Diegiame OSSEC į CentOS serverį

Diegiame papildomus paketus:
yum install gcc inotify-tools

Atsisiunčiame Ossec paketą:
wget https://bintray.com/artifact/download/ossec/ossec-hids/ossec-hids-2.8.3.tar.gz

Išpakuojame ir vykdome:
tar xf ossec-hids-2.8.3.tar.gz
cd ossec-hids-2.8.3

Koreguojame: nano active-response/host-deny.sh
Ties TMP_FILE ir = panaikiname tarpus, kaip čia:

# Deleting from hosts.deny
elif [ "x${ACTION}" = "xdelete" ]; then
   lock;
   TMP_FILE=`mktemp /var/ossec/ossec-hosts.XXXXXXXXXX`
   if [ "X${TMP_FILE}" = "X" ]; then
     # Cheap fake tmpfile, but should be harder then no random data
     TMP_FILE="/var/ossec/ossec-hosts.`cat /dev/urandom | tr -dc 'a-zA-Z0-9' | fold -w 32 | head -1 `"
   fi
   ...

Diegiame:
sudo ./install.sh

Konfigūruojame:
nano /var/ossec/etc/ossec.conf

Patikriname global skyriu:

yes
[email protected]
mail.jusudomenas.lt.
[email protected]

Įsitikinkite kad nurodėte egzistuojamą el.p. email_from adreso eilutėje.

Kitas parametras, kaip dažnai OSSEC vykdys auditą. Pagal nutylėjimą kas 22 valandas. Galite pakeisti OSSEC nustatymą.

79200

Standartiškai OSSEC nepraneša apie naujus failus, bet tai galime pakeisti. Po < frequency > tag`o įterpiame :

   
   79200

   yes 

Dabar pakeičiame kuriuos aplankus OSSEC tikrins:

/etc,/usr/bin,/usr/sbin
/bin,/sbin

Pakoreguojame OSSEC kad raportuotu apie realiu laiku pakeitimus:

/etc,/usr/bin,/usr/sbin
/bin,/sbin

Issaugome.

Dabar pakoreguojame local_rules.xml iš /var/ossec/rules :

cd /var/ossec/rules

Galime koreguoti OSSEC taisykles tik local_rules.xml faile. Cia galime prideti savo taisykliu. Taisykle Nr. 554 nesiuncia pranesimu el.pastu, pakoreguosime tai. Nesiuncia todel kad level nustatytas 0.

Tai 554 taisykle.

ossec
syscheck_new_entry
File added to the system.
syscheck,

Modifikuojame taip:

ossec
syscheck_new_entry
File added to the system.
syscheck,

Issaugome ir restartuojame OSSEC:
/var/ossec/bin/ossec-control restart