Diegiame OSSEC į CentOS serverį
Diegiame papildomus paketus:
yum install gcc inotify-tools
Atsisiunčiame Ossec paketą:
wget https://bintray.com/artifact/download/ossec/ossec-hids/ossec-hids-2.8.3.tar.gz
Išpakuojame ir vykdome:
tar xf ossec-hids-2.8.3.tar.gz
cd ossec-hids-2.8.3
Koreguojame: nano active-response/host-deny.sh
Ties TMP_FILE ir = panaikiname tarpus, kaip čia:
# Deleting from hosts.deny elif [ "x${ACTION}" = "xdelete" ]; then lock; TMP_FILE=`mktemp /var/ossec/ossec-hosts.XXXXXXXXXX` if [ "X${TMP_FILE}" = "X" ]; then # Cheap fake tmpfile, but should be harder then no random data TMP_FILE="/var/ossec/ossec-hosts.`cat /dev/urandom | tr -dc 'a-zA-Z0-9' | fold -w 32 | head -1 `" fi ...
Diegiame:
sudo ./install.sh
Konfigūruojame:
nano /var/ossec/etc/ossec.conf
Patikriname global skyriu:
Įsitikinkite kad nurodėte egzistuojamą el.p. email_from adreso eilutėje.
Kitas parametras, kaip dažnai OSSEC vykdys auditą. Pagal nutylėjimą kas 22 valandas. Galite pakeisti OSSEC nustatymą.
Standartiškai OSSEC nepraneša apie naujus failus, bet tai galime pakeisti. Po < frequency > tag`o įterpiame
79200 yes
Dabar pakeičiame kuriuos aplankus OSSEC tikrins:
Pakoreguojame OSSEC kad raportuotu apie realiu laiku pakeitimus:
Issaugome.
Dabar pakoreguojame local_rules.xml iš /var/ossec/rules :
cd /var/ossec/rules
Galime koreguoti OSSEC taisykles tik local_rules.xml faile. Cia galime prideti savo taisykliu. Taisykle Nr. 554 nesiuncia pranesimu el.pastu, pakoreguosime tai. Nesiuncia todel kad level nustatytas 0.
Tai 554 taisykle.
Modifikuojame taip:
Issaugome ir restartuojame OSSEC:
/var/ossec/bin/ossec-control restart