Geekly Articles each Day

OSSEC: рдмрд┐рдЧ рдмреНрд░рджрд░ рдЖрдкрдХреЛ рджреЗрдЦ рд░рд╣рд╛ рд╣реИ

рдЫрд╡рд┐

рд╢рд╛рдпрдж рдореИрдВ рдЧрд▓рдд рдирд╣реАрдВ рд╣реЛрдЧрд╛ рдЕрдЧрд░ рдореИрдВ рдХрд╣рддрд╛ рд╣реВрдВ рдХрд┐ рдХрд┐рд╕реА рднреА рдкреЗрд╢реЗрд╡рд░ рд╕рд┐рд╕реНрдЯрдо рдкреНрд░рд╢рд╛рд╕рдХ рдХреЗ рд▓рд┐рдП рдпрд╣ рдЬрд╛рдирдирд╛ рдорд╣рддреНрд╡рдкреВрд░реНрдг рд╣реИ рдХрд┐ рдЙрд╕рдХреЗ рд╕рд░реНрд╡рд░ рдХреЗ рд╕рд╛рде рдХреНрдпрд╛ рдФрд░ рдХрдм рд╣реЛ рд░рд╣рд╛ рд╣реИред рдпрд╣ рдореБрджреНрджрд╛ рд╡рд┐рд╢реЗрд╖ рд░реВрдк рд╕реЗ рд╕реВрдЪрдирд╛ рд╕реБрд░рдХреНрд╖рд╛ рдХреЗ рдХреНрд╖реЗрддреНрд░ рдореЗрдВ рддреАрд╡реНрд░ рд╣реИред
рдЗрд╕ рдкреЛрд╕реНрдЯ рдореЗрдВ, рдореИрдВ рдЖрдкрдХреЛ OSSEC рдирд╛рдордХ рд╣реЛрд╕реНрдЯ-рдЖрдзрд╛рд░рд┐рдд IDS рдХреА рддреИрдирд╛рддреА рдХреЗ рд▓рд┐рдП, рд╕рд╣рдХрд░реНрдорд┐рдпреЛрдВ рд╕реЗ рдорд┐рд▓рд╡рд╛рдирд╛ рдЪрд╛рд╣рддрд╛ рд╣реВрдВред рдХреГрдкрдпрд╛, рдмрд┐рд▓реНрд▓реА рдХреЗ рдиреАрдЪреЗ ...


рд╕рд┐рджреНрдзрд╛рдВрдд


рдШреБрд╕рдкреИрда рдХрд╛ рдкрддрд╛ рд▓рдЧрд╛рдиреЗ рдХреА рдкреНрд░рдгрд╛рд▓реА (рдЖрдИрдбреАрдПрд╕) - рд╕реЙрдлреНрдЯрд╡реЗрдпрд░ (рд╣рдорд╛рд░реЗ рдорд╛рдорд▓реЗ рдореЗрдВ) рдпрд╛ рдХрд┐рд╕реА рдХрдВрдкреНрдпреВрдЯрд░ рд╕рд┐рд╕реНрдЯрдо рдпрд╛ рдиреЗрдЯрд╡рд░реНрдХ рдкрд░ рдЕрдирдзрд┐рдХреГрдд рдкрд╣реБрдВрдЪ (рдШреБрд╕рдкреИрда рдпрд╛ рдиреЗрдЯрд╡рд░реНрдХ рд╣рдорд▓реЗ) рдХрд╛ рдкрддрд╛ рд▓рдЧрд╛рдиреЗ рдХреЗ рд▓рд┐рдП рдбрд┐рдЬрд╝рд╛рдЗрди рдХрд┐рдпрд╛ рдЧрдпрд╛ рд╣рд╛рд░реНрдбрд╡реЗрдпрд░ред

рдЖрдИрдбреА рдХреЗ рд╕рд╛рде рдкреНрд░рд╛рдкреНрдд рд▓рдХреНрд╖реНрдп:


рдЖрдИрдбреАрдПрд╕ рд╕рд┐рд╕реНрдЯрдо рдХреЛ рдиреЗрдЯрд╡рд░реНрдХ-рдЖрдзрд╛рд░рд┐рдд рдФрд░ рд╣реЛрд╕реНрдЯ-рдЖрдзрд╛рд░рд┐рдд рдореЗрдВ рд╡рд┐рднрд╛рдЬрд┐рдд рдХрд┐рдпрд╛ рдЧрдпрд╛ рд╣реИред

рдиреЗрдЯрд╡рд░реНрдХ-рдЖрдзрд╛рд░рд┐рдд IDS рдиреЗрдЯрд╡рд░реНрдХ рдкреИрдХреЗрдЯ рдХреЛ рдХреИрдкреНрдЪрд░ рдФрд░ рд╡рд┐рд╢реНрд▓реЗрд╖рдг рдХрд░рдХреЗ рд╣рдорд▓реЛрдВ рдХрд╛ рдкрддрд╛ рд▓рдЧрд╛рддрд╛ рд╣реИред рдиреЗрдЯрд╡рд░реНрдХ рд╕реЗрдЧрдореЗрдВрдЯ рдХреЛ рд╕реБрдирдХрд░, NIDS рдиреЗрдЯрд╡рд░реНрдХ рд╕реЗрдЧрдореЗрдВрдЯ рд╕реЗ рдЬреБрдбрд╝реЗ рдХрдИ рд╣реЛрд╕реНрдЯреНрд╕ рд╕реЗ рдиреЗрдЯрд╡рд░реНрдХ рдЯреНрд░реИрдлрд╝рд┐рдХ рджреЗрдЦ рд╕рдХрддрд╛ рд╣реИ, рдФрд░ рдЗрд╕ рдкреНрд░рдХрд╛рд░ рдЗрди рд╣реЛрд╕реНрдЯреНрд╕ рдХреА рд╕реБрд░рдХреНрд╖рд╛ рдХрд░ рд╕рдХрддрд╛ рд╣реИред

рдПрдХ рдХрдВрдкреНрдпреВрдЯрд░ рдХреЗ рдЕрдВрджрд░ рдПрдХрддреНрд░рд┐рдд рдЬрд╛рдирдХрд╛рд░реА рдХреЗ рд╕рд╛рде рд╣реЛрд╕реНрдЯ-рдЖрдзрд╛рд░рд┐рдд рдЖрдИрдбреАрдПрд╕ рд╕реМрджрд╛ред рдЗрд╕ рддрд░рд╣ рдХреЗ рдПрдХ рдЕрдиреБрдХреВрд▓ рд╕реНрдерд╛рди HIDS рдХреЛ рдмрдбрд╝реА рд╡рд┐рд╢реНрд╡рд╕рдиреАрдпрддрд╛ рдФрд░ рд╕рдЯреАрдХрддрд╛ рдХреЗ рд╕рд╛рде рдЧрддрд┐рд╡рд┐рдзрд┐ рдХрд╛ рд╡рд┐рд╢реНрд▓реЗрд╖рдг рдХрд░рдиреЗ рдХреА рдЕрдиреБрдорддрд┐ рджреЗрддрд╛ рд╣реИ, рдХреЗрд╡рд▓ рдЙрди рдкреНрд░рдХреНрд░рд┐рдпрд╛рдУрдВ рдФрд░ рдЙрдкрдпреЛрдЧрдХрд░реНрддрд╛рдУрдВ рдХреА рдкрд╣рдЪрд╛рди рдХрд░рддрд╛ рд╣реИ рдЬреЛ рдУрдПрд╕ рдореЗрдВ рдХрд┐рд╕реА рд╡рд┐рд╢реЗрд╖ рд╣рдорд▓реЗ рдХреЗ рд▓рд┐рдП рдкреНрд░рд╛рд╕рдВрдЧрд┐рдХ рд╣реИрдВред рдПрдирдЖрдИрдбреА рдЖрдорддреМрд░ рдкрд░ рджреЛ рдкреНрд░рдХрд╛рд░ рдХреЗ рд╕реВрдЪрдирд╛ рд╕реНрд░реЛрддреЛрдВ рдХрд╛ рдЙрдкрдпреЛрдЧ рдХрд░рддрд╛ рд╣реИ: рдУрдПрд╕ рдСрдбрд┐рдЯ рдкрд░рд┐рдгрд╛рдо рдФрд░ рд╕рд┐рд╕реНрдЯрдо рд▓реЙрдЧред

OSSEC HIDS рд╣реИ, рд▓реЗрдХрд┐рди рд╕рд░реНрд╡рд░ <-> рдПрдЬреЗрдВрдЯреЛрдВ рдХреА рд╡рд╛рд╕реНрддреБрдХрд▓рд╛ рдкрд░ рдХрд╛рдо рдХрд░рдиреЗ рдХреА рдХреНрд╖рдорддрд╛ рд╣реИред рд╣рдорд╛рд░реЗ рдорд╛рдорд▓реЗ рдореЗрдВ, рд╣рдо рдЗрд╕ рддрд░рд╣ рдХреА рдПрдХ рдпреЛрдЬрдирд╛ рдкрд░ рд╡рд┐рдЪрд╛рд░ рдХрд░реЗрдВрдЧреЗред

рд╕реНрд░реЛрдд рдбреЗрдЯрд╛


рдорд╛рди рд▓реАрдЬрд┐рдП рд╣рдорд╛рд░реЗ рдкрд╛рд╕ рдПрдХ рдирд┐рд╢реНрдЪрд┐рдд рдХреЙрд░реНрдкреЛрд░реЗрдЯ рдиреЗрдЯрд╡рд░реНрдХ рд╣реИ рдЬрд┐рд╕рдореЗрдВ рд╕рд░реНрд╡рд░ рдХреЗ рд╕рд╛рде рдПрдХ рдбреАрдПрдордЬреЗрдб рдЬрд╝реЛрди рд╣реИ, рдЬрд┐рд╕реЗ рд╣рдо рдмрд╛рд░реАрдХреА рд╕реЗ рдирд┐рдЧрд░рд╛рдиреА рдХрд░рдирд╛ рдЪрд╛рд╣рддреЗ рд╣реИрдВред
рд╕рднреА рд╕рд░реНрд╡рд░ CentOS 6.x рдХреЗ рдЕрдВрддрд░реНрдЧрдд рдХрд╛рдо рдХрд░рддреЗ рд╣реИрдВ (рд╡рд╛рд╕реНрддрд╡ рдореЗрдВ, рдХрд┐рд╕реА рднреА рд╡рд┐рддрд░рдг рдХреЗ рд▓рд┐рдП рд╕реНрдерд╛рдкрдирд╛ рд╕рдВрднрд╡ рд╣реИ, рдЬрд┐рд╕рдореЗрдВ рдЕрдиреНрдп OS рднреА рд╢рд╛рдорд┐рд▓ рд╣реИрдВ, рдЬреИрд╕реЗ рдХрд┐ Windows)
DMZ рдореЗрдВ рдХреЛрдИ рд╕рд░реНрд╡рд░ рдирд╣реАрдВ рд╣реИ, рдЬрд┐рд╕ рдкрд░ рд╣рдо OSSEC рдПрдЬреЗрдВрдЯреЛрдВ рд╕реЗ рд╕рднреА рдЬрд╛рдирдХрд╛рд░реА рдПрдХрддреНрд░ рдХрд░реЗрдВрдЧреЗред

рд╕реНрдерд╛рдкрдирд╛


рд╕рдмрд╕реЗ рдкрд╣рд▓реЗ, OSSEC рд╕рд░реНрд╡рд░ рдХреЛ рд╕реНрд╡рдпрдВ рд╕реНрдерд╛рдкрд┐рдд рдХрд░реЗрдВред

wget -q -O - https://www.atomicorp.com/installers/atomic |sh && yum install ossec-hids ossec-hids-server

рд╣рдо рдкреБрд╖реНрдЯрд┐рдХрд░рдг рдореЗрдВ рд╕рднреА рд╕рд╡рд╛рд▓реЛрдВ рдХрд╛ рдЬрд╡рд╛рдм рджреЗрддреЗ рд╣реИрдВ, рдпрдо рдХреЗ рдкреВрд░рд╛ рд╣реЛрдиреЗ рдХреЗ рдмрд╛рдж, рд╣рдореЗрдВ рдУрдПрд╕рдПрд╕рдПрд╕рдИрд╕реА рдХреА рдПрдХ рдХрд╛рд░реНрдпрд╢реАрд▓ рд╕реНрдерд╛рдкрдирд╛ рдорд┐рд▓рддреА рд╣реИред
рд╕рднреА OSSEC рдлрд╛рдЗрд▓реЗрдВ / var / ossec рдореЗрдВ рд╕рдВрдЧреНрд░рд╣рд┐рдд рд╣реИрдВред рдлрд╝рд╛рдЗрд▓ рдЦреЛрд▓рдирд╛ /var /ossec/ossec.conf рдФрд░ рдЗрд╕реЗ рдирд┐рдореНрди рд░реВрдк рдореЗрдВ рд▓рд╛рдПрдБ:

 <ossec_config> <global> <email_notification>yes</email_notification> <email_to>root@domain.local</email_to> <smtp_server>smtp.domain.local</smtp_server> <email_from>osssec@domain.local</email_from> <email_maxperhour>200</email_maxperhour> </global> <rules> <include>rules_config.xml</include> <include>pam_rules.xml</include> <include>sshd_rules.xml</include> <include>telnetd_rules.xml</include> <include>syslog_rules.xml</include> <include>arpwatch_rules.xml</include> <include>symantec-av_rules.xml</include> <include>symantec-ws_rules.xml</include> <include>pix_rules.xml</include> <include>named_rules.xml</include> <include>smbd_rules.xml</include> <include>vsftpd_rules.xml</include> <include>pure-ftpd_rules.xml</include> <include>proftpd_rules.xml</include> <include>ms_ftpd_rules.xml</include> <include>ftpd_rules.xml</include> <include>hordeimp_rules.xml</include> <include>roundcube_rules.xml</include> <include>wordpress_rules.xml</include> <include>cimserver_rules.xml</include> <include>vpopmail_rules.xml</include> <include>vmpop3d_rules.xml</include> <include>courier_rules.xml</include> <include>web_rules.xml</include> <include>web_appsec_rules.xml</include> <include>apache_rules.xml</include> <include>nginx_rules.xml</include> <include>php_rules.xml</include> <include>mysql_rules.xml</include> <include>postgresql_rules.xml</include> <include>ids_rules.xml</include> <include>squid_rules.xml</include> <include>firewall_rules.xml</include> <include>cisco-ios_rules.xml</include> <include>netscreenfw_rules.xml</include> <include>sonicwall_rules.xml</include> <include>postfix_rules.xml</include> <include>sendmail_rules.xml</include> <include>imapd_rules.xml</include> <include>mailscanner_rules.xml</include> <include>dovecot_rules.xml</include> <include>ms-exchange_rules.xml</include> <include>racoon_rules.xml</include> <include>vpn_concentrator_rules.xml</include> <include>spamd_rules.xml</include> <include>msauth_rules.xml</include> <include>mcafee_av_rules.xml</include> <include>trend-osce_rules.xml</include> <include>ms-se_rules.xml</include> <!-- <include>policy_rules.xml</include> --> <include>zeus_rules.xml</include> <include>solaris_bsm_rules.xml</include> <include>vmware_rules.xml</include> <include>ms_dhcp_rules.xml</include> <include>asterisk_rules.xml</include> <include>ossec_rules.xml</include> <include>attack_rules.xml</include> <include>openbsd_rules.xml</include> <include>clam_av_rules.xml</include> <include>bro-ids_rules.xml</include> <include>dropbear_rules.xml</include> <include>local_rules.xml</include> </rules> <syscheck> <!-- Frequency that syscheck is executed - default to every 22 hours --> <frequency>79200</frequency> <!-- Directories to check (perform all possible verifications) --> <directories check_all="yes">/etc,/usr/bin,/usr/sbin</directories> <directories check_all="yes">/bin,/sbin</directories> <!-- Files/directories to ignore --> <ignore>/etc/mtab</ignore> <ignore>/etc/mnttab</ignore> <ignore>/etc/hosts.deny</ignore> <ignore>/etc/mail/statistics</ignore> <ignore>/etc/random-seed</ignore> <ignore>/etc/adjtime</ignore> <ignore>/etc/httpd/logs</ignore> <ignore>/etc/utmpx</ignore> <ignore>/etc/wtmpx</ignore> <ignore>/etc/cups/certs</ignore> <ignore>/etc/dumpdates</ignore> <ignore>/etc/svc/volatile</ignore> </syscheck> <rootcheck> <rootkit_files>/var/ossec//etc/shared/rootkit_files.txt</rootkit_files> <rootkit_trojans>/var/ossec//etc/shared/rootkit_trojans.txt</rootkit_trojans> <system_audit>/var/ossec//etc/shared/system_audit_rcl.txt</system_audit> <system_audit>/var/ossec//etc/shared/cis_rhel_linux_rcl.txt</system_audit> <system_audit>/var/ossec//etc/shared/cis_rhel5_linux_rcl.txt</system_audit> </rootcheck> <global> <white_list>127.0.0.1</white_list> <white_list>^localhost.localdomain$</white_list> </global> <remote> <connection>syslog</connection> </remote> <remote> <connection>secure</connection> </remote> <alerts> <log_alert_level>1</log_alert_level> <email_alert_level>7</email_alert_level> </alerts> <command> <name>host-deny</name> <executable>host-deny.sh</executable> <expect>srcip</expect> <timeout_allowed>yes</timeout_allowed> </command> <command> <name>firewall-drop</name> <executable>firewall-drop.sh</executable> <expect>srcip</expect> <timeout_allowed>yes</timeout_allowed> </command> <command> <name>disable-account</name> <executable>disable-account.sh</executable> <expect>user</expect> <timeout_allowed>yes</timeout_allowed> </command> <command> <name>restart-ossec</name> <executable>restart-ossec.sh</executable> <expect></expect> </command> <command> <name>route-null</name> <executable>route-null.sh</executable> <expect>srcip</expect> <timeout_allowed>yes</timeout_allowed> </command> <!-- Active Response Config --> <active-response> <!-- This response is going to execute the host-deny - command for every event that fires a rule with - level (severity) >= 6. - The IP is going to be blocked for 600 seconds. --> <command>host-deny</command> <location>local</location> <level>6</level> <timeout>600</timeout> </active-response> <active-response> <!-- Firewall Drop response. Block the IP for - 600 seconds on the firewall (iptables, - ipfilter, etc). --> <command>firewall-drop</command> <location>local</location> <level>6</level> <timeout>600</timeout> </active-response> <localfile> <log_format>syslog</log_format> <location>/var/log/messages</location> </localfile> <localfile> <log_format>syslog</log_format> <location>/var/log/secure</location> </localfile> <localfile> <log_format>syslog</log_format> <location>/var/log/xferlog</location> </localfile> <localfile> <log_format>syslog</log_format> <location>/var/log/maillog</location> </localfile> <localfile> <log_format>apache</log_format> <location>/var/log/httpd/error_log</location> </localfile> <localfile> <log_format>apache</log_format> <location>/var/log/httpd/access_log</location> </localfile> </ossec_config>

рджреЗрдЦрддреЗ рд╣реИрдВ рдХрд┐ рдХреНрдпрд╛ рд╣реИред рд╢реБрд░реБрдЖрдд рдореЗрдВ, рд╣рдо рдореЗрд▓ рдХреЛ рдЕрд▓рд░реНрдЯ рднреЗрдЬрддреЗ рд╣реИрдВ, рдЬрд┐рд╕рдореЗрдВ рд╕рд░реНрд╡рд░ рдХрд╛ рдкрддрд╛, рдореЗрд▓рд┐рдВрдЧ рдХрд╛ рдкрддрд╛ рдФрд░ рдкреНрд░рддрд┐ рдШрдВрдЯреЗ рдЕрдзрд┐рдХрддрдо рд╕рдВрднрд╡ рдкрддреНрд░ рджрд┐рдЦрд╛рдИ рджреЗрддреЗ рд╣реИрдВред рдбрд┐рдлрд╝реЙрд▓реНрдЯ рд░реВрдк рд╕реЗ, OSSEC рд╕рдореВрд╣реЛрдВ рдХреА рдШрдЯрдирд╛рдУрдВ рддрд╛рдХрд┐ рдЖрдк рдкрддреНрд░реЛрдВ рдХреА рдПрдХ рдзрд╛рд░рд╛ рдХреЗ рд╕рд╛рде рдмрд╛рдврд╝ рди рдХрд░реЗрдВред
рдЗрд╕рдХреЗ рдмрд╛рдж рдирд┐рдпрдо рдмреНрд▓реЙрдХ рдЖрддрд╛ рд╣реИ, рдЬреЛ рдмрддрд╛рддрд╛ рд╣реИ рдХрд┐ OSSEC рдХреНрдпрд╛ рдФрд░ рдХреИрд╕реЗ рдкреНрд░рддрд┐рдХреНрд░рд┐рдпрд╛ рджреЗрдЧрд╛ - рдЖрдк рдЕрдкрдиреА рдЧрддрд┐ рд╕реЗ рд╕рдм рдХреБрдЫ рдЫреЛрдбрд╝ рд╕рдХрддреЗ рд╣реИрдВ, рдореЗрд░реА рдЯрд┐рдкреНрдкрдгрд┐рдпреЛрдВ рдХреЗ рдЕрдиреБрд╕рд╛рд░, рдкреНрд░рднрд╛рд╡рд┐рдд рдирд╣реАрдВ рд╣реИред Syscheck рдЕрдиреБрднрд╛рдЧ рддрдерд╛рдХрдерд┐рдд рдЕрдЦрдВрдбрддрд╛ рдЬрд╛рдВрдЪ рдХреЗ рд▓рд┐рдП рд╕реЗрдЯрд┐рдВрдЧреНрд╕ рд╣реИред рдЗрд╕рдХрд╛ рдЕрд░реНрде рдпрд╣ рд╣реИ рдХрд┐ IDS рдирд┐рд░реНрджрд┐рд╖реНрдЯ рдирд┐рд░реНрджреЗрд╢рд┐рдХрд╛рдУрдВ рдореЗрдВ рдкреНрд░рддреНрдпреЗрдХ рдлрд╝рд╛рдЗрд▓ рдХреЗ рд╣реИрд╢ рдХреА рдЧрдгрдирд╛ рдХрд░рддрд╛ рд╣реИ рдФрд░ рд╕рдордп-рд╕рдордп рдкрд░ рдЙрдирдХреА рдЬрд╛рдБрдЪ рдХрд░рддрд╛ рд╣реИред рдпрд╣рд╛рдВ рд╣рдордиреЗ рдпрд╣ рдирд┐рд░реНрдзрд╛рд░рд┐рдд рдХрд┐рдпрд╛ рдХрд┐ рд╣рдо рдХреМрди рд╕реА рдирд┐рд░реНрджреЗрд╢рд┐рдХрд╛рдУрдВ рдХреЛ рдирд┐рдпрдВрддреНрд░рд┐рдд рдХрд░реЗрдВрдЧреЗ рдФрд░ рдХрд┐рддрдиреЗ рд╕рдордп рдХреЗ рдмрд╛рдж рдЪреЗрдХ рдХрд╛ рдкреНрд░рджрд░реНрд╢рди рдХрд░реЗрдВрдЧреЗред рдХрдорд╛рдВрдб рдЕрдиреБрднрд╛рдЧ рдЙрди рд▓рд┐рдкрд┐рдпреЛрдВ рдХрд╛ рд╡рд░реНрдгрди рдХрд░рддрд╛ рд╣реИ рдЬреЛ рдЖрдИрдбреАрдПрд╕ рдХреБрдЫ рд╢рд░реНрддреЛрдВ рдХреЗ рд╣реЛрдиреЗ рдкрд░ рдЙрдкрдпреЛрдЧ рдХрд░ рд╕рдХрддреЗ рд╣реИрдВред рд╕рдХреНрд░рд┐рдп-рдкреНрд░рддрд┐рдХреНрд░рд┐рдпрд╛ рдЕрдиреБрднрд╛рдЧ рдХреЗрд╡рд▓ рдЗрди рдЖрджреЗрд╢реЛрдВ рдХрд╛ рдЙрдкрдпреЛрдЧ рдХрд░рддрд╛ рд╣реИред рдЙрджрд╛рд╣рд░рдг рдХреЗ рд▓рд┐рдП, рдЬрдм рдПрдХ рдирд┐рд╢реНрдЪрд┐рдд рдирд┐рдпрдо рдЪрд╛рд▓реВ рд╣реЛ рдЬрд╛рддрд╛ рд╣реИ, рддреЛ рдлрд╝рд╛рдпрд░рд╡реЙрд▓-рдмреНрд▓реЙрдХ 600 рд╕реЗрдХрдВрдб рдХреЗ рд▓рд┐рдП iptables рдореЗрдВ src ip рд▓рдЧрд╛рдПрдЧрд╛ред рдпрд╣ рдЬрд╛рдирд╡рд░ рдмрд▓ рд╕реЗ рдЙрдкрдпреЛрдЧ рдХрд░рдиреЗ рдХреЗ рд▓рд┐рдП рд╕реБрд╡рд┐рдзрд╛рдЬрдирдХ рд╣реИред рдмрд╣реБрдд рдЕрдВрдд рдореЗрдВ, рд╣рдорд╛рд░реЗ рдкрд╛рд╕ рд╡рд╛рд╕реНрддрд╡рд┐рдХ рд▓реЙрдЧ рдлрд╛рдЗрд▓реЗрдВ рд╣реИрдВ рдЬрд┐рдирдХрд╛ рд╡рд┐рд╢реНрд▓реЗрд╖рдг рдХрд░рдирд╛ рдФрд░ рдирд┐рдпрдореЛрдВ рдХреЗ рд╕рд╛рде рддреБрд▓рдирд╛ рдХрд░рдирд╛ рдЖрд╡рд╢реНрдпрдХ рд╣реИред
рдЗрд╕ рдкрд░, OSSEC рдХреЗ рд╕рд░реНрд╡рд░ рднрд╛рдЧ рдХрд╛ рдореЛрдЯрд╛ рд╡рд┐рдиреНрдпрд╛рд╕ рд╕рдорд╛рдкреНрдд рд╣реЛ рдЧрдпрд╛ рд╣реИ рдФрд░ рд╣рдо рдЗрд╕реЗ рдЪрд▓рд╛ рд╕рдХрддреЗ рд╣реИрдВ:

 service ossec-hids start

рдпрджрд┐ рд╕рдлрд▓ рд╣реЛрддрд╛ рд╣реИ, рддреЛ рдПрдХ рдкрддреНрд░ рдореЗрд▓рд┐рдВрдЧ рдкрддреЗ рдкрд░ рднреЗрдЬрд╛ рдЬрд╛рдПрдЧрд╛ рдЬрд┐рд╕реЗ рдЖрдкрдиреЗ рд▓реЙрдиреНрдЪ рдХреЗ рдмрд╛рд░реЗ рдореЗрдВ рдПрдХ рд╕рдВрджреЗрд╢ рдХреЗ рд╕рд╛рде рд╕рдВрдХреЗрдд рджрд┐рдпрд╛ рдерд╛:

 OSSEC HIDS Notification. 2013 Sep 06 13:10:35 Received From: server.domain.local->ossec-monitord Rule: 502 fired (level 3) -> "Ossec server started." Portion of the log(s): ossec: Ossec started. --END OF NOTIFICATION

рдпрджрд┐ рдкреНрд░рдХреНрд╖реЗрдкрдг рд╡рд┐рдлрд▓ рд╣реЛ рдЧрдпрд╛, рддреЛ рддреНрд░реБрдЯрд┐рдпреЛрдВ рдХреЗ рд▓рд┐рдП рдХреЙрдиреНрдлрд╝рд┐рдЧрд░реЗрд╢рди рдХреЛ рдлрд┐рд░ рд╕реЗ рдЬрд╛рдВрдЪреЗрдВред рдЗрд╕рдореЗрдВ рдорджрдж рдлрд╝рд╛рдЗрд▓ /var/ossec/logs/ossec.log рд╣реЛрдЧреА ред

рд╡реЗрдм рдЖрдзрд╛рд░рд┐рдд рд╕реНрдерд╛рдкрдирд╛

рд╡реЗрдм рдЗрдВрдЯрд░рдлрд╝реЗрд╕ рдХрд╛рдлреА рдЖрджрд┐рдо рд╣реИ, рд▓реЗрдХрд┐рди рд╕реБрд╡рд┐рдзрд╛ рдХреЗ рд▓рд┐рдП, рдЖрдк рдЗрдВрд╕реНрдЯреЙрд▓ рдХрд░ рд╕рдХрддреЗ рд╣реИрдВ

 wget тАУc http://www.ossec.net/files/ossec-wui-0.3.tar.gz tar xzvf ossec-wui-0.3.tar.gz mv ossec-wui-0.3 /var/www/html/ossec cd /var/www/html/ossec/ ./setup.sh

рдпрд╣рд╛рдВ рдЖрдкрдХреЛ рдХреНрд░рдорд╢рдГ рдПрдХ рдЙрдкрдпреЛрдЧрдХрд░реНрддрд╛ рдирд╛рдо рдФрд░ рдкрд╛рд╕рд╡рд░реНрдб рджрд░реНрдЬ рдХрд░рдирд╛ рд╣реЛрдЧрд╛ редhtaccess рдлрд╝рд╛рдЗрд▓ рдмрдирд╛рдИ рдЬрд╛рдПрдЧреАред рдЕрдм рдЕрдкрд╛рдЪреЗ рд╕рдореВрд╣ рдореЗрдВ ossec рдЙрдкрдпреЛрдЧрдХрд░реНрддрд╛ рдЬреЛрдбрд╝реЗрдВ

 nano /etc/group ossec:x:494:ossec,ossecr,ossecm,ossece,apache service httpd restart

рд╣рдо рдПрдХ рдмреНрд░рд╛рдЙрдЬрд╝рд░ рдХреЗ рд╕рд╛рде рд╣рдорд╛рд░реЗ рдкреГрд╖реНрда рдкрд░ рдЬрд╛рдПрдВрдЧреЗ, рдлрд┐рд░ tmp рдлрд╝реЛрд▓реНрдбрд░ рдЕрдзрд┐рдХрд╛рд░ рджреЗрдВрдЧреЗ:

 chmod 770 /var/www/html/ossec/tmp chgrp apache /var/www/html/ossec/tmp

рдЕрдм рд╣рдо OSSEC рдореЗрдВ рд▓реЙрдЧ рдЗрди рдХреА рдЧрдИ рдШрдЯрдирд╛рдУрдВ рдХреЛ рджреЗрдЦ рд╕рдХрддреЗ рд╣реИрдВ рдФрд░ рдПрдХ рд╕рд░рд▓ рдЗрдВрдЯрд░рдлрд╝реЗрд╕ рдХрд╛ рдЙрдкрдпреЛрдЧ рдХрд░ рд╕рдХрддреЗ рд╣реИрдВред

рдПрдЬреЗрдВрдЯ рд╕реНрдерд╛рдкрдирд╛

DMZ рдореЗрдВ рд╕рд░реНрд╡рд░ рдкрд░ рдПрдЬреЗрдВрдЯ рд╕реНрдерд╛рдкрд┐рдд рдХрд░реЗрдВ

 wget -q -O - https://www.atomicorp.com/installers/atomic |sh && yum install ossec-hids ossec-hids-client

рдлрд╝рд╛рдЗрд▓ /var/ossec/ossec.conf рд╕рдВрдкрд╛рджрд┐рдд рдХрд░реЗрдВ рдФрд░ рдЗрд╕реЗ рдирд┐рдореНрди рд░реВрдк рдореЗрдВ рд▓рд╛рдПрдБ:

 <ossec_config> <client> <server-ip><b>server.domain.local</b></server-ip> </client> <syscheck> <!-- Frequency that syscheck is executed -- default every 2 hours --> <frequency>7200</frequency> <!-- Directories to check (perform all possible verifications) --> <directories check_all="yes">/etc,/usr/bin,/usr/sbin</directories> <directories check_all="yes">/bin,/sbin</directories> <!-- Files/directories to ignore --> <ignore>/etc/mtab</ignore> <ignore>/etc/mnttab</ignore> <ignore>/etc/hosts.deny</ignore> <ignore>/etc/mail/statistics</ignore> <ignore>/etc/random-seed</ignore> <ignore>/etc/adjtime</ignore> <ignore>/etc/httpd/logs</ignore> <ignore>/etc/utmpx</ignore> <ignore>/etc/wtmpx</ignore> <ignore>/etc/cups/certs</ignore> </syscheck> <rootcheck> <rootkit_files>/var/ossec/etc/shared/rootkit_files.txt</rootkit_files> <rootkit_trojans>/var/ossec/etc/shared/rootkit_trojans.txt</rootkit_trojans> </rootcheck> <localfile> <log_format>syslog</log_format> <location>/var/log/messages</location> </localfile> <localfile> <log_format>syslog</log_format> <location>/var/log/secure</location> </localfile> <localfile> <log_format>syslog</log_format> <location>/var/log/maillog</location> </localfile> <localfile> <log_format>apache</log_format> <location>/var/log/httpd/error_log</location> </localfile> <localfile> <log_format>apache</log_format> <location>/var/log/httpd/access_log</location> </localfile> <localfile> <log_format>syslog</log_format> <location>/var/log/proftpd/error.log</location> </localfile> </ossec_config>

рдЬреИрд╕рд╛ рдХрд┐ рдЖрдк рджреЗрдЦ рд╕рдХрддреЗ рд╣реИрдВ, рдпрд╣ рдХреЙрдиреНрдлрд╝рд┐рдЧрд░ рдПрдХ рдлрд╕рд▓реА рд╕рд░реНрд╡рд░ рдХреЗ рд╕рдорд╛рди рд╣реИред рдпрд╣рд╛рдВ рдЖрдкрдХреЛ рдЬреЛ рдореБрдЦреНрдп рдмрд╛рдд рдирд┐рд░реНрджрд┐рд╖реНрдЯ рдХрд░рдиреЗ рдХреА рдЖрд╡рд╢реНрдпрдХрддрд╛ рд╣реИ рд╡рд╣ рдУрдПрд╕рдПрд╕рдИрд╕реА рд╕рд░реНрд╡рд░ рдФрд░ рд▓реЙрдЧ рдлрд╛рдЗрд▓реЛрдВ рдХрд╛ рд╡рд╛рд╕реНрддрд╡рд┐рдХ рдкрддрд╛ рд╣реИред рдореИрдВрдиреЗ рдЙрджрд╛рд╣рд░рдг рдХреЗ рд▓рд┐рдП proftpd рд▓реЙрдЧ рдлрд╝рд╛рдЗрд▓ рдХреЛ рдЬреЛрдбрд╝рд╛ред
UDP / 1514 рдкреЛрд░реНрдЯ рдкрд░ рдХреНрд▓рд╛рдЗрдВрдЯ рдФрд░ рд╕рд░реНрд╡рд░ рдХреЗ рдмреАрдЪ рд╕рдВрдЪрд╛рд░ рд╣реЛрддрд╛ рд╣реИ, рдЗрд╕реЗ рдЦреЛрд▓рдирд╛ рди рднреВрд▓реЗрдВ!

рд╣рдореЗрдВ рдЗрдВрд╕реНрдЯреЙрд▓реЗрд╢рди рдФрд░ рдХреЙрдиреНрдлрд╝рд┐рдЧрд░реЗрд╢рди рдХреЗ рд╕рд╛рде рдХрд┐рдпрд╛ рдЬрд╛рддрд╛ рд╣реИ, рдЕрдм рд╣рдореЗрдВ рд╕рд░реНрд╡рд░ рдХреЛ рдПрдЬреЗрдВрдЯ рд╕реЗ рдХрдиреЗрдХреНрдЯ рдХрд░рдиреЗ рдХреА рдЖрд╡рд╢реНрдпрдХрддрд╛ рд╣реИред рдРрд╕рд╛ рдХрд░рдиреЗ рдХреЗ рд▓рд┐рдП, рд╕рд░реНрд╡рд░ рдкрд░ рд╡рд┐рд╢реЗрд╖ рдЙрдкрдпреЛрдЧрд┐рддрд╛ / var / ossec / bin / manage_agents рдЪрд▓рд╛рдПрдВ

 **************************************** * OSSEC HIDS v2.7 Agent manager. * * The following options are available: * **************************************** (A)dd an agent (A). (E)xtract key for an agent (E). (L)ist already added agents (L). (R)emove an agent (R). (Q)uit. Choose your action: A,E,L,R or Q: a - Adding a new agent (use '\q' to return to the main menu). Please provide the following: * A name for the new agent: ftp-server * The IP Address of the new agent: 192.168.0.2 * An ID for the new agent[001]: Agent information: ID:001 Name:ftp-server IP Address:192.168.0.2 Confirm adding it?(y/n): y Agent added. **************************************** * OSSEC HIDS v2.7 Agent manager. * * The following options are available: * **************************************** (A)dd an agent (A). (E)xtract key for an agent (E). (L)ist already added agents (L). (R)emove an agent (R). (Q)uit. Choose your action: A,E,L,R or Q: e Available agents: ID: 001, Name: ftp-server, IP: 192.168.0.2 Provide the ID of the agent to extract the key (or '\q' to quit): 001 Agent key information for '001' is: MDA3IGZ0cC1zZXJ1ZXIgMTkyLjE2OC4wLjIgOTQyODg5ODg2NDI5MGNiYTkzYTU1N2I5Yzg5OWTwNTJhNzQ2ZDdlYmNkNzM3NGYyZWQyZGQyZmFlNjdjMjZmOA== ** Press ENTER to return to the main menu. **************************************** * OSSEC HIDS v2.7 Agent manager. * * The following options are available: * **************************************** (A)dd an agent (A). (E)xtract key for an agent (E). (L)ist already added agents (L). (R)emove an agent (R). (Q)uit. Choose your action: A,E,L,R or Q: q ** You must restart OSSEC for your changes to take effect. manage_agents: Exiting ..


рдЬреИрд╕рд╛ рдХрд┐ рдЖрдк рджреЗрдЦ рд╕рдХрддреЗ рд╣реИрдВ, рд╕рдм рдХреБрдЫ рд╕рд░рд▓ рд╣реИред рдкрд░рд┐рдгрд╛рдо BASE64 рд╕реНрдЯреНрд░рд┐рдВрдЧ рд╣реЛрдЧрд╛, рдЬрд┐рд╕реЗ рдЖрдкрдХреЛ рдПрдЬреЗрдВрдЯ рдХреЛ рдХреЙрдкреА рдФрд░ рдкреЗрд╕реНрдЯ рдХрд░рдирд╛ рд╣реЛрдЧрд╛ред рд╕рд░реНрд╡рд░ рдХреЛ рдкреБрдирд░рд╛рд░рдВрдн рдХрд░рдиреЗ рдХреЗ рд▓рд┐рдП рдордд рднреВрд▓рдирд╛:

 service ossec-hid restart

рдЕрдм рдПрдЬреЗрдВрдЯ рдкрд░ рдХрдорд╛рдВрдб / var / ossec / bin / manage_client рдЪрд▓рд╛рдПрдВ :

 **************************************** * OSSEC HIDS v2.7 Agent manager. * * The following options are available: * **************************************** (I)mport key from the server (I). (Q)uit. Choose your action: I or Q: i * Provide the Key generated by the server. * The best approach is to cut and paste it. *** OBS: Do not include spaces or new lines. Paste it here (or '\q' to quit): MDA3IGZ0cC1zZXJ1ZXIgMTkyLjE2OC4wLjIgOTQyODg5ODg2NDI5MGNiYTkzYTU1N2I5Yzg5OWTwNTJhNzQ2ZDdlYmNkNzM3NGYyZWQyZGQyZmFlNjdjMjZmOA== ** Press ENTER to return to the main menu. **************************************** * OSSEC HIDS v2.7 Agent manager. * * The following options are available: * **************************************** (I)mport key from the server (I). (Q)uit. Choose your action: I or Q: q manage_agents: Exiting ..

рдПрдЬреЗрдВрдЯ рдХреЛ рдкреБрдирд░рд╛рд░рдВрдн рдХрд░реЗрдВ:

 service ossec-hid restart

рд╣рдо рд╕рд░реНрд╡рд░ рдХрдВрд╕реЛрд▓ рдкрд░ рдЬрд╛рддреЗ рд╣реИрдВ рдФрд░ рд╕рддреНрдпрд╛рдкрд┐рдд рдХрд░рддреЗ рд╣реИрдВ рдХрд┐ рдПрдЬреЗрдВрдЯ рдЬреБрдбрд╝рд╛ рд╣реБрдЖ рд╣реИ:

 /var/ossec/bin/list_agents -a ftp-server-192.168.0.2 is available.


рдЗрд╕ рдкрд░ рд╕реЗрдЯрд┐рдВрдЧ рдХреЛ рдкреВрд░реНрдг рдорд╛рдирд╛ рдЬрд╛ рд╕рдХрддрд╛ рд╣реИред рдЖрдЧреЗ рдХреНрдпрд╛ рдХрд░рдирд╛ рд╣реИ? OSSEC рдПрдХ рдмрд╣реБрдд рд╣реА рд▓рдЪреАрд▓рд╛ рдФрд░ рд╢рдХреНрддрд┐рд╢рд╛рд▓реА рдЖрдИрдбреАрдПрд╕ рд╣реИред рдЖрдк рдЕрдкрдиреЗ рд╕реНрд╡рдпрдВ рдХреЗ рдирд┐рдпрдо рд▓рд┐рдЦ рд╕рдХрддреЗ рд╣реИрдВ - рдЙрдирдХрд╛ рдкреНрд░рд╛рд░реВрдк рдмрд╣реБрдд рд╕рд░рд▓ рд╣реИред рдЖрдк рд╕рд░реНрд╡рд░ рд╕реЗ рдПрдЬреЗрдВрдЯреЛрдВ рдХрд╛ рдкреНрд░рдмрдВрдзрди рдХрд░ рд╕рдХрддреЗ рд╣реИрдВ, рдЙрдиреНрд╣реЗрдВ рдЙрд╕реА рдЬрдЧрд╣ рд╕реЗ рдПрдХ рдХреЙрдиреНрдлрд╝рд┐рдЧрд░реЗрд╢рди рдкреНрд░рджрд╛рди рдХрд░ рд╕рдХрддреЗ рд╣реИрдВ, рдЖрдИрдбреАрдПрд╕ рдХреЛ рджреВрд╕рд░реЗ рдЖрдИрдбреАрдПрд╕ рдХреЗ рд╕рд╛рде рдЬреЛрдбрд╝ рд╕рдХрддреЗ рд╣реИрдВ (рдЙрджрд╛рд╣рд░рдг рдХреЗ рд▓рд┐рдП, рдирд┐рдбреНрд╕ рд╕реНрдиреЙрд░реНрдЯ рдХреЗ рд╕рд╛рде) рдФрд░ рдмрд╣реБрдд рдХреБрдЫред
рдпрджрд┐ рдЖрдкрдиреЗ рд╕рдм рдХреБрдЫ рд╕рд╣реА рдХрд┐рдпрд╛ рд╣реИ, рддреЛ рдЕрдм рдЖрдк рдлрд╝рд╛рдЗрд▓ рд╕реНрддрд░ рдкрд░ рд╣реЛрдиреЗ рд╡рд╛рд▓реЗ рд╕рднреА рдкрд░рд┐рд╡рд░реНрддрдиреЛрдВ рдФрд░ рд╕рдВрднрд╛рд╡рд┐рдд рд╣рдорд▓реЛрдВ рдХреЛ рдирд┐рдпрдВрддреНрд░рд┐рдд рдХрд░ рд╕рдХрддреЗ рд╣реИрдВред

рд╕рдВрджрд░реНрдн


Source: https://habr.com/ru/post/In192800/

More articles:


All Articles