Instalare si configurare agent OSSEC pe linux

Configurare noua (How To)

Situatie

OSSEC este un sistem de detecție a intruziunilor (HIDS), care rulează pe mai multe platforme OS, cum ar fi Linux, Solaris, AIX, HP-UX, BSD, Windows, Mac și VMware ESX. Monitorizează toate aspectele activității sistemului, cum ar fi;     – monitorizarea integrității fișierelor     

    – monitorizarea registrilor Windows     

    – monitorizare log     

    – rootcheck     

    -proces de monitorizare

De asemenea, poate fi configurat să notifice despre o activitate suspectă prin jurnale de alertă sau prin alerte prin

e-mail. OSSEC poate fi integrat în soluțiile SIEM cum ar fi AlienVault.

Solutie

Pasi de urmat

Pentru a instala agentul OSSEC pe un sistem Ubuntu 18.04 / CentOS 7 sau pe orice alt sistem Linux / Unix,
asigurați-vă că aveți atât C compilatorul, cât și utilitarul de configurare. Dacă din anumite motive compilatorul
nu este instalat, îl puteți instala;

  • Managerul de pachete de distribuție specific, cum ar fi YUM, APT, PKG, DNF. De exemplu;

yum install gcc << Despre derivatele RHEL (CentOS 7)

  • Descărcați versiunea RPM și instalați-o local. Acest lucru poate eșua dacă nu sunt îndeplinite dependențele de pachete. De exemplu:

wget http://mirror.centos.org/centos/7/os/x86_64/Packages/gcc-4.8.5-36.el7.x86_64.rpm

Odată ce descărcarea se termină, instalați-o executând comanda:

apt install gcc_7.3.0-3ubuntu2_amd64.deb

Pentru a descărca agentul OSSEC pentru Linux, navigați la pagina de descărcare OSSEC.
Puteți rula pur și simplu comanda de mai jos pentru a-l descărca în folderul / tmp:

wget https://github.com/ossec/ossec-hids/archive/3.1.0.tar.gz -P /tmp

Instalați agentul OSSEC pe CentOS 7
Navigați la dosarul / tmp și extrageți agentul tarball
cd /tmp tar xzf 3.1.0.tar.gz

Navigați la directorul sursă Agent și lansați programul de instalare a agenților OSSEC;

cd ossec-hids-3.1.0

./install.sh

La instalare se pot urma pașii de mai jos:
1.

2.

3.

4.

5.

6.

7.

Conectați agentul la server

Acum, când agentul este instalat, executați următoarea comandă pentru a adăuga cheia de conectare server-agent.
Puteți extrage cheia pentru gazda specifică de la server. Introduceți opțiunea I, inserați cheia și confirmați
adăugarea cheii. Apoi tastați Q și apăsați enter pentru a ieși.

Porniți agentul OSSEC

Acum, dacă cheia server-agent este instalată, executați comanda de mai jos pentru a porni agentul OSSEC; /var/ossec/bin/ossec-control start

Puteți verifica dacă agentul comunică cu serverul, verificând jurnalele agenților ossec după cum se arată mai jos.

tail /var/ossec/logs/ossec.log. Ar trebui să puteți vedea o linie care să arate că agentul a fost conectat la server.

În caz contrar, verificați problemele de tip firewall.

Tip solutie

Permanent

Impact colateral

Atentie la configurarea ulterioara a programului, altfel logurile create pot ocupa spatiu considerbil.
Etichetare:

Voteaza

(24 din 58 persoane apreciaza acest articol)

Despre Autor

Leave A Comment?