Cómo configurar OSSEC en Ubuntu - Parte 2

En nuestro artículo anterior explicamos la instalación de OSSEC en la plataforma Ubuntu. En esta parte, primero configuraremos tanto el cliente como el servidor de OSSEC para las funciones de detección de rootkits, verificación de integridad y auditoría. Luego integraremos la base de datos con OSSEC y la interfaz web para un mejor análisis de registros y alertas.

Configuración del servidor OSSEC

Después de la instalación exitosa del servidor OSSEC, aparece el siguiente resultado en la terminal. En la figura se muestra que manage_agents es la herramienta/utilidad para la gestión de agentes (conectar agentes OSSEC con servidor o gestor)

Uso de manage_agents herramienta, se pueden realizar las siguientes operaciones que se muestran en la figura a continuación.

1) Agregar un agente
2) Extraer clave para un agente
3) Listar agentes ya agregados
4) Eliminar un agente

Ingrese "A" para agregar un nuevo agente de OSSEC. Se requiere la siguiente información para ingresar a un nuevo agente.

• Nombre del Agente (ubuntu_machine)
• Dirección IP (192.168.1.11)
• ID del agente (001)

Usando la opción Lista (L), podemos enumerar los agentes ya agregados de OSSEC. Se muestra en la siguiente figura

El agente OSSEC no puede comunicarse con el servidor OSSEC hasta que importemos la clave proporcionada por el servidor. Ingrese la opción "E" para la extracción de claves para el agente OSSEC del servidor OSSEC. La opción clave de extracción muestra los agentes disponibles con detalles de ID, IP y nombre de host.

En la siguiente figura se muestra que hemos extraído la Clave para el agente ID 001.

El siguiente paso es importar la clave en el agente OSSEC para que ambos puedan comunicarse entre sí. En la siguiente sección, explicamos el proceso de importación clave para el agente OSSEC.

Configuración de agentes en el cliente OPEP

Al igual que el servidor OSSEC, el cliente OSSEC utiliza los mismos "mange_agents Utilidad para importar la clave generada en el servidor/administrador.

Se menciona en la figura anterior que

• First we have to add agent in the server so that both can communicate with each other.

• Import authentication key on agent provided by the OSSEC server.

Cuando ejecutamos /var/ossec/bin/manage_agents en el cliente OSSEC, aparecerá la opción que presiona "I" para importar la clave desde el servidor. Podemos importar claves de agente simplemente cortando y pegando. En la siguiente figura, copiamos la clave del servidor OSSEC y la pegamos en el cliente OSSEC.

Al presionar "Enter", la información del agente (ID, Nombre y dirección IP) se mostrará en la misma ventana. Si la información es correcta, ingrese "y" para agregar la clave en el extremo del Cliente.

Registros y alertas en el servidor OSSEC

Interfaz de línea de comandos (CLI)

El servidor OSSEC almacena registros y alertas en el directorio /var/ossec/logs/. Aquí podemos ver las alertas generadas por el cliente OSSEC en la máquina ubuntu (192.168.1.11).

En la siguiente figura se muestra que intentos de contraseña SSH incorrectos en la máquina Ubuntu (192.168.1.11).

Interfaz web

En lugar de una vista de línea de comandos de registros y alertas, OSSEC admite interfaces web para una mejor comprensión de los registros/alertas generados por los agentes. La interfaz web OSSEC depende de la base de datos y principalmente utiliza mysql. Por lo tanto, instale los paquetes mysql-server, mysql-client y libmysqlclient-dev. Junto con los paquetes de mysql, también instale los paquetes de php que requiere mysql.

Integración de base de datos e interfaz web

1. Instale el servidor mysql, el cliente y los paquetes de la biblioteca de desarrollo mysql.

De lo contrario, aparecerá el siguiente error cuando se ejecute make setdb comando en código fuente OSSEC.

2. Vuelva a compilar OSSEC en el extremo del servidor y no cambie la configuración anterior del servidor OSSEC.

3. Después de la instalación exitosa de OSSEC con la base de datos mysql, lo siguiente es la creación de una nueva base de datos y otorgarle permiso. Se muestra en la siguiente figura.

root@test-VirtualBox:/var/www# mysql -u root -p
Introducir la contraseña:
mysql> crear base de datos ossec;
mysql> crear base de datos ossec;
mysql> otorgar INSERTAR, SELECCIONAR, ACTUALIZAR, CREAR, ELIMINAR, EJECUTAR en ossec.* a ossec_u;
Consulta OK, 0 filas afectadas (0.27 seg)
mysql> establecer contraseña para ossec_u=PASSWORD('contraseña');
Consulta OK, 0 filas afectadas (0.07 seg)
mysql> privilegios de vaciado;
Consulta OK, 0 filas afectadas (0.06 seg)

4. Importe el esquema de la base de datos (mysql.schema) que se proporciona en la fuente OSSEC.

5. Cambie la configuración relacionada con la base de datos en el archivo ossec.conf (/var/ossec/etc/ossec.conf) que se proporciona en la siguiente instantánea

6. Para aplicar los cambios anteriores, ejecute los siguientes comandos ossec para habilitar la base de datos con OSSEC

7. Después de la integración exitosa de mysql con OSSEC, ahora descargaremos la interfaz web de OSSEC y cambiaremos su permiso. Descárguelo del sitio web de OSSEC, extráigalo y muévalo al directorio /var/www/ del servidor web Apache. (/var/www es el directorio raíz de Apache)

También cambie el permiso del directorio /var/ossec; de lo contrario, la interfaz web producirá "no se puede acceder al directorio ossec " error.

Después de cambiar el permiso de los directorios necesarios, escriba localhost/ossec en el navegador. Mostrará una ventana como la que se muestra a continuación.

Conclusión

En esta parte del artículo, aprendimos la integración de OSSEC con la base de datos mysql para que las alertas/registros se almacenen para un mejor análisis. Las alertas generadas por OSSEC se pueden ver en CLI y en la interfaz web. Por lo tanto, integramos la interfaz web con la instalación del servidor OSSEC para un mejor análisis de las alertas y la gestión de los clientes OSSEC.