LINUX

Cómo instalar OSSEC Server-Client en Ubuntu – Parte 1

0 565 4 minutos de lectura

En este artículo, nuestro enfoque es OSSEC, que es un sistema de detección de intrusiones (HIDS) basado en host de código abierto. Se puede instalar en Linux, Windows y MacOS. En este artículo, instalaremos OSSEC y la interfaz web en la distribución de Ubuntu. En nuestro caso, el cliente y el servidor de OSSEC será una máquina Linux. Suponemos que los paquetes relacionados con mysql y php ya están instalados. Proporciona las siguientes características.

  • Realiza análisis de registros
  • Comprobación de la integridad de los archivos
  • Monitoreo de políticas
  • Detección de rootkit
  • Alertas en tiempo real y
  • Respuesta activa.

Instalación de OSSEC

La herramienta OSSEC puede descargar desde OSSEC sitio web que se muestra en la figura. El archivo comprimido descargado se puede utilizar como servidor y cliente de OSSEC. Modo servidor / cliente seleccionado durante el proceso de instalación.

descargar paquete ossec

Ahora extraiga el archivo * .tar.gz con el siguiente comando y entre, que se muestra a continuación.

#tar -xf ossec-hids-2.8.1.tar.gz

Extrae el archivo comprimido

Ejecutar el ./install.sh script en la terminal que le pedirá las siguientes opciones.

instalar script

Instalación del lado del servidor OSSEC

En primer lugar, instalaremos la herramienta OSSEC en modo servidor. Seleccione el idioma del indicador que se muestra en la siguiente figura. Esta ventana será la misma en todos los modos de instalación de OSSEC.

seleccione el idioma

Aparece la siguiente ventana que muestra los detalles del sistema, el usuario del terminal y el nombre de host. Presione enter para iniciar el proceso de instalación.

aviso de instalación

Muestra los siguientes modos / tipos de instalación de OSSEC en la máquina.

seleccione el tipo de instalación

1. Servidor

Es la pieza central del despliegue de OSSEC que interactúa con los agentes / cliente. El servidor almacena las bases de datos para la verificación de la integridad de los archivos, los eventos, los registros y las entradas de auditoría del sistema. También almacena reglas, decodificadores y las principales opciones de configuración. Facilita la administración de una gran cantidad de agentes.

2. Agente

En este modo, el agente OSSEC envió eventos, registros, entradas de auditoría al servidor / administrador …

3. Modo local

La instalación en modo local es similar a la instalación del servidor / agente, excepto que el servidor está configurado para escuchar la comunicación de los agentes.

4. Híbrido

En este modo, el mismo host actúa como servidor y cliente / agente.

Modo servidor

En este artículo, instalaremos los modos cliente / servidor de OSSEC. Esta máquina (192.168.1.10) será el administrador o servidor y el agente OSSEC estará en la máquina 192.168.1.11.

1. Seleccione el modo de servidor de los tipos de instalación dados como se muestra en la siguiente ventana.

Modo servidor

2. Seleccione el directorio de instalación para OSSEC HIDS. De forma predeterminada, la ruta de instalación es / var / ossec.

Ruta de instalación

3. OSSEC proporciona una notificación por correo electrónico, que es una característica importante. La siguiente opción es para configurar el correo electrónico y la dirección smtp.

Configuración de correo electrónico y SMTP

4. OSSEC tiene syscheck El componente realiza la verificación periódica de integridad de cualquier archivo configurado (como / etc / password en Linux) o cualquier entrada de registro en la plataforma Windows. La verificación de integridad es una parte importante de HIDS que detecta cambios en el sistema. OSSEC calcula el hash (MD5 / SHA1) de los archivos clave en el sistema y en el registro de Windows. El agente que se ejecuta en la máquina, escanea periódicamente el sistema completo y envía todos los hashes al OSSEC central. El servidor los almacena y observa continuamente cualquier modificación en ellos.

verificación de integridad

5. OSSEC proporciona la función para la detección de rootkit utilizando Rootcheck, que es una herramienta de código abierto para la detección de rootkit y la auditoría del sistema. La herramienta Rootcheck escanea todo el sistema y detecta la presencia de rootkits conocidos / desconocidos. Además de eso, detecta rootkits a nivel de kernel y verifica la configuración del sistema en busca de opciones inseguras.

kit de raíz

6. La función de respuesta activa dentro de OSSEC puede ejecutar aplicaciones en un agente o servidor en respuesta a desencadenantes tales como alertas específicas, niveles de alerta. Esta función ayuda a bloquear los intentos de inicio de sesión en la máquina a través de SSH utilizando iptables.

respuestas activas

7. Al utilizar esta función, el servidor OSSEC envía las alertas OSSEC (enviadas por los agentes) al servidor SYSLOG centralizado como Alienvault. Como se muestra en la figura, OSSEC enviará los registros auth.log, syslog, dpkg y apache al servidor SYSLOG.

remoto

8. Después de la configuración anterior, OSSEC solicita iniciar la instalación presionando el botón «ENTER» que se muestra a continuación.

inicio de la instalación

9. Antes de que se complete la instalación, muestra poca información, como el detalle del sistema operativo, el inicio / detención de los scripts OSSEC y la ruta del archivo de configuración OSSEC.

Antes del paso final

10. Al presionar «ENTER» finalizará la instalación de OSSEC como servidor. En la siguiente figura se muestra que los agentes se pueden agregar / eliminar usando ‘administrar_agentes utilidad.

terminar la instalación

Instalación del lado del cliente de OSSEC

Ahora instalaremos la instalación en modo cliente de OSSEC en un agente para la detección de integridad y rootkit.

1. Seleccione el modo de agente durante la instalación de OSSEC en máquinas servidor y hosts finales.

Modo de instalación del agente

2. Establecer la ruta de configuración (/ var / ossec es por defecto)

ruta de instalación

3. Ingrese la dirección IP del servidor / administrador OSSEC (192.168.1.10)

ip del servidor ossec

4. Habilite la función de verificación de integridad de OSSEC en modo cliente.

integridad

5. Habilite las funciones de respuesta activa y detección de rootkit

rootkit

respuesta activa

6. Presione el botón «Enter» para iniciar el proceso de instalación.

iniciar la instalación

7. La siguiente ventana muestra los scripts de inicio / parada y la ruta de configuración para OSSEC. Presione el botón «Enter» para completar el proceso de instalación.

antes de la instalación final

Conclusión

En esta parte del artículo, hemos instalado la herramienta HIDS de código abierto, OSSEC en la plataforma Ubuntu. En la siguiente segunda parte del artículo, configuraremos OSSEC para clientes basados ​​en Windows y Linux (adición / listado / eliminación del cliente, obtención de claves del servidor, etc.). Los clientes OSSEC necesitan claves generadas por el servidor OSSEC. Al final, supervisaremos el cliente / servidor OSSEC desde la interfaz web.

Publicaciones relacionadas

lnav: herramienta para ver y analizar archivos de registro desde la terminal de Linux

Cómo agregar un usuario a Sudoers en Ubuntu

Cómo instalar y usar Privoxy en Ubuntu 16.04

Cómo combinar archivos PDF en Linux

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Botón volver arriba
Cerrar