Instal Agen OSSEC HIDS di Ubuntu 20.04

oleh

Tutorial ini akan memandu Anda tentang cara menginstal agen OSSEC HIDS pada sistem Ubuntu 20.04 dari tarball sumber.

 OSSEC  adalah Sistem Deteksi Intrusi berbasis Host Sumber Terbuka yang melakukan analisis log, pemeriksaan integritas, pemantauan registri Windows, deteksi rootkit, peringatan waktu nyata, dan respons aktif. Ini berjalan di berbagai platform termasuk Linux, OpenBSD, FreeBSD, Mac OS X, Solaris dan Windows dll.

Instal Agen OSSEC HIDS di Ubuntu 20.04

Jalankan Pembaruan Sistem

Untuk memulainya, pastikan cache paket sistem Anda mutakhir.

apt update

Instal Dependensi yang Diperlukan

Pembuatan dan penginstalan agen OSSEC HIDS yang berhasil di Ubuntu 20.04 dari sumbernya memerlukan cukup banyak dependensi untuk diinstal pada sistem. Jalankan perintah di bawah ini untuk menginstal dependensi ini.

apt install gcc make libevent-dev zlib1g-dev libssl-dev libpcre2-dev wget tar -y

Download Kode Sumber OSSEC Terbaru

OSSEC 3.6 adalah versi rilis stabil terbaru pada tulisan ini. Periksa  halaman rilis  untuk rilis terbaru.

wget https://github.com/ossec/ossec-hids/archive/3.6.0.tar.gz -P /tmp

Ekstrak Kode Sumber OSSEC

Setelah downloadan sumber OSSEC selesai, ekstrak sebagai berikut;

cd /tmp
tar xzf 3.6.0.tar.gz

Instal Agen OSSEC HIDS di Ubuntu 20.04

Untuk menginstal agen OSSEC, navigasikan ke direktori kode sumber dan jalankan skrip instalasi.

cd ossec-hids-3.6.0/

Jalankan grup instalasi;

./install.sh

Pilih bahasa instalasi Anda. Dalam hal ini, kami memilih bahasa instalasi default, bahasa Inggris.

Tekan ENTER untuk memilih opsi penginstalan default atau pilih bahasa Anda dari daftar.

(en/br/cn/de/el/es/fr/hu/it/jp/nl/pl/ru/sr/tr) [en]: ENTER

Sekali lagi, tekan ENTER untuk melanjutkan.

-- Press ENTER to continue or Ctrl-C to abort. --

Tentukan jenis instalasi. Dalam kasus kami, kami menginstal ossec-hids  agent, maka pilih agen.

1- What kind of installation do you want (server, agent, local, hybrid or help)? agent - Agent(client) installation chosen.

Pilih jalur instalasi. Kami pergi dengan default,  /var/ossec.

2- Setting up the installation environment. - Choose where to install the OSSEC HIDS [/var/ossec]: ENTER - Installation will be made at /var/ossec.

Masukkan alamat IP atau nama host OSSEC-HIDs Server. Ganti IP yang digunakan di sini sesuai.

3- Configuring the OSSEC HIDS. 3.1- What's the IP Address or hostname of the OSSEC HIDS server?: 192.168.56.11 - Adding Server IP 192.168.56.11

Aktifkan pemeriksaan integritas sistem

 3.2- Do you want to run the integrity check daemon? (y/n) [y]: y - Running syscheck (integrity check daemon).

Aktifkan engine pendeteksi rootkit.

 3.3- Do you want to run the rootkit detection engine? (y/n) [y]: y - Running rootcheck (rootkit detection).

Nonaktifkan respons aktif. Jika tidak, Anda dapat mengaktifkannya jika Anda memahami jenis dan jumlah peringatan yang Anda inginkan.

 3.4 - Do you want to enable active response? (y/n) [y]: n - Active response disabled.

Penginstal agen kemudian menampilkan file log yang dibaca secara default. Anda dapat menambahkan lebih banyak nanti di  ossec.conf file.

 3.5- Setting the configuration to analyze the following logs: -- /var/log/messages -- /var/log/secure -- /var/log/maillog...

Setelah Anda selesai menentukan opsi default, lanjutkan untuk menginstal agen OSSEC di Ubuntu 20.04 dengan menekan ENTER.

Setelah agen diinstal, Anda akan melihat output yang mirip dengan;

 - System is Debian (Ubuntu or derivative). - Init script modified to start OSSEC HIDS during boot. - Configuration finished properly. - To start OSSEC HIDS: /var/ossec/bin/ossec-control start - To stop OSSEC HIDS: /var/ossec/bin/ossec-control stop - configuration can be viewed or modified at /var/ossec/etc/ossec.conf Thanks for using the OSSEC HIDS. If you have any question, suggestion or if you find any bug, contact us at https://github.com/ossec/ossec-hids or using our public maillist at https://groups.google.com/forum/#!forum/ossec-list More information can be found at http://www.ossec.net --- Press ENTER to finish (maybe more information below). ---

Tekan ENTER untuk menutup penginstal.

Hubungkan Agen OSSEC ke Server OSSEC

Untuk agen untuk berkomunikasi dengan server;

  • Anda harus terlebih dahulu menambahkannya ke server HIDS, dalam kasus kami, kami menggunakan AlienVault OSSIM.
  • Setelah itu ekstrak kunci otentikasi agen dari server.

Setelah Anda mengekstrak kunci, Impor kunci pada agen dengan menjalankan perintah di bawah ini;

/var/ossec/bin/manage_agents

Masukkan opsi I, paste the key dan confirm adding the key. Kemudian ketik Q dan press enter untuk keluar.

**************************************** * OSSEC HIDS v3.6.0 Agent manager. * * following options are available: * **************************************** (I)mport key from the server (I). (Q)uit. Choose your action: I or Q: I  * Provide the Key generated by the server. * best approach is to cut and paste it. *** OBS: Do not include spaces or new lines. Paste it here (or 'q' to quit): NSttstGSTsgspsgsjshsYmV5a2ktb3Blbnzk999383nndZwbiAxMC43LjMuNTggMWQyNzBjZTZlNzI2OGI2MWUzOWQ4NTg4YjgwM2ZjNDhhZWY2OTQxZTU2OWE2M2U3MjQ1N2Y1w== Agent information: ID:10 Name:koromicha IP Address:192.168.43.17 Confirm adding it?(y/n): y 2020/06/22 20:16:03 manage_agents: ERROR: Cannot unlink /queue/rids/sender: No such file or directory Added. ** Press ENTER to return to the main menu. **************************************** * OSSEC HIDS v3.6.0 Agent manager. * * following options are available: * **************************************** (I)mport key from the server (I). (Q)uit. Choose your action: I or Q: q ** You must restart OSSEC for your changes to take effect. manage_agents: Exiting. manage_agents: Exiting.

Menjalankan Agen OSSEC

Setelah penginstalan selesai, penginstal menampilkan cara menjalankan agen OSSEC.

Untuk memulai agen;

/var/ossec/bin/ossec-control start

Atau

systemctl start ossec

Untuk menghentikan agen;

/var/ossec/bin/ossec-control stop

Atau

systemctl stop ossec

Perintah kontrol service unit lainnya;

/var/ossec/bin/ossec-control {start|stop|reload|restart|status}

Untuk memeriksa statusnya;

/var/ossec/bin/ossec-control status
ossec-logcollector is running... ossec-syscheckd is running... ossec-agentd is running... ossec-execd not running...

Periksa log untuk melihat apakah agen telah terhubung ke server;

tail -f /var/ossec/logs/ossec.log
2020/06/22 20:20:54 ossec-agentd(4101): WARN: Waiting for server reply (not started). Tried: '192.168.56.11'. 2020/06/22 20:20:56 ossec-agentd: INFO: Trying to connect to server 192.168.56.11, port 1514. 2020/06/22 20:20:56 INFO: Connected to 192.168.56.11 at address 192.168.56.11, port 1514 2020/06/22 20:20:56 ossec-agentd: DEBUG: agt->sock: 14...

Anda telah berhasil menginstal agen OSSEC di Ubuntu 20.04 dan menghubungkannya ke server HIDS.

Login kembali ke server HIDs, restart service server HIDS dan periksa apakah agen aktif.

Itu membawa kita ke akhir panduan kami tentang cara menginstal a
gen OSSEC HIDS di Ubuntu 20.04.

Bacaan lebih lanjut

Dokumentasi OSSEC

Tutorial Terkait

Instal Agen OSSEC di CentOS 8

Instal Agen OSSEC di Debian 10 Buster

Cara Menginstal Agen OSSEC di Mac OS

Cara Menginstal Agen OSSEC di Solaris 11.4

Cara Menginstal dan Mengatur agen OSSEC di Ubuntu 18.04/CentOS 7