GNU/Linux >> Belajar Linux >  >> Ubuntu

Cara Menginstal OSSEC Server-Client di Ubuntu - Bagian 1

Dalam artikel ini fokus kami adalah OSSEC yang merupakan Intrusion Detection System (HIDS) berbasis Host Open Source. Itu dapat diinstal di Linux, Windows dan MacOS. Pada artikel ini, kita akan menginstal OSSEC dan antarmuka web pada distribusi Ubuntu. Dalam kasus kami, klien dan server OSSEC akan menjadi mesin linux. Kami berasumsi bahwa paket terkait mysql dan php sudah diinstal. Ini menyediakan fitur berikut.

  • Melakukan analisis log
  • Pemeriksaan integritas file
  • Pemantauan kebijakan
  • Deteksi rootkit
  • Peringatan waktu nyata dan
  • Tanggapan aktif.

Instalasi OSSEC

Alat OSSEC dapat diunduh dari situs web OSSEC yang ditunjukkan pada gambar. File kompres yang diunduh dapat digunakan sebagai server dan klien OSSEC. Mode server/klien dipilih selama proses instalasi.

Sekarang ekstrak file *.tar.gz dengan perintah berikut dan masuk ke dalam yang ditunjukkan di bawah ini.

#tar -xf ossec-hids-2.8.1.tar.gz

Jalankan ./install.sh skrip di terminal yang akan meminta opsi berikut.

Instalasi sisi server OSSEC

Pertama-tama, kita akan menginstal alat OSSEC dalam mode server. Pilih bahasa dari prompt yang ditunjukkan pada gambar berikut. Jendela ini akan sama di semua mode instalasi OSSEC.

Jendela berikut muncul yang menunjukkan detail sistem, pengguna terminal dan nama host. Tekan enter untuk memulai proses instalasi.

Ini menunjukkan mode/jenis instalasi OSSEC berikut pada mesin.

1. Server

Ini adalah bagian sentral dari penyebaran OSSEC yang berinteraksi dengan agen / klien. Server menyimpan database untuk pemeriksaan integritas file, peristiwa, log, dan entri audit sistem. Ini juga menyimpan aturan, decoder, dan opsi konfigurasi utama. Itu memudahkan administrasi sejumlah besar agen.

2. Agen

Dalam mode ini, agen OSSEC mengirim peristiwa, log, entri audit ke Server/Manager..

3. Mode lokal

Instalasi mode lokal mirip dengan instalasi server /agent , kecuali bahwa server dikonfigurasi untuk mendengarkan komunikasi dari agen.

4. Hibrida

Dalam mode ini, host yang sama bertindak sebagai server dan klien/agen.

Mode Server

Pada artikel ini, kami akan menginstal mode klien/server OSSEC. Mesin ini (192.168.1.10) akan menjadi manajer atau server dan agen OSSEC akan berada di mesin 192.168.1.11.

1. Pilih mode server dari jenis instalasi yang diberikan seperti yang ditunjukkan pada jendela berikut.

2. Pilih direktori instalasi untuk OSSEC HIDS . Secara default, jalur instalasi adalah /var/ossec.

3. OSSEC menyediakan notifikasi melalui email yang merupakan fitur penting. Opsi selanjutnya adalah untuk pengaturan email dan alamat smtp.

4. OSSEC memiliki syscheck komponen melakukan pemeriksaan integritas berkala dari file yang dikonfigurasi (seperti /etc/password di linux ) atau entri registri apa pun di platform Windows. Pemeriksaan integritas merupakan bagian penting dari HIDS yang mendeteksi perubahan pada sistem. OSSEC menghitung hash (MD5/SHA1) dari file kunci dalam sistem dan registri Windows. Agen yang berjalan di mesin, secara berkala memindai sistem lengkap dan mengirim semua hash ke OSSEC pusat. Server menyimpannya dan terus mengawasi setiap modifikasi pada mereka.

5. OSSEC menyediakan fitur untuk deteksi rootkit menggunakan Rootcheck yang merupakan alat open source untuk deteksi rootkit dan audit sistem. Alat Rootcheck memindai seluruh sistem dan mendeteksi keberadaan rootkit yang dikenal/tidak dikenal. Selain itu, ia mendeteksi rootkit tingkat kernel dan memeriksa konfigurasi sistem untuk opsi yang tidak aman.

6. Fitur Respon Aktif dalam OSSEC dapat menjalankan aplikasi pada agen atau server sebagai respons terhadap pemicu seperti peringatan tertentu, tingkat peringatan. Fitur ini membantu memblokir upaya login pada mesin melalui SSH menggunakan iptables.

7. Menggunakan fitur ini, server OSSEC mengirimkan peringatan OSSEC (dikirim oleh Agen) ke server SYSLOG terpusat seperti Alienvault. Seperti yang ditunjukkan pada gambar, OSSEC akan mengirimkan auth.log,syslog,dpkg dan log apache ke server SYSLOG.

8. Setelah pengaturan di atas, OSSEC meminta untuk memulai instalasi dengan menekan tombol "ENTER" yang ditunjukkan di bawah.

9. Sebelum instalasi selesai, ini menunjukkan beberapa informasi seperti detail OS, memulai/menghentikan skrip OSSEC dan jalur file konfigurasi OSSEC.

10. Menekan "ENTER" akan menyelesaikan instalasi OSSEC sebagai Server. Ditunjukkan pada gambar berikut bahwa agen dapat ditambahkan/dihapus menggunakan 'manage_agents utilitas.

Instalasi Sisi Klien OSSEC

Sekarang kita akan menginstal instalasi mode klien OSSEC pada agen untuk integritas dan deteksi root kit.

1. Pilih mode agen saat instalasi OSSEC pada mesin server dan host akhir.

2. Setel jalur konfigurasi (/var/ossec secara default)

3. Masukkan alamat IP server/manajer OSSEC (192.168.1.10)

4. Aktifkan fitur pemeriksaan Integritas OSSEC dalam mode klien.

5. Aktifkan deteksi rootkit dan fitur respons aktif

6. Tekan tombol "Enter" untuk memulai proses instalasi .

7. Jendela berikut menunjukkan skrip start/stop dan jalur konfigurasi untuk OSSEC. Tekan tombol "Enter" untuk menyelesaikan proses instalasi.

Kesimpulan

Di bagian artikel ini kami telah menginstal alat HIDS open source, OSSEC di platform Ubuntu. Di bagian kedua artikel berikutnya kita akan mengkonfigurasi OSSEC untuk klien berbasis windows dan linux (penambahan/pendaftaran/penghapusan klien, mengambil Kunci dari server dll). Klien OSSEC membutuhkan kunci yang dihasilkan oleh server OSSEC. Pada akhirnya, kami akan memantau klien/server OSSEC dari antarmuka web.


Ubuntu

  1. Cara Menginstal MySQL di Ubuntu 18.04

  2. Cara Memasang Server Minecraft di Ubuntu 18.04

  3. Cara Instal Zimbra 8.6 di Server Ubuntu 14.04

  1. Cara Menginstal Nginx di Ubuntu 20.04

  2. Cara Menginstal MariaDB di Ubuntu 20.04

  3. Cara Menginstal Server VNC Di Ubuntu 14.04

  1. Cara Instal OpenSIPS Server di Ubuntu 15.04

  2. Cara Mengonfigurasi OSSEC di Ubuntu - Bagian 2

  3. Cara Menginstal Server Konsul di Ubuntu 16.04