Instalar OSSEC en Ubuntu 14.04

Este artículo es la primera parte del tutorial completo para instalar el servidor/agente OSSEC en un VPS Ubuntu 14.04 . Esta parte cubre la instalación de OSSEC 2.8.3 (la última versión estable cuando se escribió este tutorial), es la instalación de la interfaz de usuario web y muestra cómo habilitar la compatibilidad con MySQL para OSSEC.

OSSEC es un sistema de detección de intrusos basado en host de código abierto. Combina todos los aspectos de HIDS (detección de intrusos basada en host) y Gestión de incidentes de seguridad (SIM)/Gestión de eventos e información de seguridad (SIEM) en una solución sencilla, potente y de código abierto.

Los beneficios clave de OSSEC son:

• Requisitos de cumplimiento
• Multiplataforma
• Alertas configurables y en tiempo real
• Integración con la infraestructura actual
• Gestión centralizada
• Supervisión con agente y sin agente

OSSEC realiza análisis de registros, verificación de integridad de archivos, monitoreo de políticas, detección de rootkits, alertas en tiempo real y respuesta activa. Para comprobar los sistemas operativos y los formatos de registro compatibles con OSSEC, visite su página.

REQUISITOS

Usaremos nuestro plan de hospedaje SSD 1 Linux VPS para este tutorial.

Inicie sesión en su servidor a través de SSH:

# ssh root@server_ip

Antes de comenzar, ingrese el siguiente comando para verificar si tiene la versión correcta de Ubuntu instalada en su máquina:

# lsb_release -a

Debería darte la salida debajo:

Distributor ID: Ubuntu
Description:    Ubuntu 14.04.3 LTS
Release:        14.04
Codename:       trusty

ACTUALIZAR EL SISTEMA

Asegúrese de que su servidor esté completamente actualizado:

# apt-get update && apt-get upgrade

Ahora instale Apache, MySQL, PHP y algunos módulos necesarios con el siguiente comando:

# apt-get install mysql-server libmysqlclient-dev mysql-client apache2 php5 libapache2-mod-php5 php5-mysql php5-curl php5-gd php5-intl php-pear php5-imagick php5-imap php5-mcrypt php5-memcache php5-ming php5-ps php5-pspell php5-recode php5-snmp php5-sqlite php5-tidy php5-xmlrpc php5-xsl

INSTALAR OSSEC

Introduzca el /opt directorio:

# cd /opt

Descargar OSSEC:

# wget https://bintray.com/artifact/download/ossec/ossec-hids/ossec-hids-2.8.3.tar.gz

Descomprima el archivo e ingrese al directorio descomprimido:

# tar -xzf ossec-hids-2.8.3.tar.gz

# cd ossec-hids-2.8.3

Habilite el soporte de la base de datos MySQL:

# cd src

# make setdb

Volver al directorio anterior:

# cd ../

Ahora, inicie el script de instalación de OSSEC y siga las sencillas instrucciones:

# ./install.sh

Debajo está el resultado de todo el procedimiento de instalación y las funciones que habilitamos. Por supuesto, usted elige qué opciones habilitar/deshabilitar, pero le recomendamos que siga el resultado a continuación. Puede presionar Intro si desea elegir la opción predeterminada (que se encuentra entre paréntesis) para cada pregunta formulada.

OSSEC HIDS v2.8.3 Installation Script - http://www.ossec.net

 You are about to start the installation process of the OSSEC HIDS.
 You must have a C compiler pre-installed in your system.
 If you have any questions or comments, please send an e-mail
 to [email protected] (or [email protected]).

  - System: Linux vps 2.6.32-042stab113.11
  - User: root
  - Host: vps.rosehosting.com


  -- Press ENTER to continue or Ctrl-C to abort. --

Presiona enter.

1- What kind of installation do you want (server, agent, local, hybrid or help)? server

  - Server installation chosen.

2- Setting up the installation environment.

 - Choose where to install the OSSEC HIDS [/var/ossec]:

    - Installation will be made at  /var/ossec .

3- Configuring the OSSEC HIDS.

  3.1- Do you want e-mail notification? (y/n) [y]:

   - What's your e-mail address? [email protected]
   - What's your SMTP server ip/host? smtp.example.com

  3.2- Do you want to run the integrity check daemon? (y/n) [y]:

   - Running syscheck (integrity check daemon).

  3.3- Do you want to run the rootkit detection engine? (y/n) [y]:

   - Running rootcheck (rootkit detection).

  3.4- Active response allows you to execute a specific
       command based on the events received. For example,
       you can block an IP address or disable access for
       a specific user.
       More information at:
       http://www.ossec.net/en/manual.html#active-response

   - Do you want to enable active response? (y/n) [y]:

     - Active response enabled.

   - By default, we can enable the host-deny and the
     firewall-drop responses. The first one will add
     a host to the /etc/hosts.deny and the second one
     will block the host on iptables (if linux) or on
     ipfilter (if Solaris, FreeBSD or NetBSD).
   - They can be used to stop SSHD brute force scans,
     portscans and some other forms of attacks. You can
     also add them to block on snort events, for example.

   - Do you want to enable the firewall-drop response? (y/n) [y]:

     - firewall-drop enabled (local) for levels >= 6

   - Default white list for the active response:
      - xxx.xxx.xxx.xx
      - xx.xxx.xx.xxx

   - Do you want to add more IPs to the white list? (y/n)? [n]:

  3.5- Do you want to enable remote syslog (port 514 udp)? (y/n) [y]:

   - Remote syslog enabled.

  3.6- Setting the configuration to analyze the following logs:
    -- /var/log/messages
    -- /var/log/auth.log
    -- /var/log/syslog
    -- /var/log/mail.info
    -- /var/log/dpkg.log
    -- /var/log/apache2/error.log (apache log)
    -- /var/log/apache2/access.log (apache log)

 - If you want to monitor any other file, just change
   the ossec.conf and add a new localfile entry.
   Any questions about the configuration can be answered
   by visiting us online at http://www.ossec.net .


   --- Press ENTER to continue ---

Ahora presione enter para continuar con la instalación, que no debería tomar más de 2 minutos. Después de completar todo, obtendrá:

- System is Debian (Ubuntu or derivative).
 - Init script modified to start OSSEC HIDS during boot.

 - Configuration finished properly.

 - To start OSSEC HIDS:
                /var/ossec/bin/ossec-control start

 - To stop OSSEC HIDS:
                /var/ossec/bin/ossec-control stop

 - The configuration can be viewed or modified at /var/ossec/etc/ossec.conf


    Thanks for using the OSSEC HIDS.
    If you have any question, suggestion or if you find any bug,
    contact us at [email protected] or using our public maillist at
    [email protected]
    ( http://www.ossec.net/main/support/ ).

    More information can be found at http://www.ossec.net

    ---  Press ENTER to finish (maybe more information below). ---

    - In order to connect agent and server, you need to add each agent to the server.
   Run the 'manage_agents' to add or remove them:

   /var/ossec/bin/manage_agents

Iniciar OSSEC:

# /var/ossec/bin/ossec-control start

El siguiente paso es crear un usuario MySQL y una base de datos para OSSEC. Ingrese MySQL como root:

# mysql -u root -p

mysql> create database ossec;
Query OK, 1 row affected (0.00 sec)

mysql> grant all privileges on ossec.* to ossecuser@localhost identified by 'your_password';
Query OK, 0 rows affected (0.00 sec)

mysql> flush privileges;
Query OK, 0 rows affected (0.00 sec)

mysql> exit
Bye

OSSEC proporciona un esquema para la base de datos y se encuentra en el directorio src/os_dbd/. Por lo tanto, impórtelo a su base de datos ossec recién creada:

# mysql -u ossecuser -p ossec < src/os_dbd/mysql.schema

Ingrese la contraseña del usuario ossecusor cuando se le solicite.

Ahora agregue la configuración de la base de datos al archivo de configuración OSSEC:

# nano /var/ossec/etc/ossec.conf

<database_output>
        <hostname>127.0.0.1</hostname>
        <username>ossecuser</username>
        <password>your_password</password>
        <database>ossec</database>
        <type>mysql</type>
    </database_output>

Puede colocar las líneas anteriores en cualquier lugar del bloque . Guardar y salir del archivo. Luego, habilite la base de datos y reinicie OSSEC:

# /var/ossec/bin/ossec-control enable database

# /var/ossec/bin/ossec-control restart

INSTALAR LA IU WEB DE OSSEC

Instale la interfaz de usuario web de OSSEC en la raíz de documentos predeterminada de Apache. Introduzca el directorio:

# cd /var/www/html/

Descargue la última WUI de OSSEC y descomprima el archivo:

# wget https://github.com/ossec/ossec-wui/archive/master.zip

# unzip master.zip

Cambie el nombre del directorio a ossec:

# mv ossec-wui-master/ ossec/

Cree un directorio tmp dentro y establezca la propiedad y los permisos correctos de los archivos:

# mkdir ossec/tmp/

# chown www-data: -R ossec/

# chmod 666 /var/www/html/ossec/tmp

Ahora puede acceder a la interfaz de usuario web abriendo su navegador web favorito y navegando a http://your_server_IP/ossec/

Felicitaciones, ha instalado con éxito el servidor OSSEC y su interfaz de usuario web en un Ubuntu 14.04 VPS. Para obtener más información, consulte la documentación completa de OSSEC.

En la segunda parte de este tutorial, cubriremos la instalación del agente OSSEC en otra máquina e instalaremos el panel web de Analogi, que brinda una interfaz mejor y más informativa en comparación con la interfaz de usuario web estándar.

Por supuesto, no tiene que hacer nada de esto si utiliza uno de nuestros servicios de alojamiento VPS de Linux, en cuyo caso simplemente puede pedirle a nuestros administradores expertos de Linux que lo hagan por usted. Están disponibles las 24 horas del día, los 7 días de la semana y atenderán su solicitud de inmediato.

PD . Si te gustó esta publicación, compártela con tus amigos en las redes sociales usando los botones de la izquierda o simplemente deja una respuesta a continuación. Gracias.