Dalam tutorial ini, kami akan menunjukkan kepada Anda cara menginstal dan mengkonfigurasi OSSEC di Ubuntu 14.04. Bagi Anda yang tidak tahu, OSSEC adalah intrusi berbasis host open-source gratis sistem deteksi (HIDS). Ia melakukan analisis log, pemeriksaan integritas, pemantauan registri Windows, deteksi rootkit, peringatan berbasis waktu, dan respons aktif. Ini menyediakan deteksi intrusi untuk sebagian besar sistem operasi, termasuk Linux, OpenBSD, FreeBSD, Mac OS X, Solaris, dan Windows. OSSEC memiliki arsitektur lintas platform terpusat yang memungkinkan banyak sistem untuk dipantau dan dikelola dengan mudah.
Artikel ini mengasumsikan Anda memiliki setidaknya pengetahuan dasar tentang Linux, tahu cara menggunakan shell, dan yang terpenting, Anda meng-host situs Anda di VPS Anda sendiri. Instalasi cukup sederhana dan mengasumsikan Anda sedang berjalan di akun root, jika tidak, Anda mungkin perlu menambahkan 'sudo ' ke perintah untuk mendapatkan hak akses root. Saya akan menunjukkan kepada Anda langkah demi langkah instalasi OSSEC di server Ubuntu 14.04.
Prasyarat
- Server yang menjalankan salah satu sistem operasi berikut:Ubuntu 14.04, dan distribusi berbasis Debian lainnya seperti Linux Mint.
- Sebaiknya Anda menggunakan penginstalan OS baru untuk mencegah potensi masalah.
- Akses SSH ke server (atau cukup buka Terminal jika Anda menggunakan desktop).
- Seorang
non-root sudo useratau akses keroot user. Kami merekomendasikan untuk bertindak sebagainon-root sudo user, namun, karena Anda dapat membahayakan sistem jika tidak berhati-hati saat bertindak sebagai root.
Instal OSSEC di Ubuntu 14.04
Langkah 1. Pertama, pastikan semua paket sistem Anda mutakhir dengan menjalankan apt-get berikut perintah di terminal.
sudo apt-get update sudo apt-get upgrade
Langkah 2. Instal server LAMP (Linux, Apache, MariaDB, PHP).
Server LAMP Ubuntu 14.04 diperlukan. Jika Anda belum menginstal LAMP, Anda dapat mengikuti panduan kami di sini.
Langkah 3. Menginstal OSSEC.
Hal pertama yang harus dilakukan adalah pergi ke halaman unduhan OSSEC dan unduh versi stabil terbaru dari OSSEC, Pada saat penulisan artikel ini adalah versi 2.8.3 :
wget https://bintray.com/artifact/download/ossec/ossec-hids/ossec-hids-2.8.3.tar.gz
Buka arsip OSSEC ke direktori root dokumen di server Anda:
tar -xzf ossec-hids-2.8.3.tar.gz cd ossec-hids-2.8.3 cd src make setdb
Kembali ke direktori sebelumnya:
cd ../ ./install.sh
Anda dapat memilih opsi mana yang akan diaktifkan/dinonaktifkan, tetapi kami menyarankan Anda untuk mengikuti output di bawah ini. Anda dapat menekan enter jika Anda ingin menggunakan pilihan default ( yang di dalam kurung) untuk setiap pertanyaan yang diajukan:
OSSEC HIDS v2.8.3 Installation Script - http://www.ossec.net You are about to start the installation process of the OSSEC HIDS. You must have a C compiler pre-installed in your system. If you have any questions or comments, please send an e-mail to [email protected] (or [email protected]). - System: Linux vps 2.6.32-042stab113.11 - User: root - Host: vps.idroot.us -- Press ENTER to continue or Ctrl-C to abort. --
Tekan enter.
1- What kind of installation do you want (server, agent, local, hybrid or help)? server - Server installation chosen. 2- Setting up the installation environment. - Choose where to install the OSSEC HIDS [/var/ossec]: - Installation will be made at /var/ossec . 3- Configuring the OSSEC HIDS. 3.1- Do you want e-mail notification? (y/n) [y]: - What's your e-mail address? [email protected] - What's your SMTP server ip/host? smtp.example.com 3.2- Do you want to run the integrity check daemon? (y/n) [y]: - Running syscheck (integrity check daemon). 3.3- Do you want to run the rootkit detection engine? (y/n) [y]: - Running rootcheck (rootkit detection). 3.4- Active response allows you to execute a specific command based on the events received. For example, you can block an IP address or disable access for a specific user. More information at: http://www.ossec.net/en/manual.html#active-response - Do you want to enable active response? (y/n) [y]: - Active response enabled. - By default, we can enable the host-deny and the firewall-drop responses. The first one will add a host to the /etc/hosts.deny and the second one will block the host on iptables (if linux) or on ipfilter (if Solaris, FreeBSD or NetBSD). - They can be used to stop SSHD brute force scans, portscans and some other forms of attacks. You can also add them to block on snort events, for example. - Do you want to enable the firewall-drop response? (y/n) [y]: - firewall-drop enabled (local) for levels >= 6 - Default white list for the active response: - xxx.xxx.xxx.xx - xx.xxx.xx.xxx - Do you want to add more IPs to the white list? (y/n)? [n]: 3.5- Do you want to enable remote syslog (port 514 udp)? (y/n) [y]: - Remote syslog enabled. 3.6- Setting the configuration to analyze the following logs: -- /var/log/messages -- /var/log/auth.log -- /var/log/syslog -- /var/log/mail.info -- /var/log/dpkg.log -- /var/log/apache2/error.log (apache log) -- /var/log/apache2/access.log (apache log) - If you want to monitor any other file, just change the ossec.conf and add a new localfile entry. Any questions about the configuration can be answered by visiting us online at http://www.ossec.net . --- Press ENTER to continue ---
Selanjutnya tekan enter untuk melanjutkan instalasi yang tidak lebih dari 3 menit. Setelah semuanya selesai, Anda akan mendapatkan:
- System is Debian (Ubuntu or derivative). - Init script modified to start OSSEC HIDS during boot. - Configuration finished properly. - To start OSSEC HIDS: /var/ossec/bin/ossec-control start - To stop OSSEC HIDS: /var/ossec/bin/ossec-control stop - The configuration can be viewed or modified at /var/ossec/etc/ossec.conf Thanks for using the OSSEC HIDS. If you have any question, suggestion or if you find any bug, contact us at [email protected] or using our public maillist at [email protected] ( http://www.ossec.net/main/support/ ). More information can be found at http://www.ossec.net --- Press ENTER to finish (maybe more information below). --- - In order to connect agent and server, you need to add each agent to the server. Run the 'manage_agents' to add or remove them: /var/ossec/bin/manage_agents
Mulai OSSEC:
/var/ossec/bin/ossec-control start
Langkah 4. Konfigurasi MariaDB untuk OSSEC.
Secara default, MariaDB tidak dikeraskan. Anda dapat mengamankan MariaDB menggunakan mysql_secure_installation naskah. Anda harus membaca dan di bawah setiap langkah dengan cermat yang akan menetapkan kata sandi root, menghapus pengguna anonim, melarang login root jarak jauh, dan menghapus database pengujian dan akses untuk mengamankan MariaDB:
mysql_secure_installation
Konfigurasikan seperti ini:
- Set root password? [Y/n] y - Remove anonymous users? [Y/n] y - Disallow root login remotely? [Y/n] y - Remove test database and access to it? [Y/n] y - Reload privilege tables now? [Y/n] y
Selanjutnya, kita perlu masuk ke konsol MariaDB dan membuat database untuk OSSEC. Jalankan perintah berikut:
mysql -u root -p
Ini akan meminta Anda untuk memasukkan kata sandi, jadi masukkan kata sandi root MariaDB Anda dan tekan Enter. Setelah Anda masuk ke server basis data, Anda perlu membuat basis data untuk Instalasi OSSEC:
create database ossec; grant all privileges on ossec.* to ossecuser@localhost identified by 'your_password'; flush privileges; exit
Secara default, OSSEC menyediakan skema untuk database dan terletak di direktori src/os_dbd/. Impor ke database oOSSECssec yang baru Anda buat:
mysql -u ossecuser -p ossec < src/os_dbd/mysql.schema
Sekarang tambahkan konfigurasi database ke file konfigurasi OSSEC:
nano /var/ossec/etc/ossec.conf
Anda dapat meletakkan baris di atas di mana saja di blok
<database_output> <hostname>127.0.0.1</hostname> <username>ossecuser</username> <password>your_password</password> <database>ossec</database> <type>mysql</type> </database_output>
Simpan dan keluar dari file. Kemudian, aktifkan database dan mulai ulang OSSEC:
/var/ossec/bin/ossec-control enable database /var/ossec/bin/ossec-control restart
Langkah 5. Memasang UI Web OSSEC.
Instal OSSEC Web UI di root dokumen default Apache. Masuk ke direktori:
cd /var/www/html/ wget https://github.com/ossec/ossec-wui/archive/master.zip unzip master.zip mv ossec-wui-master/ ossec/
Buat tmp direktori di dalam dan atur kepemilikan dan izin file yang benar:
mkdir ossec/tmp/ chown www-data: -R ossec/ chmod 666 /var/www/html/ossec/tmp
Langkah 6. Mengakses OSSEC.
OSSEC akan tersedia pada port HTTP 80 secara default. Buka browser favorit Anda dan navigasikan ke http://yourdomain.com/ossec atau http://server-ip/ossec . Jika Anda menggunakan firewall, buka port 80 untuk mengaktifkan akses ke panel kontrol.
Selamat! Anda telah berhasil menginstal OSSEC. Terima kasih telah menggunakan tutorial ini untuk menginstal OSSEC pada sistem Ubuntu 14.04. Untuk bantuan tambahan atau informasi berguna, kami sarankan Anda memeriksa situs web resmi OSSEC.