OSSEC pode traballar en variedade de sistemas operativos. En particular, o lado servidor adoita ser instalalo, en prol dun mellor soporte, nun servidor tipo GNU Linux, normalmente un servidor que tanto pode ser das variantes Debian/Ubuntu ou ben Red Hat/CEntOS/Fedora.
As instrucións de instalación que detallaremos no artigo están enfocadas a un servidor Debian 9 pero en calquera caso son extensibles ás demais distribucións GNU Linux polo que poden servir de guía para aqueles que se queiran animar á instalación noutro sabor de Linux.
Os pasos detallan as accións necesarias para ter instalado tanto o lado servidor como o lado cliente en dous servidores. Como veredes, son pasos sinxelos polo que non se precisa dun coñecemetno específico do sistema a instalar.
No noso artigo falamos da instalación a través de paquetería de sistema. Para o caso de instalación dende ó código fonte enlazámosvos aquí a documentación oficial do proxecto no que tamén se detalla unha serie de paquetes preinstalados requiridos para esta aproximación como, por exemplo, gnu make, gcc e libc xa que OSSEC está escrito na linguaxe de programación C. No caso de Debian e Ubuntu será suficiente coa instalación do paquete build-essential.
Instalación do servidor:
Incorporamos os repositorios de Debian de OSSEC
wget -q -O – https://www.atomicorp.com/RPM-GPG-KEY.art.txt | apt-key add –
echo “deb https://updates.atomicorp.com/channels/atomic/debian $DISTRIB_CODENAME main” >> /etc/apt/sources.list.d/atomic.list
source /etc/lsb-release
wget https://ossec.github.io/files/OSSEC-ARCHIVE-KEY.asc
gpg –import OSSEC-ARCHIVE-KEY.asc
apt-get update
Facemos a instalación dos paquetes axente e servidor
apt-get install ossec-hids-server
apt-get install ossec-hids-agent
A interfaz gráfica é unha aplicación PHP5, polo que instalaremos tamén os paquetes de Apache e o soporte para PHP:
apt install apache2 php5
Descargaremos a aplicación e a situaremos nun directorio do servidor web:
git clone https://github.com/ossec/ossec-wui.git
mv ossec-wui* /var/www/
Faremos a configuración do sistema e seguiremos os pasos que nos indica o configurador:
cd /var/www/ossec-wui/
./setup.sh
Previamente instalamos os requisitos necesarios para correr a aplicación web pero necesitaremos axustar o servidor virtual do noso Apache para servir esta ferramenta web:
vim /etc/php5/apache2/php.ini
vim /etc/apache2/sites-enabled/ossec.conf
Neste paso o que faremos é crear un VirtualHost de Apache onde estableceremos DocumentRoot /var/www/ossec-wui/. Aquí podedes ver exemplos de configuración.
Unha vez creada a configuración de Apache2. Activaremos o novo host virtual e desactivaremos o que trae Apache por defecto:
a2dissite 000-default
a2ensite ossec
/etc/init.d/apache2 restart
Neste momento xa temos instalados todos os compoñentes necesarios. Quédanos logo crear a configuración mínima para arrancar o servizo en modo servidor:
vim /var/ossec/etc/ossec.conf
Aquí configuraremos os valores da sección global:
<global>
<email_notification>yes</email_notification>
<email_to>admin@mancomun.gal</email_to>
<smtp_server>localhost</smtp_server>
<email_from>ossec@mancomun.gal</email_from>
</global>
; e reiniciaremos o servizo.
/etc/init.d/ossec-authd restart
/etc/init.d/ossec restart
/var/ossec/bin/ossec-control restart
Instalación do axente
Para a instalación do axente seguimos estes pasos de modo similar a como fixemos os pasos para o caso do servidor.
apt install apt-transport-https
wget -q -O – https://updates.atomicorp.com/installers/atomic | bash
apt-get update
apt-get install ossec-hids-agent
Agora editamos a configuración do cliente engadindo a dirección do servidor.
vim /var/ossec/etc/ossec.conf
<client>
<server-ip>192.168.10.158</server-ip>
</client>
A comunicación do axente co servidor faise a través dunha canle cifrada a través dunha chave privada entre servidor e axente. No servidor existe o script manage_agents que serve para a xestión destas chaves. Crearemos unha nova chave para o noso novo axente mediante esta ferramenta:
/var/ossec/bin/manage_agents
****************************************
* OSSEC HIDS v2.9.0 Agent manager. *
* The following options are available: *
****************************************
(A)dd an agent (A).
(E)xtract key for an agent (E).
(L)ist already added agents (L).
(R)emove an agent (R).
(Q)uit.
/var/ossec/bin/list_agents -c
No lado do axente, usaremos a mesma ferramenta para facer a importación da chave xerada:
/var/ossec/bin/manage_agents
****************************************
* OSSEC HIDS v2.9.0 Agent manager. *
* The following options are available: *
****************************************
(I)mport key from the server (I).
(Q)uit.
Choose your action:
Reiniciamos o axente:
/etc/init.d/ossec restart
Verificamos como traballa o axente vixiando o seu rexistro de eventos:
tail -f /var/ossec/logs/ossec.log
E xa temos o axente conectado a noso sistema de detección de intrusos.
