👩🏿‍🎤 🧑🏽‍🤝‍🧑🏼 👦🏿 OSSEC (HIDS) और Prewikka (WebUI) स्थापित करें 👩🏼 👩🏻‍✈️ 🅿️

यह लेख आपको बताएगा कि ओएसएसईसी घुसपैठ का पता लगाने की प्रणाली कैसे स्थापित की जाए और अपेक्षाकृत सुविधाजनक और सूचनात्मक वेब इंटरफेस में ओएसएसईसी अलर्ट प्रदर्शित करें। OSSEC syslog, DBMS को अलर्ट को आउटपुट कर सकता है या उन्हें एक और आईडीएस भेज सकता है - प्रस्तावना । यह आईडीएस व्यावहारिक रूप से हाल के वर्षों में विकसित नहीं हुआ है, लेकिन इसका एक अच्छा वेब इंटरफ़ेस है - प्रीविकका। यह प्रणाली आपको OSSEC - Snort के अलावा अन्य IDS को भी जोड़ने की अनुमति देती है, उदाहरण के लिए। पहले हम Prelude IDS इंस्टॉल करते हैं, फिर Prewikk। फिर OSSEC को Prelude से कनेक्ट करें। इस प्रक्रिया में, आपको दो आधार बनाने होंगे। प्रिविका उपयोगकर्ता सेटिंग्स को स्टोर करने के लिए एक का उपयोग करेगा, आदि। दूसरे में, पूर्व-प्रबंधक प्रबंधक घटनाओं की जानकारी बचाएगा, और प्रिविका इसे वहां से पढ़ेगा।

स्थापना के लिए, मैं CentOS 6.4 स्थापित के साथ एक वर्चुअल मशीन का उपयोग करूंगा। सबसे पहले आपको Prelude-IDS इंस्टॉल करना होगा। डेवलपर्स ने लगभग सभी लोकप्रिय प्लेटफार्मों के लिए पैकेज और स्रोत कोड से इंस्टॉलेशन निर्देश प्रदान किए। यहां आप सोर्स, आरपीएम और एसआरपीएम डाउनलोड कर सकते हैं।

Prelude Manager इंस्टॉल करें

हम CentOS / RHEL के लिए एक भंडार जोड़ते हैं:

[root@ossec ~]# yum install https://www.prelude-ids.org/attachments/download/297/prelude-ids-rhel-2-1.noarch.rpm

अगला, एक सामान्य डेटाबेस के साथ काम करने के लिए आवश्यक प्रबंधक और संकुल स्थापित करें:

 [root@ossec ~]# yum install prelude-manager prelude-manager-db-plugin libpreludedb-mysql

हम MySQL शुरू करते हैं:

 [root@ossec ~]# /etc/init.d/mysqld start [root@ossec ~]# chkconfig mysqld on

अब डेटाबेस और उपयोगकर्ता बनाएँ:

 [root@ossec ~]# mysql -u root -p mysql> CREATE database prelude; Query OK, 1 row affected (0.00 sec) mysql> GRANT ALL PRIVILEGES ON prelude.* TO prelude@'localhost' IDENTIFIED BY 'preludepasswd'; Query OK, 0 rows affected (0.00 sec) [root@ossec ~]# mysql -u root prelude -p < /usr/share/libpreludedb/classic/mysql.sql

प्रस्तावना प्रबंधक कॉन्‍फ़िगर संपादित करें:

 [root@ossec ~]# vim /etc/prelude-manager/prelude-manager.conf

निम्नलिखित पंक्तियों को वहां जोड़ें (या टिप्पणियों को हटा दें):

 [db] type = mysql host = localhost port = 3306 name = prelude user = prelude pass = preludepasswd

अब आपको Prelude Manager के लिए एक प्रोफ़ाइल बनाने की आवश्यकता है:

 [root@ossec ~]# prelude-admin add "prelude-manager" --uid 0 --gid 0 Generating 2048 bits RSA private key... This might take a very long time. [Increasing system activity will speed-up the process]. Generation in progress...

एक बिंदु है। जैसा कि कार्यक्रम चेतावनी देता है, मुख्य पीढ़ी को बहुत लंबा समय लग सकता है।
इस प्रक्रिया को गति देने का एक अवसर है:
 [root@ossec ~]# yum install rng-tools [root@ossec ~]# rngd -r /dev/urandom 

मुख्य पीढ़ी पूरी होने के बाद, आप प्रबंधक को आरंभ कर सकते हैं:

 [root@ossec ~]# /etc/init.d/prelude-manager restart

सुनिश्चित करें कि सर्वर सामान्य रूप से शुरू हुआ:

 Aug 19 05:36:33 ossec prelude-manager: INFO: server started (listening on 127.0.0.1 port 4690). Aug 19 05:36:33 ossec prelude-manager: INFO: Subscribing db[default] to active reporting plugins. Aug 19 05:36:33 ossec prelude-manager: INFO: Generating 1024 bits Diffie-Hellman key for TLS...

Prewikka स्थापित करें

आवश्यक पैकेज स्थापित करें:

 [root@ossec ~]# yum install prewikka libpreludedb-python

Prewikka के लिए एक और आधार बनाएँ:

 [root@ossec ~]# mysql -u root -p Enter password: mysql> CREATE database prewikka; Query OK, 1 row affected (0.00 sec) mysql> GRANT ALL PRIVILEGES ON prewikka.* TO prewikka@'localhost' IDENTIFIED BY 'prewikkapasswd'; Query OK, 0 rows affected (0.01 sec) [root@ossec ~]# mysql -u root prewikka -p < /usr/share/prewikka/database/mysql.sql

अब Prewikka कॉन्फ़िगरेशन फ़ाइल को संपादित करें और सही डेटाबेस निर्दिष्ट करें:

 [root@ossec ~]# vim /etc/prewikka/prewikka.conf

हमारे मामले में, निम्नलिखित पंक्तियों को जोड़ना (या संपादित करना) आवश्यक है:

 [idmef_database] type: mysql host: localhost user: prelude pass: preludepasswd name: prelude [database] type: mysql host: localhost user: prewikka pass: prewikkapasswd name: prewikka

अब अपाचे डालें:

 [root@ossec ~]# yum install httpd

एक वर्चुअल होस्ट बनाएँ:

 [root@ossec ~]# vim /etc/httpd/conf.d/prewikka.conf

 <VirtualHost *:80> ServerName my.server.org Setenv PREWIKKA_CONFIG "/etc/prewikka/prewikka.conf" <Location "/"> AllowOverride None Options ExecCGI <IfModule mod_mime.c> AddHandler cgi-script .cgi </IfModule> Order allow,deny Allow from all </Location> Alias /prewikka/ /usr/share/prewikka/htdocs/ ScriptAlias / /usr/share/prewikka/cgi-bin/prewikka.cgi </VirtualHost>

ऐसा लगता है कि सब कुछ तैयार है, लेकिन यहां कई नुकसान हमें इंतजार कर रहे हैं। सबसे पहले, आपको SELinux को अक्षम या कॉन्फ़िगर करना होगा, दूसरा, स्थानीय फ़ायरवॉल पर 80 पोर्ट खोलें, तीसरा, कॉन्फ़िगरेशन फ़ाइल के साथ फ़ोल्डर पर अनुमतियाँ सेट करें:

 [root@ossec ~]# chmod o+x /etc/prewikka/

हालाँकि, यदि आप अभी Prewikk में लॉग इन करने का प्रयास करते हैं, तो एक त्रुटि आएगी।
लॉग की जाँच करें:

 [root@ossec ~]# tail -f /var/log/httpd/error_log [Mon Aug 19 06:26:53 2013] [error] [client 172.16.86.1] from prewikka import utils, siteconfig, cairoplot [Mon Aug 19 06:26:53 2013] [error] [client 172.16.86.1] File "/usr/lib/python2.6/site-packages/prewikka/cairoplot.py", line 34, in <module> [Mon Aug 19 06:26:53 2013] [error] [client 172.16.86.1] [Mon Aug 19 06:26:53 2013] [error] [client 172.16.86.1] import cairo [Mon Aug 19 06:26:53 2013] [error] [client 172.16.86.1] ImportError [Mon Aug 19 06:26:53 2013] [error] [client 172.16.86.1] : [Mon Aug 19 06:26:53 2013] [error] [client 172.16.86.1] No module named cairo

लापता मॉड्यूल स्थापित करें:

 [root@ossec ~]# yum install cairo

अब आप सर्वर पर जा सकते हैं और उपयोगकर्ता नाम / पासवर्ड व्यवस्थापक / व्यवस्थापक की एक जोड़ी के साथ लॉग इन कर सकते हैं।
prewikka

OSSEC स्थापित करें

OSSEC के नवीनतम संस्करण के साथ अभिलेखागार डाउनलोड करें । उसी पेज पर लिखा है कि आरएचएल / सेंटो के लिए आरपीएम को एटॉमीकॉर्प रिपॉजिटरी से लिया जा सकता है । यह विकल्प हमारे लिए काम नहीं करेगा, क्योंकि उस रिपॉजिटरी में OSSEC बिना सपोर्ट के बनाया गया था, हालांकि, डेस्टिनेशन सर्वर पर एजेंट्स इंस्टॉल करते समय इसका इस्तेमाल किया जा सकता है।

तो, OSSEC के नवीनतम संस्करण को डाउनलोड और अनपैक करें।

 [root@ossec ~]# wget http://www.ossec.net/files/ossec-hids-2.7.tar.gz [root@ossec ~]# tar xvzf ossec-hids-2.7.tar.gz

अब OSSEC संकलित करने के लिए हम libprelude-devel, संकलक और बनाते हैं

 [root@ossec ~]# yum install libprelude-devel gcc make

संकलन विकल्प सेट करें:

 [root@ossec ~]# cd ossec-hids-2.7/src/ [root@ossec src]# make setprelude

हम स्थापना शुरू करते हैं

 [root@ossec src]# ../install.sh

स्थापना स्क्रिप्ट कई प्रश्न पूछेगा - किस भाषा का उपयोग करना है, किस प्रकार की स्थापना, आदि सबसे महत्वपूर्ण बात यह है कि सही प्रकार की स्थापना को निर्दिष्ट करना। हमारे मामले में, सर्वर। इसके अलावा, मैं पहले इस पर मैनुअल पढ़ने और इसे अपने लिए अनुकूलित करने के बिना सक्रिय प्रतिक्रिया समारोह सहित अनुशंसा नहीं करता हूं।

 OSSEC HIDS v2.7 Installation Script - http://www.ossec.net You are about to start the installation process of the OSSEC HIDS. You must have a C compiler pre-installed in your system. If you have any questions or comments, please send an e-mail to dcid@ossec.net (or daniel.cid@gmail.com). - System: Linux ossec 2.6.32-358.el6.x86_64 - User: root - Host: ossec -- Press ENTER to continue or Ctrl-C to abort. -- 1- What kind of installation do you want (server, agent, local, hybrid or help)? server - Server installation chosen. 2- Setting up the installation environment. - Choose where to install the OSSEC HIDS [/var/ossec]: - Installation will be made at /var/ossec . 3- Configuring the OSSEC HIDS. 3.1- Do you want e-mail notification? (y/n) [y]: n --- Email notification disabled. 3.2- Do you want to run the integrity check daemon? (y/n) [y]: - Running syscheck (integrity check daemon). 3.3- Do you want to run the rootkit detection engine? (y/n) [y]: - Running rootcheck (rootkit detection). 3.4- Active response allows you to execute a specific command based on the events received. For example, you can block an IP address or disable access for a specific user. More information at: http://www.ossec.net/en/manual.html#active-response - Do you want to enable active response? (y/n) [y]: n - Active response disabled. 3.5- Do you want to enable remote syslog (port 514 udp)? (y/n) [y]: - Remote syslog enabled. 3.6- Setting the configuration to analyze the following logs: -- /var/log/messages -- /var/log/secure -- /var/log/maillog -- /var/log/httpd/error_log (apache log) -- /var/log/httpd/access_log (apache log) - If you want to monitor any other file, just change the ossec.conf and add a new localfile entry. Any questions about the configuration can be answered by visiting us online at http://www.ossec.net . --- Press ENTER to continue ---

"एंटर" कुंजी के अंतिम प्रेस के बाद, ओएसएसईसी का संकलन और स्थापना निर्देशिका में इसकी प्रतिलिपि शुरू हो जाएगी (डिफ़ॉल्ट रूप से यह / var / ossec /) है।

हम कॉन्फ़िगरेशन फ़ाइल में इंगित करते हैं कि घटनाओं को पूर्व-प्रबंधक को भेजा जाना चाहिए।

 [root@ossec src]# vim /var/ossec/etc/ossec.conf

अनुभाग में, लाइन जोड़ें <prelude_output> Yes </ prelude_output>।
यह कुछ इस तरह दिखना चाहिए:

 <ossec_config> <global> <email_notification>no</email_notification> <prelude_output>yes</prelude_output> </global> <rules> <include>rules_config.xml</include> <include>pam_rules.xml</include> <include>sshd_rules.xml</include> ...

अब OSSEC को प्रस्तावना से कनेक्ट करें। हम एक कंसोल में पंजीकरण सर्वर शुरू करते हैं:

 [root@ossec ~]# prelude-admin registration-server prelude-manager The "p9gnqy98" password will be requested by "prelude-admin register" in order to connect. Please remove the quotes before using it. Generating 1024 bits Diffie-Hellman key for anonymous authentication... Waiting for peers install request on 0.0.0.0:5553... Waiting for peers install request on :::5553...

अन्य में - OSSEC कमांड रजिस्टर करें:

 [root@ossec ~]# prelude-admin register OSSEC "idmef:w" 127.0.0.1 --uid ossec --gid ossec Generating 2048 bits RSA private key... This might take a very long time. [Increasing system activity will speed-up the process]. Generation in progress... X

पिछली बार की तरह, हम कमांड के साथ प्रमुख पीढ़ी को गति दे सकते हैं:

 [root@ossec ~]# rngd -r /dev/urandom

जैसे ही कुंजी निर्माण पूरा हो जाता है, दूसरा कंसोल आपको एक-बार पासवर्ड दर्ज करने के लिए संकेत देगा। इस मामले में, यह "p9gnqy98" है।
अब दोनों डेमों को पुनः आरंभ करें।

 [root@ossec ~]# /etc/init.d/prelude-manager start [root@ossec ~]# /etc/init.d/ossec start

यदि आप अब Prewikk पर जाते हैं, तो आप OSSEC से आने वाले नोटिफिकेशन और अलार्म देख सकते हैं।
यदि आप एजेंट टैब पर जाते हैं, तो एजेंटों की सूची में पूर्व-प्रबंधक और ओएसएसईसी शामिल होना चाहिए।

परिणाम

इसलिए, हमने अपने सर्वर पर Prelude IDS इंस्टॉल किया। हमने उसी सर्वर पर स्थापित MySQL DBMS में इसके अलर्ट के आउटपुट को कॉन्फ़िगर किया है। हमने प्रीविकका वेब इंटरफेस के लिए एक और डेटाबेस भी बनाया है, जो प्रिल्यूड आईडी का हिस्सा है। इस सब के बाद, हमने OSSEC HIDS को विशेष विकल्पों के साथ संकलित किया जो आपको OSSEC ईवेंट्स को न केवल syslog या DBMS को भेजने की अनुमति देते हैं, बल्कि सीधे Prelude को भी भेजते हैं।
अब, जब लॉग में संदिग्ध घटनाएं होती हैं, तो ओएसएसईसी एक अलर्ट उत्पन्न करेगा, इसे /var/ossec/logs/ossec.log फ़ाइल पर लिखें, इसे Prelude IDS पर भेजें। Prelude, बदले में, इसे डेटाबेस में लिखता है, और Prewiika, इसे दर्ज करने पर, यह सुनिश्चित करेगा कि ये सभी घटनाएं एक पठनीय रूप में प्रदर्शित की जाती हैं।

इस लेख में, मैंने कुछ ऐसी चीजों का वर्णन नहीं किया है, जो यदि रुचि रखने वाले पाठकों की हैं, तो एक से अधिक लेख समर्पित किए जा सकते हैं।
उदाहरण के लिए, बिना कंपाइलर के सर्वर पर OSSEC कैसे स्थापित करें, Prelude के लिए डेटाबेस को कैसे कॉन्फ़िगर करें और बनाए रखें, अन्य सर्वर पर OSSEC एजेंटों को कैसे स्थापित और कॉन्फ़िगर करें, OSSEC के लिए घटनाओं को उत्पन्न करने के लिए अपने स्वयं के नियमों को कैसे कॉन्फ़िगर करें।

OSSEC (HIDS) और Prewikka (WebUI) स्थापित करें

Prelude Manager इंस्टॉल करें

Prewikka स्थापित करें

OSSEC स्थापित करें

परिणाम

More articles: