Nainštalujte OSSEC a OSSEC webové používateľské rozhranie na Ubuntu

Install Ossec Ossec Web Ui Ubuntu



Nainštalujte OSSEC a OSSEC webové používateľské rozhranie na Ubuntu


OSSEC je hostiteľský open source systém detekcie prienikov (HIDS), ktorý môže bežať na systémoch Linux, Solaris, FreeBSD, Windows a ďalších. OSSEC funguje v modeli server / klient. Klient OSSEC vykonáva analýzu protokolov, monitorovanie politiky, kontroly integrity súborov, výstrahy v reálnom čase, detekciu rootkitov a aktívnu odpoveď.
OSSEC má ako jednoduché riešenie pre správu webového používateľského rozhrania HIDS (hostiteľská detekcia narušenia), monitorovanie protokolov a SIM / SIEM.

1. Inštalačné prostredie

Virtuálny stroj VMware pre Ubuntu 18.04 (verzia 16.04 by mala tiež fungovať)

Dve, ​​nakonfigurujte závislosti inštalácie

OSSEC vyžaduje webové servery PHP, gcc, libc a Apache. Nainštalujte ich spustením nasledujúceho príkazu:



1. Balík závislostí OSSEC

  1. Nainštalujte si základné zostavenie potrebné na kompiláciu a inštaláciu OSSEC. Ak chcete používať knižnicu pcre2 systému, nainštalujte si balík libpcre2-dev:
    apt-get install build-essential make zlib1g-dev libpcre2-dev
  2. Na podporu databázy je potrebné nainštalovať balíky mysql-server a libmysqld-dev:
    sudo apt-get install mysql-server libmysqld-dev
  3. Nainštalujte si knižnicu libevent:
    apt-get install libevent-dev

2. Nainštalujte Apache a aktualizujte bránu firewall

Webový server Apache je jedným z najpopulárnejších webových serverov na svete. Je dobre zdokumentovaný a široko používaný pre väčšinu histórie webu, čo z neho robí vynikajúcu voľbu pre hosťovanie webových stránok.



Nainštalujte Apache pomocou správcu balíkov Ubuntu apt:



sudo apt update sudo apt install apache2

Upravte bránu firewall tak, aby umožňovala webovú komunikáciu

Ďalej, za predpokladu, že ste postupovali podľa pokynov na úvodné nastavenie servera a povolili bránu firewall UFW, skontrolujte, či brána firewall umožňuje prenos HTTP a HTTPS. Môžete skontrolovať, či má UFW konfiguračný súbor aplikácie pre Apache, ako je uvedené nižšie

sudo ufw app list

obrázok
Ak sa pozriete na konfiguračný súbor Apache Full, malo by sa ukázať, že umožňuje prenos na porty 80 a 443:

sudo ufw app info 'Apache Full'

obrázok
Povoliť pre tento profil prichádzajúce prenosy HTTP a HTTPS:



sudo ufw allow in 'Apache Full'

Prístup k verejnej adrese IP servera vo webovom prehliadači môžete okamžite skontrolovať na mieste a overiť, či všetko prebieha podľa plánu.
obrázok
Uvidíte predvolenú webovú stránku Ubuntu 18.04 Apache, ktorá sa používa na informačné a testovacie účely. Malo by to vyzerať takto: obrázok
Ak vidíte túto stránku, váš webový server je teraz možné správne nainštalovať a získať k nemu prístup prostredníctvom brány firewall.

3. Nainštalujte PHP

Váš webový server je teraz funkčný a v prvom kroku bola nainštalovaná MySQL. PHP je súčasť vášho nastavenia, spracuje kód na zobrazenie dynamického obsahu. Môže spúšťať skripty, pripojiť sa k databáze MySQL a získavať informácie a doručiť spracovaný obsah na váš webový server na zobrazenie.
Opäť nainštalujte PHP pomocou systému apt. Okrem toho sú tentokrát zahrnuté niektoré pomocné balíky, aby kód PHP mohol bežať na serveri Apache a hovoriť s vašou databázou MySQL:

sudo apt install php libapache2-mod-php php-mysql

Vo väčšine prípadov musíte pri požadovaní adresárov upraviť spôsob, akým Apache poskytuje súbory. Ak v súčasnosti používateľ požaduje zo servera adresár, Apache najskôr vyhľadá súbor s názvom index.html. Chceme povedať, aby webový server uprednostňoval súbory PHP ako iné, takže najskôr nechajte server Apache vyhľadať súbor index.php.

Za týmto účelom zadajte nasledujúci príkaz na otvorenie súboru dir.conf v textovom editore s oprávneniami root:

sudo nano /etc/apache2/mods-enabled/dir.conf

obrázok
Presuňte indexový súbor PHP (zvýraznený vyššie) na prvé miesto po špecifikácii DirectoryIndex, ako je uvedené nižšie:
obrázok
Po dokončení súbor uložte a zatvorte stlačením kombinácie klávesov CTRL + X. Potvrďte uloženie zadaním Y a potom stlačením klávesu ENTER potvrďte umiestnenie uloženia súboru.

Potom reštartujte webový server Apache, aby rozpoznal vaše zmeny. Na dokončenie tejto operácie zadajte nasledujúce údaje

sudo systemctl restart apache2

Tri, stiahnuť a nainštalovať OSSEC

1. Stiahnite si najnovšie vydanie:

git clone https://github.com/ossec/ossec-hids

2. Zadajte adresár a spustite súbor install.sh:

sudo ./install.sh

3. Nainštalujte podľa pokynov. Vyberte čínštinu a spustite inštaláciu:
obrázok
4. Vyberte spôsob inštalácie:
Oficiálny dokument hovorí, že existujú 4 spôsoby inštalácie: serverová, klientská, lokálna alebo hybridná (server, agent, lokálna alebo hybridná), ale neexistuje ďalšie vysvetlenie. Našiel som vysvetlenie tohto problému GitHubu: inštalácia servera a lokálna inštalácia sú v podstate rovnaké, a ak sa použije lokálna inštalácia, neskôr budú problémy s inštalačnými balíčkami yum. Vyberte si teda inštaláciu servera.
obrázok
5. Vyberte cestu k inštalácii a v predvolenom nastavení stlačte priamo kláves Enter
6. Rôzne konfigurácie, s výnimkou konfigurácie vlastnej schránky 3-1, stlačte Enter úplne.

3.1- Do you want to receive e-mail alerts? (y/n) [y]: y Please enter your e-mail address? ****@***.com

obrázok
Inštalácia je dokončená:
obrázok
Otvoriť OSSEC:

sudo /var/ossec/bin/ossec-control start

obrázok

Po štvrté, nakonfigurujte OSSEC

Predvolený konfiguračný súbor OSSEC sa nachádza v /var/ossec/etc/ossec.conf. Keď je na server pridaný nový súbor, OSSEC predvolene nebude posielať e-mailové varovania. Môžete to urobiť úpravou súboru ossec.conf:

nano /var/ossec/etc/ossec.conf

Nájdite nasledujúce riadky:

79200

Nahraďte ich:

60 yes

OSSEC predvolene neposiela výstrahy v reálnom čase. Ak chcete povoliť toto nastavenie, hľadajte nasledujúci riadok

/etc,/usr/bin,/usr/sbin /bin,/sbin

A nahraďte ich:

/etc,/usr/bin,/usr/sbin /var/www,/bin,/sbin

Po dokončení súbor uložte a zatvorte. Ďalej musíte upraviť súbor s pravidlami local_rules.xml a pridať pravidlá pre nové súbory pridané do systému.

nano /var/ossec/rules/local_rules.xml

Pridajte nasledujúce pravidlá medzi:

ossec syscheck_new_entry File added to the system. syscheck,

uložiť dokument. Potom reštartujte riadiacu službu OSSEC, aby sa uplatnili všetky zmeny

/var/ossec/bin/ossec-control restart

Päť, nainštalujte si webové používateľské rozhranie OSSEC

OSSEC HIDS má jednoduché webové rozhranie, ktoré je potrebné stiahnuť:

git clone https://github.com/ossec/ossec-wui.git

Presuňte sa do adresára / srv

sudo mv ossec-wui /srv

Zadajte a spustite inštaláciu:

cd /srv/ossec-wui sudo ./setup.sh

Zobrazí sa nasledujúce rozhranie, stačí nastaviť používateľské meno a heslo:

Set the administrator username/password and Web server username: trap: SIGHUP: bad trap Setting up ossec ui... Username: admin New password: Re-type new password: Adding password for user admin Enter your web server user name (e.g. apache, www, nobody, www-data, ...) www-data You must restart your web server after this setup is done. Setup completed successfully.

Vytvorte konfiguračný súbor Apache VirtualHost:

sudo vim /etc/apache2/sites-enabled/ossec-wui.conf

Vložte do súboru nasledujúci obsah:

DocumentRoot /srv/ossec-wui/ ServerName ossec.example.com ServerAlias www.ossec.example.com ServerAdmin root@xxxxx Options +FollowSymlinks AllowOverride All Require all granted ErrorLog /var/log/apache2/moodle-error.log CustomLog /var/log/apache2/moodle-access.log combined

Poznámka: Nahraďte doménu example.com názvom svojej domény, uložte súbor a ukončite prácu.

Povoliť modul prepisovania Apache:

sudo a2enmod rewrite sudo systemctl restart apache2

Zobraziť stav spustenia Apache:

sudo systemctl status apache2.service

obrázok

Šesť, otvor rozhranie

Vo webovom prehliadači otvorte stránku http://your_server_ip.com a vykonajte overenie totožnosti. Po prihlásení môžete vstúpiť na panel správy:

Nasledujú odkazy na tento článok:

Ako nainštalovať OSSEC HIDS na systém Ubuntu 18.04 / Debian 9
Podrobné kroky na inštaláciu OSSEC na Ubuntu 16.04
Ako inštalovať Linux, Apache, MySQL, PHP (LAMP) na Ubuntu 18.04
Ako nainštalovať OSSEC na Ubuntu 16.04