Cómo instalar OSSEC en Ubuntu 14.04

En este tutorial, le mostraremos cómo instalar y configurar OSSEC en Ubuntu 14.04. Para aquellos de ustedes que no lo sabían, OSSEC es una intrusión basada en host de código abierto y gratuita. sistema de detección de intrusos (HIDS). Realiza análisis de registros, verificación de integridad, monitoreo del registro de Windows, detección de rootkits, alertas basadas en el tiempo y respuesta activa. Proporciona detección de intrusiones para la mayoría de los sistemas operativos, incluidos Linux, OpenBSD, FreeBSD, Mac OS X, Solaris y Windows. OSSEC tiene una arquitectura centralizada multiplataforma que permite monitorear y administrar múltiples sistemas fácilmente.

Este artículo asume que tiene al menos conocimientos básicos de Linux, sabe cómo usar el shell y, lo que es más importante, aloja su sitio en su propio VPS. La instalación es bastante simple y asume que se están ejecutando en la cuenta raíz, si no, es posible que deba agregar 'sudo ' a los comandos para obtener privilegios de root. Le mostraré la instalación paso a paso de OSSEC en un servidor Ubuntu 14.04.

Requisitos previos

• Un servidor que ejecuta uno de los siguientes sistemas operativos:Ubuntu 14.04 y cualquier otra distribución basada en Debian como Linux Mint.
• Se recomienda que utilice una instalación de sistema operativo nueva para evitar posibles problemas.
• Acceso SSH al servidor (o simplemente abra Terminal si está en una computadora de escritorio).
• Un non-root sudo user o acceder al root user . Recomendamos actuar como un non-root sudo user , sin embargo, puede dañar su sistema si no tiene cuidado al actuar como root.

Instalar OSSEC en Ubuntu 14.04

Paso 1. Primero, asegúrese de que todos los paquetes de su sistema estén actualizados ejecutando el siguiente apt-get comandos en la terminal.

sudo apt-get update
sudo apt-get upgrade

Paso 2. Instale el servidor LAMP (Linux, Apache, MariaDB, PHP).

Se requiere un servidor LAMP de Ubuntu 14.04. Si no tiene LAMP instalado, puede seguir nuestra guía aquí.

Paso 3. Instalación de OSSEC.

Lo primero que debe hacer es ir a la página de descarga de OSSEC y descargar la última versión estable de OSSEC, al momento de escribir este artículo es la versión 2.8.3 :

wget https://bintray.com/artifact/download/ossec/ossec-hids/ossec-hids-2.8.3.tar.gz

Descomprima el archivo OSSEC en el directorio raíz del documento en su servidor:

tar -xzf ossec-hids-2.8.3.tar.gz
cd ossec-hids-2.8.3
cd src
make setdb

Volver al directorio anterior:

cd ../
./install.sh

Puede elegir qué opciones habilitar/deshabilitar, pero le recomendamos que siga el resultado a continuación. Puede presionar Intro si desea elegir la opción predeterminada ( que se pone entre paréntesis) para cada pregunta formulada:

OSSEC HIDS v2.8.3 Installation Script - http://www.ossec.net

 You are about to start the installation process of the OSSEC HIDS.
 You must have a C compiler pre-installed in your system.
 If you have any questions or comments, please send an e-mail
 to [email protected] (or [email protected]).

  - System: Linux vps 2.6.32-042stab113.11
  - User: root
  - Host: vps.idroot.us

  -- Press ENTER to continue or Ctrl-C to abort. --

Presiona enter.

1- What kind of installation do you want (server, agent, local, hybrid or help)? server

  - Server installation chosen.

2- Setting up the installation environment.

 - Choose where to install the OSSEC HIDS [/var/ossec]:

    - Installation will be made at  /var/ossec .

3- Configuring the OSSEC HIDS.

  3.1- Do you want e-mail notification? (y/n) [y]:

   - What's your e-mail address? [email protected]
   - What's your SMTP server ip/host? smtp.example.com

  3.2- Do you want to run the integrity check daemon? (y/n) [y]:

   - Running syscheck (integrity check daemon).

  3.3- Do you want to run the rootkit detection engine? (y/n) [y]:

   - Running rootcheck (rootkit detection).

  3.4- Active response allows you to execute a specific
       command based on the events received. For example,
       you can block an IP address or disable access for
       a specific user.
       More information at:
       http://www.ossec.net/en/manual.html#active-response

   - Do you want to enable active response? (y/n) [y]:

     - Active response enabled.

   - By default, we can enable the host-deny and the
     firewall-drop responses. The first one will add
     a host to the /etc/hosts.deny and the second one
     will block the host on iptables (if linux) or on
     ipfilter (if Solaris, FreeBSD or NetBSD).
   - They can be used to stop SSHD brute force scans,
     portscans and some other forms of attacks. You can
     also add them to block on snort events, for example.

   - Do you want to enable the firewall-drop response? (y/n) [y]:

     - firewall-drop enabled (local) for levels >= 6

   - Default white list for the active response:
      - xxx.xxx.xxx.xx
      - xx.xxx.xx.xxx

   - Do you want to add more IPs to the white list? (y/n)? [n]:

  3.5- Do you want to enable remote syslog (port 514 udp)? (y/n) [y]:

   - Remote syslog enabled.

  3.6- Setting the configuration to analyze the following logs:
    -- /var/log/messages
    -- /var/log/auth.log
    -- /var/log/syslog
    -- /var/log/mail.info
    -- /var/log/dpkg.log
    -- /var/log/apache2/error.log (apache log)
    -- /var/log/apache2/access.log (apache log)

 - If you want to monitor any other file, just change
   the ossec.conf and add a new localfile entry.
   Any questions about the configuration can be answered
   by visiting us online at http://www.ossec.net .

   --- Press ENTER to continue ---

A continuación, presione Intro para continuar con la instalación, que no debería demorar más de 3 minutos. Después de completar todo, obtendrá:

- System is Debian (Ubuntu or derivative).
 - Init script modified to start OSSEC HIDS during boot.

 - Configuration finished properly.

 - To start OSSEC HIDS:
                /var/ossec/bin/ossec-control start

 - To stop OSSEC HIDS:
                /var/ossec/bin/ossec-control stop

 - The configuration can be viewed or modified at /var/ossec/etc/ossec.conf

    Thanks for using the OSSEC HIDS.
    If you have any question, suggestion or if you find any bug,
    contact us at [email protected] or using our public maillist at
    [email protected]
    ( http://www.ossec.net/main/support/ ).

    More information can be found at http://www.ossec.net

    ---  Press ENTER to finish (maybe more information below). ---

    - In order to connect agent and server, you need to add each agent to the server.
   Run the 'manage_agents' to add or remove them:

   /var/ossec/bin/manage_agents

Iniciar OSSEC:

/var/ossec/bin/ossec-control start

Paso 4. Configuración de MariaDB para OSSEC.

De forma predeterminada, MariaDB no está reforzado. Puede proteger MariaDB utilizando mysql_secure_installation texto. debe leer y debajo de cada paso cuidadosamente que establecerá una contraseña de root, eliminará usuarios anónimos, no permitirá el inicio de sesión de root remoto y eliminará la base de datos de prueba y accederá a MariaDB segura:

mysql_secure_installation

Configúralo así:

- Set root password? [Y/n] y
- Remove anonymous users? [Y/n] y
- Disallow root login remotely? [Y/n] y
- Remove test database and access to it? [Y/n] y
- Reload privilege tables now? [Y/n] y

A continuación, debemos iniciar sesión en la consola de MariaDB y crear una base de datos para OSSEC. Ejecute el siguiente comando:

mysql -u root -p

Esto le pedirá una contraseña, así que ingrese su contraseña raíz de MariaDB y presione Enter. Una vez que haya iniciado sesión en su servidor de base de datos, debe crear una base de datos para Instalación OSSEC:

create database ossec;
grant all privileges on ossec.* to ossecuser@localhost identified by 'your_password';
flush privileges;
exit

De manera predeterminada, OSSEC proporciona un esquema para la base de datos y está ubicado en el directorio src/os_dbd/. Importarlo a su base de datos oOSSECssec recién creada:

mysql -u ossecuser -p ossec < src/os_dbd/mysql.schema

Ahora agregue la configuración de la base de datos al archivo de configuración OSSEC:

nano /var/ossec/etc/ossec.conf

Puede colocar las líneas anteriores en cualquier lugar del bloque :

<database_output>
        <hostname>127.0.0.1</hostname>
        <username>ossecuser</username>
        <password>your_password</password>
        <database>ossec</database>
        <type>mysql</type>
</database_output>

Guarde y salga del archivo. Luego, habilite la base de datos y reinicie OSSEC:

/var/ossec/bin/ossec-control enable database
/var/ossec/bin/ossec-control restart

Paso 5. Instalación de la interfaz de usuario web OSSEC.

Instala la interfaz de usuario web de OSSEC en la raíz de documentos predeterminada de Apache. Ingresa al directorio:

cd /var/www/html/
wget https://github.com/ossec/ossec-wui/archive/master.zip
unzip master.zip
mv ossec-wui-master/ ossec/

Crear un tmp el directorio dentro y establezca la propiedad y los permisos del archivo correcto:

mkdir ossec/tmp/
chown www-data: -R ossec/
chmod 666 /var/www/html/ossec/tmp

Paso 6. Acceso a OSSEC.

OSSEC estará disponible en el puerto HTTP 80 de forma predeterminada. Abra su navegador favorito y vaya a http://yourdomain.com/ossec o http://server-ip/ossec . Si está utilizando un firewall, abra el puerto 80 para habilitar el acceso al panel de control.

¡Felicitaciones! Ha instalado correctamente OSSEC. Gracias por usar este tutorial para instalar OSSEC en el sistema Ubuntu 14.04. Para obtener ayuda adicional o información útil, le recomendamos que consulte el sitio web oficial de OSSEC.