OSSEC: Pasos de instalación

lunes, 13 noviembre 2017
OSSEC: Pasos de instalación

OSSEC pode traballar en variedade de sistemas operativos. En particular, o lado servidor adoita ser instalalo, en prol dun mellor soporte, nun servidor tipo GNU Linux, normalmente un servidor que tanto pode ser das variantes Debian/Ubuntu ou ben Red Hat/CEntOS/Fedora.

As instrucións de instalación que detallaremos no artigo están enfocadas a un servidor Debian 9 pero en calquera caso son extensibles ás demais distribucións GNU Linux polo que poden servir de guía para aqueles que se queiran animar á instalación noutro sabor de Linux.

Os pasos detallan as accións necesarias para ter instalado tanto o lado servidor como o lado cliente en dous servidores. Como veredes, son pasos sinxelos polo que non se precisa dun coñecemetno específico do sistema a instalar.

No noso artigo falamos da instalación a través de paquetería de sistema. Para o caso de instalación dende ó código fonte enlazámosvos aquí a documentación oficial do proxecto no que tamén se detalla unha serie de paquetes preinstalados requiridos para esta aproximación como, por exemplo, gnu make, gcc e libc xa que OSSEC está escrito na linguaxe de programación C. No caso de Debian e Ubuntu será suficiente coa instalación do paquete build-essential.

Instalación do servidor:

Incorporamos os repositorios de Debian de OSSEC

wget -q -O – https://www.atomicorp.com/RPM-GPG-KEY.art.txt | apt-key add –
echo “deb https://updates.atomicorp.com/channels/atomic/debian $DISTRIB_CODENAME main” >> /etc/apt/sources.list.d/atomic.list
source /etc/lsb-release
wget https://ossec.github.io/files/OSSEC-ARCHIVE-KEY.asc
gpg –import OSSEC-ARCHIVE-KEY.asc
apt-get update

Facemos a instalación dos paquetes axente e servidor

apt-get install ossec-hids-server
apt-get install ossec-hids-agent

A interfaz gráfica é unha aplicación PHP5, polo que instalaremos tamén os paquetes de Apache e o soporte para PHP:

apt install apache2 php5

Descargaremos a aplicación e a situaremos nun directorio do servidor web:

git clone https://github.com/ossec/ossec-wui.git
mv ossec-wui* /var/www/

Faremos a configuración do sistema e seguiremos os pasos que nos indica o configurador:

cd /var/www/ossec-wui/
./setup.sh

Previamente instalamos os requisitos necesarios para correr a aplicación web pero necesitaremos axustar o servidor virtual do noso Apache para servir esta ferramenta web:

vim /etc/php5/apache2/php.ini
vim /etc/apache2/sites-enabled/ossec.conf

Neste paso o que faremos é crear un VirtualHost de Apache onde estableceremos DocumentRoot /var/www/ossec-wui/Aquí podedes ver exemplos de configuración.

Unha vez creada a configuración de Apache2. Activaremos o novo host virtual e desactivaremos o que trae Apache por defecto:

a2dissite 000-default
a2ensite ossec
/etc/init.d/apache2 restart

Neste momento xa temos instalados todos os compoñentes necesarios. Quédanos logo crear a configuración mínima para arrancar o servizo en modo servidor:

vim /var/ossec/etc/ossec.conf

Aquí configuraremos os valores da sección global:

<global>
<email_notification>yes</email_notification>
<email_to>admin@mancomun.gal</email_to>
<smtp_server>localhost</smtp_server>
<email_from>ossec@mancomun.gal</email_from>
</global>

; e reiniciaremos o servizo.

/etc/init.d/ossec-authd restart
/etc/init.d/ossec restart
/var/ossec/bin/ossec-control restart

Instalación do axente

Para a instalación do axente seguimos estes pasos de modo similar a como fixemos os pasos para o caso do servidor.

apt install apt-transport-https
wget -q -O – https://updates.atomicorp.com/installers/atomic | bash
apt-get update
apt-get install ossec-hids-agent

Agora editamos a configuración do cliente engadindo a dirección do servidor.

vim /var/ossec/etc/ossec.conf
<client>
<server-ip>192.168.10.158</server-ip>
</client>

A comunicación do axente co servidor faise a través dunha canle cifrada a través dunha chave privada entre servidor e axente. No servidor existe o script manage_agents que serve para a xestión destas chaves. Crearemos unha nova  chave para o noso novo axente mediante esta ferramenta:

/var/ossec/bin/manage_agents
****************************************
* OSSEC HIDS v2.9.0 Agent manager. *
* The following options are available: *
****************************************
(A)dd an agent (A).
(E)xtract key for an agent (E).
(L)ist already added agents (L).
(R)emove an agent (R).
(Q)uit.
/var/ossec/bin/list_agents -c

No lado do axente, usaremos a mesma ferramenta para facer a importación da chave xerada:

/var/ossec/bin/manage_agents
****************************************
* OSSEC HIDS v2.9.0 Agent manager. *
* The following options are available: *
****************************************
(I)mport key from the server (I).
(Q)uit.
Choose your action:

Reiniciamos o axente:

/etc/init.d/ossec restart

Verificamos como traballa o axente vixiando o seu rexistro de eventos:

tail -f /var/ossec/logs/ossec.log

E xa temos o axente conectado a noso sistema de detección de intrusos.

Xunta

Xunta de Galicia, Información mantenida y publicada en internet por Xunta de Galicia

Atención a la ciudadanía - Accesibilidad - Aviso legal - Mapa del portal