Систем за откривање упада може нас упозорити на ДДОС, грубу силу, експлоатације, цурење података и још много тога, надгледа нашу мрежу у реалном времену и комуницира с нама и са нашим системом како одлучимо.
У ЛинукХинту смо претходно посветили два водича за Снорт, Снорт је један од водећих система за откривање упада на тржишту и вероватно први. Чланци су били Инсталирање и употреба система за откривање упада снорт за заштиту сервера и мрежа и конфигурисање Снорт ИДС-а и креирање правила.
Овај пут ћу показати како да подесим ОССЕЦ. Сервер је срж софтвера, садржи правила, уносе догађаја и смернице док су агенти инсталирани на уређајима за надгледање. Агенти достављају дневнике и обавештавају о инцидентима на сервер. У овом упутству ћемо инсталирати само серверску страну за надгледање уређаја који се користи, сервер већ садржи функције агента на уређају у којем је инсталиран.
Инсталација ОССЕЦ-а:
Прво покрените:
апт инсталл либмариадб2За Дебиан и Убунту пакете ОССЕЦ Сервер можете преузети на хттпс: // упдатес.атомицорп.цом / цханнел / оссец / дебиан / поол / маин / о / оссец-хидс-сервер /
За овај водич ћу преузети тренутну верзију тако што ћу откуцати у конзоли:
вгет хттпс: // ажурирања.атомицорп.цом / цханнел / оссец / дебиан / поол / маин / о /оссец-хидс-сервер / оссец-хидс-сервер_3.3.0.6515стретцх_амд64.деб
Затим покрените:
дпкг -и оссец-хидс-сервер_3.3.0.6515стретцх_амд64.деб
Покрените ОССЕЦ извршавањем:
/ вар / оссец / бин / оссец-цонтрол старт
Наша инсталација подразумевано није омогућила обавештавање поштом за њено уређивање
нано / вар / оссец / етц / оссец.цонфПромена
За
И додајте:
Притисните цтрл + к и И да бисте сачували и изашли и поново покренули ОССЕЦ:
/ вар / оссец / бин / оссец-цонтрол старт
Белешка: ако желите да инсталирате ОССЕЦ-ов агент на други тип уређаја:
вгет хттпс: // ажурирања.атомицорп.цом / цханнел / оссец / дебиан / поол / маин / о /оссец-хидс-агент / оссец-хидс-агент_3.3.0.6515стретцх_амд64.деб
дпкг -и оссец-хидс-агент_3.3.0.6515стретцх_амд64.деб
Поново омогућавамо проверу конфигурационе датотеке за ОССЕЦ
нано / вар / оссец / етц / оссец.цонфПомерите се надоле да бисте дошли до одељка Сисцхецк
Овде можете одредити директоријуме које је проверавао ОССЕЦ и интервале ревизије. Такође можемо дефинисати директоријуме и датотеке које ћемо игнорисати.
Уредите редове да бисте подесили ОССЕЦ да извештава о догађајима у реалном времену
До
/ уср / сбин
Да бисте додали нови директоријум за ОССЕЦ за потврду додајте ред:
Затворите нано притиском на ЦТРЛ + Кс и И и укуцајте:
нано / вар / оссец / рулес / оссец_рулес.кмл
Ова датотека садржи ОССЕЦ-ова правила, ниво правила ће одредити одговор система. На пример, подразумевано ОССЕЦ извештава само о упозорењима нивоа 7, ако постоји неко правило са нивоом нижим од 7, а желите да се информишете када ОССЕЦ идентификује инцидент измените број нивоа за ниво 7 или виши. На пример, ако желите да се информишете када ОССЕЦ-ов Активни одговор деблокира хоста, уредите следеће правило:
До:
Сигурнија алтернатива може бити додавање новог правила на крају датотеке која преписује претходно:
Сада смо инсталирали ОССЕЦ на локалном нивоу, а у следећем упутству ћемо сазнати више о ОССЕЦ правилима и конфигурацији.
Надам се да вам је ово упутство било корисно за почетак рада са ОССЕЦ-ом, наставите да пратите ЛинукХинт.цом за више савета и исправки на Линук-у.