây giờ tác nhân và server đã được cài đặt, nhưng chúng chưa thể giao tiếp.

Bước 5 - Thêm tác nhân vào server và extract khóa của nó

Trên server OSSEC, bắt đầu quá trình thêm tác nhân.

Lưu ý : Bạn vẫn phải hoạt động với quyền root từ Bước 3, vì vậy bạn không cần sử dụng sudo trong bất kỳ lệnh nào trong số này.

/var/ossec/bin/manage_agents  

Sau đó, bạn sẽ thấy các tùy chọn được hiển thị bên dưới. Chọn một để thêm một đại lý.

   (A)dd an agent (A).    (E)xtract key for an agent (E).    (L)ist already added agents (L).    (R)emove an agent (R).    (Q)uit. Choose your action: A,E,L,R or Q: a 

Sau đó, bạn sẽ được yêu cầu chỉ định tên cho tác nhân, địa chỉ IP và ID. Đặt tên duy nhất, vì nó sẽ giúp bạn lọc các cảnh báo nhận được từ server . Đối với ID, bạn có thể chấp nhận mặc định bằng cách nhấn ENTER .

Khi bạn nhập cả ba trường, hãy nhập y để xác nhận.

- Adding a new agent (use '\q' to return to the main menu).   Please provide the following:    * A name for the new agent: agentUbuntu    * The IP Address of the new agent: your_agent_ip    * An ID for the new agent[001]: Agent information:    ID:001    Name:agentUbuntu    IP Address:111.111.111.111  Confirm adding it?(y/n): y Agent added. 

Sau đó, bạn sẽ được quay lại menu chính. Đến đây bạn phải extract khóa của tác nhân, khóa này sẽ được hiển thị trên màn hình. (Nó sẽ khác với cái trong ví dụ bên dưới.) Đảm bảo bạn sao chép nó, vì bạn sẽ phải nhập nó cho đại lý.

...  Choose your action: A,E,L,R or Q: e  Available agents:    ID: 001, Name: agentUbuntu, IP: 111.111.111.111 Provide the ID of the agent to extract the key (or '\q' to quit): 001  Agent key information for '001' is: MDAxIGFnZW50VWJ1bnyEwNjI5MjI4ODBhMDkzMzA4MR1IXXwNC4yMzYuMjIyLjI1MSBiMTI2U3MTI4YWYzYzg4M2YyNTRlYzM5M2FmNGVhNDYTIwNDE3NDI1NWVkYmQw  ** Press ENTER to return to the main menu. 

Sau khi nhấn ENTER , bạn sẽ được quay lại menu chính. Gõ q để thoát.

...  Choose your action: A,E,L,R or Q: q  ** You must restart OSSEC for your changes to take effect.  manage_agents: Exiting .. 

Bước 6 - Nhập khóa từ server đến đại lý

Phần này phải được hoàn thành trên đại lý và nó liên quan đến việc nhập (sao chép) khóa của đại lý được extract trên server và dán nó trên terminal của đại lý. Để bắt đầu, hãy chuyển sang root bằng lệnh :

sudo su 

Sau đó gõ:

/var/ossec/bin/manage_agents 

Bạn sẽ thấy các tùy chọn sau:

   (I)mport key from the server (I).    (Q)uit. Choose your action: I or Q: i 

Sau khi gõ đúng tùy chọn, hãy làm theo hướng dẫn để copy paste khóa được tạo từ server .

Agent information:    ID:001    Name:agentUbuntu    IP Address:104.236.222.251  Confirm adding it?(y/n): y Added. ** Press ENTER to return to the main menu. 

Quay lại menu chính, gõ q để thoát:

Choose your action: I or Q: q 

Bước 7 - Cho phép lưu lượng truy cập cổng UDP 1514 qua firewall

Giao tiếp giữa tác nhân và server diễn ra qua cổng UDP 1514, vì vậy bạn sẽ phải thêm luật vào iptables ở cả hai đầu để cho phép lưu lượng truy cập qua cổng đó.

Đầu tiên, tạm thời loại bỏ luật thả trên cả tác nhân và server .

sudo iptables -D INPUT -j DROP 

Để thêm luật vào server OSSEC, hãy nhập thông tin sau, sử dụng IP của tác nhân OSSEC của bạn.

iptables -A INPUT -p UDP --dport 1514 -s your_agent_ip -j ACCEPT 

Sau đó, trên đại lý , nhập thông tin sau, sử dụng IP của server OSSEC của bạn.

iptables -A INPUT -p UDP --dport 1514 -s your_server_ip -j ACCEPT 

Tiếp theo, cho phép tất cả lưu lượng gửi đi qua firewall trên cả tác nhân và server .

iptables -A OUTPUT -j ACCEPT 

Cuối cùng, thêm luật thả cho cả hai.

sudo iptables -A INPUT -j DROP 

Các luật này sẽ vẫn tồn tại sau khi khởi động lại vì iptables-persistant , mà bạn đã cài đặt trong yêu cầu .

Bước 8 - Khởi động lại OSSEC Agent và Server

Bây giờ server và tác nhân đã được cấu hình để giao tiếp, hãy khởi động lại cả hai để áp dụng các thay đổi bằng cách sử dụng:

/var/ossec/bin/ossec-control restart 

Ngoài việc có thể khởi động lại tác nhân OSSEC từ chính tác nhân, bạn cũng có thể khởi động lại nó từ server OSSEC với /var/ossec/bin/agent_control -R 001 , trong đó 001 là ID của tác nhân.

Trên server OSSEC, bạn có thể liệt kê các tác nhân đang hoạt động bằng lệnh :

/var/ossec/bin/list_agents -c 

Nếu bạn nhận được kết quả như hình dưới đây, thì bạn biết rằng server và tác nhân đang nói chuyện.

agentUbuntu-111.111.111.111 is active. 

Kết luận

Đến đây, bạn sẽ nhận được cảnh báo từ server chứa thông báo từ cả server và tác nhân. Dòng chủ đề của cảnh báo liên quan đến tác nhân trông giống như OSSEC Notification - (agentUbuntu) 111.111.111.111 - Alert level 3 . Nội dung của những email đó bắt đầu bằng OSSEC HIDS Notification .

Sau khi bạn đã cài đặt rằng server và tác nhân có thể giao tiếp, bạn có thể tùy chỉnh thêm cả hai cài đặt. Các sửa đổi có thể được thực hiện trên server OSSEC và tác nhân để cảnh báo về việc bổ sung file và cũng để cảnh báo trong thời gian thực giống như bạn có thể thực hiện trên cài đặt OSSEC cục bộ . Bạn có thể tham khảo phần liên quan trong Cách cài đặt và cấu hình thông báo bảo mật OSSEC trên Ubuntu 14.04 để biết các bước về cách thực hiện các sửa đổi đó.

Nếu bạn có nhiều hơn hai server cần theo dõi, bạn có thể thêm chúng làm tác nhân OSSEC vào cài đặt bằng cách sử dụng các bước tương tự được đưa ra trong bài viết này. Nếu bạn gặp phải sự cố nào trong khi cài đặt điều này, nơi đầu tiên để tìm manh mối là trong log lỗi, nằm tại /var/ossec/logs/ossec.log .

Bài viết này chỉ trình bày những kiến thức cơ bản về cài đặt OSSEC ở chế độ server -tác nhân. Thông tin thêm có tại http://ossec-docs.readthedocs.org .


Tags:

Các tin liên quan

Cách thiết lập server OSRM trên Ubuntu 14.04
2015-02-20
Cách cài đặt Linux Dash trên Ubuntu 14.04
2015-02-18
Cách bảo vệ server Linux của bạn chống lại lỗ hổng GHOST
2015-01-28
Cách cài đặt và cấu hình Postfix làm server SMTP chỉ gửi trên Ubuntu 14.04
2015-01-23
Cách cấu hình xác thực dựa trên khóa SSH trên server FreeBSD
2015-01-14
Giới thiệu so sánh về FreeBSD cho người dùng Linux
2015-01-14
Tại sao bạn có thể không muốn chạy mail server của riêng mình
2014-12-11
Cách kiểm tra lưu lượng mạng trong server LAMP với sysdig trên CentOS 7
2014-12-05
Giới thiệu về quyền của Linux
2014-11-14
Quản lý tệp và điều hướng Linux cơ bản
2014-11-14