Dalam panduan ini, kita akan mempelajari cara menginstal dan mengkonfigurasi agen OSSEC di Ubuntu 18.04/CentOS 7. OSSEC adalah Intrusion Detection System (HIDS) open source yang berjalan di berbagai platform OS seperti Linux, Solaris, AIX, HP- UX, BSD, Windows, Mac dan VMware ESX.
Ini memonitor semua aspek aktivitas sistem seperti;
- pemantauan integritas file
- Pemantauan registri Windows
- pemantauan log
- pemeriksaan akar
- pemantauan proses
Itu juga dapat dikonfigurasi untuk memberi tahu tentang aktivitas yang mencurigakan melalui log peringatan atau peringatan email. OSSEC dapat diintegrasikan dengan solusi SIEM seperti AlienVault. Karena itu Anda dapat melihat artikel kami sebelumnya tentang menyiapkan agen HID AlienVault di sistem Linux dengan mengikuti tautan di bawah ini;
Cara Menginstal dan Mengonfigurasi Agen HID AlienVault di Host Linux.
Prasyarat
Untuk menginstal agen OSSEC pada Ubuntu 18.04/CentOS 7 atau sistem Linux/Unix lainnya, pastikan Anda memiliki kompiler C serta utilitas make yang diinstal;
- Pengelola paket khusus distribusi seperti YUM, APT, PKG, DNF. Sebagai contoh;
yum install gcc make << On RHEL derivatives (CentOS 7)
apt-get install gcc make unzip wget << Debian Derivatives (Ubuntu 18.04)
- Download versi RPM dan instal secara lokal. Ini mungkin gagal jika dependensi paket tidak terpenuhi. Sebagai contoh
Pada turunan RHEL (CentOS 7)
wget http://mirror.centos.org/centos/7/os/x86_64/Packages/gcc-4.8.5-36.el7.x86_64.rpm wget http://mirror.centos.org/centos/7/os/x86_64/Packages/make-3.82-24.el7.x86_64.rpm
Setelah downloadan selesai, instal secara lokal dengan menjalankan perintah;
yum localinstall gcc-4.8.5-36.el7.x86_64.rpm yum localinstall make-3.82-24.el7.x86_64.rpm
Pada Derivatif Debian (Ubuntu 18.04)
wget http://archive.ubuntu.com/ubuntu/pool/main/g/gcc-defaults/gcc_7.3.0-3ubuntu2_amd64.deb wget http://archive.ubuntu.com/ubuntu/pool/main/m/make-dfsg/make_4.1-9.1ubuntu1_amd64.deb
Setelah downloadan selesai, instal dengan menjalankan perintah;
apt install gcc_7.3.0-3ubuntu2_amd64.deb apt install make_4.1-9.1ubuntu1_amd64.deb
Anda dapat mengdownload kompiler dan membuat utilitas untuk distribusi Unix/Linux tertentu dari halaman Pencarian Paket.
Download OSSEC Agen Tarball
Untuk mengdownload agen OSSEC untuk Linux, navigasikan ke halaman downloadan OSSEC. Anda cukup menjalankan perintah di bawah ini untuk mengdownloadnya ke folder /tmp.;
wget https://github.com/ossec/ossec-hids/archive/3.1.0.tar.gz -P /tmp
Instal Agen OSSEC di Ubuntu 18.04/CentOS 7
Arahkan ke folder /tmp dan ekstrak tarball agen
cd /tmp tar xzf 3.1.0.tar.gz
Arahkan ke direktori sumber Agen
cd ossec-hids-3.1.0
Luncurkan penginstal agen OSSEC;
./install.sh
Penginstal pertama-tama akan meminta Anda untuk memilih bahasa instalasi, bahasa Inggris secara default, disingkat [en]. Tekan Enter untuk menerima default
(en/br/cn/de/el/es/fr/hu/it/jp/nl/pl/ru/sr/tr) [en]:
Prompt berikutnya meminta Anda memverifikasi jenis instalasi. Dalam kasus kami, kami menginstal ossec-hids agent. Anda dapat memilih localjika tidak akan terhubung ke server.
Setelah Anda memilih jenis instalasi, tekan enter untuk melanjutkan. Untuk prompt berikutnya, tekanEnterpilih /var/ossec sebagai lokasi pemasangan default.
Selanjutnya, masukkan alamat IP Sensor di mana agen harus meneruskan log untuk analisis. Dalam hal ini, bisa jadi server OSSEC Anda atau Server AlienVault.
Aktifkan pemeriksaan integritas sistem.
Aktifkan Mesin pendeteksi rootkit
Nonaktifkan Respon aktif dengan mengetik n kecuali Anda memiliki pemahaman yang baik tentang peringatan yang dapat Anda lihat di server Anda.
Tekan Enter untuk menyelesaikan instalasi. Jika instalasi berhasil, Anda melihat output seperti pada tangkapan layar di bawah ini;
Hubungkan Agen ke Server
Sekarang setelah agen terinstal, jalankan perintah berikut untuk menambahkan kunci koneksi agen-server. Anda dapat mengekstrak Kunci untuk host tertentu dari server. Masukkan opsi I, paste the key dan confirm adding the key. Kemudian ketikQ dan press enter untuk keluar.
/var/ossec/bin/manage_agents
Mulai Agen OSSEC
Sekarang setelah kunci agen server terinstal, jalankan perintah di bawah ini untuk memulai agen OSSEC;
/var/ossec/bin/ossec-control start
Anda dapat memverifikasi bahwa agen berkomunikasi dengan server dengan memeriksa log agen ossec seperti yang ditunjukkan di bawah ini.
tail /var/ossec/logs/ossec.log
Anda seharusnya dapat melihat baris yang menyatakan bahwa agen telah terhubung ke server. Jika bukan itu masalahnya, periksa masalah firewall.
Itu semuanya. Anda telah berhasil menginstal agen OSSEC di Ubuntu 1804/CentOS 7. Dalam tutorial kami berikutnya, kami membahas cara mengkonfigurasi OSSEC untuk memantau berbagai file log dan pemberitahuan email. Tetap terhubung.