OSSEC menyebut dirinya sebagai sistem deteksi intrusi yang paling banyak digunakan di dunia. Sistem deteksi intrusi (umumnya disebut sebagai IDS) adalah perangkat lunak yang membantu kami memantau jaringan kami untuk anomali, insiden, atau peristiwa apa pun yang menurut kami dapat dilaporkan. Sistem deteksi intrusi dapat dikonfigurasi seperti firewall, mereka dapat dikonfigurasi untuk mengirim peringatan berdasarkan aturan, menerapkan langkah keamanan, atau secara otomatis merespons ancaman atau peringatan yang sesuai untuk jaringan atau perangkat Anda.
Sistem deteksi intrusi dapat mengingatkan kita terhadap DDOS, brute force, eksploitasi, kebocoran data, dll., sistem ini memantau jaringan kita secara waktu nyata dan berinteraksi dengan kita dan sistem kita saat kita memutuskan.
Di LinuxHint sebelumnya kami mendedikasikan dua tutorial untuk Snort, Snort adalah salah satu sistem deteksi intrusi terkemuka di pasaran dan mungkin yang pertama. Artikel tersebut tentang menginstal dan menggunakan Snort Intrusion Detection System untuk mengamankan server dan jaringan serta mengonfigurasi Snort IDS dan pembuatan aturan.
Kali ini saya akan menunjukkan cara mengkonfigurasi OSSEC. Server adalah inti dari perangkat lunak, berisi aturan, log peristiwa, dan kebijakan, sementara agen diinstal pada perangkat untuk pemantauan. Agen mengirimkan log dan melaporkan insiden ke server. Dalam tutorial ini, kami hanya akan menginstal sisi server untuk mengontrol perangkat yang digunakan, server sudah berisi fungsi agen untuk perangkat yang diinstal.
instalasi OSSEC.
Pertama-tama lari.
Untuk paket Debian dan Ubuntu, Anda dapat mengunduh server OSSEC di https://updates.atomicorp.com/channels/ossec/debian/pool/main/o/ossec-hids-server/.
Untuk tutorial ini, saya akan mengunduh versi saat ini dengan mengetik di konsol:
dapatkan: https://update.atomiccorp.com/ombak/sistem:/debian:/kolam renang/utama/Hai:/
ossec-hids-server/ossec-hids-server_3.3.0.6515stretch_amd64.deb
Lalu lari.
dpkg: dari ossec-hids-server_3.3.0.6515stretch_amd64.deb
Mulai OSSEC dengan mengeksekusi:
/var:/sistem:/tempat sampah/ossec-kontrol mulai:
Secara default, instalasi kami tidak mengizinkan pemberitahuan email untuk mengeditnya
nano /var:/sistem:/dll./ossec.conf:
Mengubah
<pemberitahuan email>:TIDAKpemberitahuan email>:
Untuk
<pemberitahuan email>:Yapemberitahuan email>:
Dan tambahkan:
<email_ke:>:ALAMAT ANDAemail_ke:>:
<smtp_server:>:SERVER SMTP:smtp_server:>:
<dari email>:osecm:@host lokal:dari email>:
Tekan ctrl + x Dan: Y: simpan dan keluar dan mulai OSSEC lagi;
/var:/sistem:/tempat sampah/ossec-kontrol mulai:
Catatan: jika Anda ingin menginstal agen OSSEC pada jenis perangkat yang berbeda;
ossec-hids-agent:/ossec-hids-agent_3.3.0.6515stretch_amd64.deb
dpkg: dari ossec-hids-agent_3.3.0.6515stretch_amd64.deb
Memungkinkan Anda untuk memeriksa file konfigurasi OSSEC lagi
nano /var:/sistem:/dll./ossec.conf:
Gulir ke bawah untuk mencapai bagian Syscheck
Di sini Anda dapat menentukan direktori yang diperiksa oleh OSSEC dan interval revisinya. Kami juga dapat menentukan direktori dan file yang akan diabaikan.
Agar OSSEC melaporkan kejadian secara real time, edit barisnya
<direktori Lihat semuanya=:“Ya”>>:tempat sampah/pedangdirektori>:
Ke:
<direktori laporan_perubahan=:“Ya” waktu sebenarnya=:“Ya” Lihat semuanya=:“Ya”>>:dll./usr:/tempat sampah
/usr:/pedangdirektori>:
<direktori laporan_perubahan=:“Ya” waktu sebenarnya=:“Ya” Lihat semuanya=:“Ya”>>:tempat sampah/pedangdirektori>:
Untuk menambahkan direktori baru untuk OSSEC, tambahkan baris:
<direktori laporan_perubahan=:“Ya” waktu sebenarnya=:“Ya” Lihat semuanya=:“Ya”>>:DIR1,/DIR2:direktori>:
Tutup dengan mengklik nano CTRL+X Dan: Y: dan ketik:
nano /var:/sistem:/aturan/ossec_rules.xml
File ini berisi aturan OSSEC, level aturan akan menentukan respons sistem. Misalnya, secara default OSSEC hanya melaporkan peringatan level 7, jika ada aturan dengan level di bawah 7 dan Anda ingin diberi tahu saat OSSEC mengidentifikasi insiden, edit nomor level ke 7 atau lebih tinggi : Misalnya, jika Anda ingin diberi tahu saat host dibuka blokirnya oleh respons OSSEC yang aktif, edit aturan berikut:
<if_sid:>:600if_sid:>:
<tindakan>:firewall-drop.sh:tindakan>:
<status>:menghapusstatus>:
<keterangan>:Host dibuka blokirnya oleh respons aktif firewall-drop.shketerangan>:
<kelompok>:respons_aktif,kelompok>:
aturan>:
Ke:
<aturan pengenal:=:“602” tingkat=:“7”>:
<if_sid:>:600if_sid:>:
<tindakan>:firewall-drop.sh:tindakan>:
<status>:menghapusstatus>:
<keterangan>:Host dibuka blokirnya oleh respons aktif firewall-drop.shketerangan>:
<kelompok>:respons_aktif,kelompok>:
aturan>:
Alternatif yang lebih aman adalah menambahkan aturan baru di akhir file yang menimpa yang sebelumnya;
<aturan pengenal:=:“602” tingkat=:“7” menimpa=:“Ya”>:
<if_sid:>:600if_sid:>:
<tindakan>:firewall-drop.sh:tindakan>:
<status>:menghapusstatus>:
<keterangan>:Host dibuka blokirnya oleh respons aktif firewall-drop.shketerangan>:
Sekarang kita telah menginstal OSSEC secara lokal, pada tutorial berikutnya kita akan belajar lebih banyak tentang aturan dan konfigurasi OSSEC.
Saya harap Anda menemukan tutorial ini bermanfaat dalam memulai OSSEC, nantikan LinuxHint.com untuk tips dan pembaruan Linux lainnya.