Comenzando con OSSEC
Un sistema de detección de intrusos puede advertirnos contra DDoS, fuerza bruta, exploits, fuga de datos y más, monitorea nuestra red en tiempo real e interactúa con nosotros y con nuestro sistema a medida que decidimos.
En Linuxhint, previamente dedicamos a Snort dos tutoriales, Snort es uno de los principales sistemas de detección de intrusiones en el mercado y probablemente el primero. Los artículos se instalaron y utilizaron un sistema de detección de intrusos Snort para proteger a los servidores y las redes y configurar IDS de Snort y crear reglas.
Esta vez mostraré cómo configurar OSSEC. El servidor es el núcleo del software, contiene las reglas, entradas de eventos y políticas mientras los agentes están instalados en los dispositivos para monitorear. Los agentes entregan registros e informan sobre incidentes al servidor. En este tutorial solo instalaremos el lado del servidor para monitorear el dispositivo en uso, el servidor ya contiene las funciones del agente al dispositivo en el que está instalado.
Instalación de OSSEC:
En primer lugar, corre:
APT INSTALA LIBMARIADB2
Para los paquetes de Debian y Ubuntu, puede descargar el servidor OSSEC en https: // actualizaciones.atomicorp.com/canales/ossec/Debian/Pool/main/o/ossec-hids-server/
Para este tutorial descargaré la versión actual escribiendo en la consola:
wget https: // actualizaciones.atomicorp.com/canales/ossec/Debian/Pool/Main/O/
OSSEC-HIDS-SERVER/OSSEC-HIDS-SERVER_3.3.0.6515Stretch_amd64.debutante
Entonces corre:
DPKG -I OSSEC-HIDS-SERVER_3.3.0.6515Stretch_amd64.debutante
Iniciar OSSEC ejecutando:
/var/ossec/bin/oSsec-Control Start
Por defecto, nuestra instalación no habilita la notificación de correo, para editarlo
nano/var/ossec/etc/ossec.confusión
CambiarNo
ParaSí
Y añadir:SU DIRECCIÓN SERVIDOR SMTP ossecm@localhost
Prensa CTRL+X y Y Para guardar y salir y comenzar a OSSEC nuevamente:
/var/ossec/bin/oSsec-Control Start
Nota: Si desea instalar el agente de OSSEC en un tipo de dispositivo diferente:
wget https: // actualizaciones.atomicorp.com/canales/ossec/Debian/Pool/Main/O/
ossec-hids-agent/ossec-hids-agent_3.3.0.6515Stretch_amd64.debutante
dpkg -i ossec-hids-agent_3.3.0.6515Stretch_amd64.debutante
Nuevamente, verifiquemos el archivo de configuración para OSSEC
nano/var/ossec/etc/ossec.confusión
Desplácese hacia abajo para llegar a la sección Syscheck
Aquí puede determinar los directorios verificados por OSSEC y los intervalos de revisión. También podemos definir directorios y archivos para ser ignorados.
Para establecer OSSEC para informar eventos en tiempo real, edite las líneas
/etc,/usr/bin,/usr/sbin /bin,/sbin
A/etc,/usr/bin,
/usr/sbin/bin,/sbin
Para agregar un nuevo directorio para OSSEC para verificar agregar una línea:
/Dir1,/Dir2
Cerrar nano presionando CTRL+X y Y y tipo:
nano/var/ossec/rules/ossec_rules.xml
Este archivo contiene las reglas de OSSEC, el nivel de regla determinará la respuesta del sistema. Por ejemplo, por defecto, OSSEC solo informa sobre las advertencias de nivel 7, si hay alguna regla con un nivel inferior a 7 y desea informarse cuando OSSEC identifica el incidente editar el número de nivel para 7 o más. Por ejemplo, si desea informarse cuando un host se desbloquea por la respuesta activa de OSSEC, edite la siguiente regla:
600 firewall.mierda borrar Anfitrión desbloqueado por Firewall-Drop.SH Respuesta activa Active_Response,
A:600 firewall.mierda borrar Anfitrión desbloqueado por Firewall-Drop.SH Respuesta activa Active_Response,
Una alternativa más segura puede ser agregar una nueva regla al final del archivo que reescribe la anterior:
600 firewall.mierda borrar Anfitrión desbloqueado por Firewall-Drop.SH Respuesta activa
Ahora tenemos OSSEC instalado a nivel local, en un siguiente tutorial aprenderemos más sobre las reglas y la configuración de OSSEC.
Espero que hayas encontrado este tutorial útil para comenzar con OSSEC, sigue siguiendo a Linuxhint.com para más consejos y actualizaciones sobre Linux.