SECSTACK
SECSTACK

GNU/Linux ve Siber Güvenlik üzerine dökümanlar.

SECSTACK
Author

Share


Tags


.gz text aramak arkime arkime kurulumu bitwarden bitwarden kurulum bitwarden ubuntu canonical livepatch canonical livepatch yapılandırma centos grub rescue centos nfs yapılandırma centos samba yapılandırma centos stream troubleshooting chmod -R 777 /etc chronograf chrony chrony ntp chrony ntp server chrony ntp server kurulumu chrony nts chrony nts yapılandırma dns over tls dns server kurulumu dnssec ed25519 ed25519 openssh ed25519 ssh full packet capture grafana grafana ile prometheus izleme grub rescue grub troubleshooting grub yeniden kurulumu influxdb iptables nftables geçişi iptables nftables kural geçişi irc server kapacitor kernelcare uchecker knot resolver knot resolver dns kurulumu knot resolver kurulumu linux nts server kurulum lvm lvm disk genişletme lvm genişletme lvm ikincil disk genişletme lvm ikincil genişletme lvm var olan disk genişletme lvm var olan genişletme moloch moloch kurulumu network time security nfs nfs yapılandırma nftables ngircd ngircd server ngircd ubuntu ntp server kurulumu nts nts server kurulum openvpn openvpn hardening ossec ossec hids ossec kurulumu outdated shared libraries prometheus restic restic kullanımı rsync rsync dosya transfer rsync kullanımı rsyslog rsyslog log yönlendirme rsyslog uygulama log yönlendirme samba samba yapılandırma scp scp dosya transfer scp kullanımı selks selks kurulumu sftp sftp kullanımı smbclient smbclient kullanımı ssh anahtar oluşturma ssh key oluşturma sshfs sshfs kullanımı sshfs nasıl kullanılır stubby stubby kurulumu stubby yapılandırması suricata suricata kurulumu systemd systemd hardening systemd-resolved systemd-resolved dns over tls systemd-resolved dnssec telegraf tick stack tick stack kurulumu ubuntu nfs yapılandırma ubuntu samba yapılandırma uchecker unbound unbound dns unbound dns kurulumu unbound forwarding dns vuls vuls vulnerability scanner vuls vulnerability scanner kurulumu zcat zgrep zmore

OSSEC (HIDS) Kurulumu

osseclogo

OSSEC, ölçeklenebilir, multi-platform, açık kaynak bir Host-based Intrusion Detection System (HIDS) çözümüdür.

OSSEC, log analizi, dosya bütünlüğü izleme, Windows kayıt defteri izleme, merkezi politika uygulama, rootkit algılama, gerçek zamanlı alarm üretme ve active response yetenekleri olan, korelasyon ve analiz motoruna sahiptir. *nix ve Windows platformlarda çalışır. Standalone yapıda kullanılabildiği gibi Manager/Agent yapıda kullanılabilmektedir. GPLv2 lisansı altında yayınlanmaktadır.

OSSEC projesi şu anda, Atomicorp tarafından sürdürülmektedir. OSSEC, 2014 yılından bu yana sunucularımda kullandığım uygulamaların başında gelmektedir.

Özellikleri

Birden çok log alabileceği veri noktasından verileri gerçek zamanlı olarak aktif olarak izler ve analiz eder.

Hem dosyalar hem de Windows kayıt defteri için gerçek zamanlı olarak yalnızca sistemdeki değişiklikleri algılamakla kalmaz, aynı zamanda zaman içinde değiştikçe verilerin adli bir kopyasını da tutar.

Kötü amaçlı uygulamaları ve rootkit'leri tespit etmek amaçlı process ve file level seviye analiz eder.

Firewall'lar, CDN'ler gibi 3. taraflarla entegrasyon desteği bulunur. Oluşabilecek saldırılara ve istenmeyen değişikliklere gerçek zamanlı olarak aksiyon alabilir.

PCI-DSS ve CIS Benchmarks gibi birçok yaygın standartla uyumluluk için uygulama ve sistem düzeyinde denetim sağlar.

OSSEC Mimarisi

ossecarchitecture

OSSEC mimarisinin merkezidir. Dosya bütünlüğü denetimi veritabanları, loglar, eventlar ve sistem denetimlerini depolamaktadır. Tüm kurallar, decoderlar ve ana yapılandırma seçenekleri, manager tarafında saklanır. Agent yönetimine olanak vermektedir.

Agent'lar, izlenecek sistemlere kurulmaktadır. Agent verileri toplayacak analiz ve korelasyon için manager tarafına iletecektir. Bazı bilgiler gerçek zamanlı olarak, bazıları ise periyodik olarak toplanır. Sunucu kullanımını etkilemeyen, öntanımlı olarak çok az bir RAM ve CPU kullanmaktadırlar.

Agent yüklenemeyen sistemler için agentless desteği, bütünlük kontrollerinin gerçekleştirilmesine izin verebilir. Agentless taramalar, firewall'lar, router'lar ve *nix sistemlerini izlemek için kullanılabilir.

VMware ESXi tarafında yüklenen agent ile, bir guest VM ne zaman kurulduğu, kaldırıldığı, başlatıldığı vb. alarmlar alabilirsiniz. Ayrıca VMware ESXi sunucusu içinde bulunan oturum açma, oturum kapatma ve hatalarını izleyebilmektedir. OSSEC, VMware için Center for Internet Security (CIS) kontrollerini gerçekleştirerek, güvenli olmayan herhangi bir yapılandırma seçeneği etkinleştirilmişse alarm üretir.

Syslog üzerinden yönlendirilecek logları, firewall'lar, switch'ler ve router'lardan alabilir ve analiz edebilir.

Gereksinimler

Her bir agent, manager tarafı ile 1514/UDP üzerinden haberleşmektedir. Bu nedenle 1514/UDP port adresine izin verilmesi gerekmektedir.

Syslog üzerinden manager tarafına log yönlendirmesi yapılacak ise 514/TCP/UDP port adresine izin verilmesi gerekmektedir.

# firewall-cmd --permanent --zone=public --add-port=1514/udp
# firewall-cmd --permanent --zone=public --add-port=514/tcp
# firewall-cmd --permanent --zone=public --add-port=514/udp
# firewall-cmd --reload

RHEL-based

Minimum gereksinim duyulan paketleri yüklüyoruz.

# yum install zlib-devel pcre2-devel make gcc zlib-devel pcre2-devel sqlite-devel openssl-devel libevent-devel

Debian-based

Minimum gereksinim duyulan paketleri yüklüyoruz.

# apt install build-essential make zlib1g-dev libpcre2-dev libevent-dev libssl-dev

Kurulum

Kurulumu Manager/Agent yapıda gerçekleştireceğim.

Manager - CentOS Stream 8 - 192.168.1.5
Agent - Ubuntu Server 20.04.1 LTS - 192.168.1.6

Manager Kurulumu

En son yayınlanan OSSEC kararlı sürümü (şuan için 3.6.0) indiriyoruz.

# wget https://github.com/ossec/ossec-hids/archive/3.6.0.tar.gz
# tar -xf 3.6.0.tar.gz
# cd ossec-hids-3.6.0

Kurulumu başlatıyoruz.

# ./install.sh
  ** Para instalação em português, escolha [br].
  ** 要使用中文进行安装, 请选择 [cn].
  ** Fur eine deutsche Installation wohlen Sie [de].
  ** Για εγκατάσταση στα Ελληνικά, επιλέξτε [el].
  ** For installation in English, choose [en].
  ** Para instalar en Español , eliga [es].
  ** Pour une installation en français, choisissez [fr]
  ** A Magyar nyelvű telepítéshez válassza [hu].
  ** Per l'installazione in Italiano, scegli [it].
  ** 日本語でインストールします.選択して下さい.[jp].
  ** Voor installatie in het Nederlands, kies [nl].
  ** Aby instalować w języku Polskim, wybierz [pl].
  ** Для инструкций по установке на русском ,введите [ru].
  ** Za instalaciju na srpskom, izaberi [sr].
  ** Türkçe kurulum için seçin [tr].
**(en/br/cn/de/el/es/fr/hu/it/jp/nl/pl/ru/sr/tr) [en]: en
**OSSEC HIDS v3.6.0 Installation Script - http://www.ossec.net

Dil seçiminde en seçeneği ile ilerliyoruz.

OSSEC HIDS v3.6.0 Installation Script - http://www.ossec.net
 
 You are about to start the installation process of the OSSEC HIDS.
 You must have a C compiler pre-installed in your system.

  -- Press ENTER to continue or Ctrl-C to abort. --

OSSEC kurulum sürecini enter ile başlatıyoruz.

1- What kind of installation do you want (server, agent, local, hybrid or help)? server

  - Server installation chosen.

Manager kurulumu yapacağımız için server yazarak ilerliyoruz.

2- Setting up the installation environment.

 - Choose where to install the OSSEC HIDS [/var/ossec]: 

    - Installation will be made at  /var/ossec .

Kurulum ortamını öntanımlı olarak bırakmak için enter ile ilerliyoruz.

3- Configuring the OSSEC HIDS.

  3.1- Do you want e-mail notification? (y/n) [y]: y
   - What's your e-mail address? ossec@secstack.net

   - We found your SMTP server as: localhost.
   - Do you want to use it? (y/n) [y]: y

   --- Using SMTP server:  localhost.

Alarm bildirimlerini etkinleştirmek için y seçeneği ile ilerliyoruz. Alarm bildirimlerini alacak mail adresini ve SMTP sunucu adresini yazarak ilerliyoruz.

  3.2- Do you want to run the integrity check daemon? (y/n) [y]: y

   - Running syscheck (integrity check daemon).

Bütünlük kontrollerini etkinleştirmek için y seçeneği ile ilerliyoruz.

  3.3- Do you want to run the rootkit detection engine? (y/n) [y]: y

   - Running rootcheck (rootkit detection).

Rootkit algılamanın etkilenleştirilmesi için y seçeneği ile ilerliyoruz.

  3.4- Active response allows you to execute a specific 
       command based on the events received. For example,
       you can block an IP address or disable access for
       a specific user.  
       More information at:
       http://www.ossec.net/en/manual.html#active-response
       
   - Do you want to enable active response? (y/n) [y]: n

     - Active response disabled.

Active response özelliğini kullanmayacağımız için n seçeneği ile ilerliyoruz.

  3.5- Do you want to enable remote syslog (port 514 udp)? (y/n) [y]: y

   - Remote syslog enabled.

Manager tarafına diğer cihazlardan syslog ile log yönlendirmesi yapılacak ise y seçeneği ile ilerliyoruz.

  3.6- Setting the configuration to analyze the following logs:
    -- /var/log/messages
    -- /var/log/secure
    -- /var/log/maillog

 - If you want to monitor any other file, just change 
   the ossec.conf and add a new localfile entry.
   Any questions about the configuration can be answered
   by visiting us online at http://www.ossec.net .
   
   
   --- Press ENTER to continue ---

Analiz edilecek log dosyalarını bu adımda görebilirsiniz. Enter ile ilerliyoruz.

 - System is Redhat Linux.
 - Init script modified to start OSSEC HIDS during boot.

 - Configuration finished properly.

 - To start OSSEC HIDS:
      /var/ossec/bin/ossec-control start

 - To stop OSSEC HIDS:
      /var/ossec/bin/ossec-control stop

 - The configuration can be viewed or modified at /var/ossec/etc/ossec.conf


    Thanks for using the OSSEC HIDS.
    If you have any question, suggestion or if you find any bug,
    contact us at https://github.com/ossec/ossec-hids or using
    our public maillist at  
    https://groups.google.com/forum/#!forum/ossec-list

    More information can be found at http://www.ossec.net

    ---  Press ENTER to finish (maybe more information below). ---

Enter ile yapılandırmayı sonlandırıyoruz.

Agent Kurulumu

En son yayınlanan OSSEC kararlı sürümü (şuan için 3.6.0) indiriyoruz.

# wget https://github.com/ossec/ossec-hids/archive/3.6.0.tar.gz
# tar -xf 3.6.0.tar.gz
# cd ossec-hids-3.6.0

Kurulumu başlatıyoruz.

# ./install.sh
  ** Para instalação em português, escolha [br].
  ** 要使用中文进行安装, 请选择 [cn].
  ** Fur eine deutsche Installation wohlen Sie [de].
  ** Για εγκατάσταση στα Ελληνικά, επιλέξτε [el].
  ** For installation in English, choose [en].
  ** Para instalar en Español , eliga [es].
  ** Pour une installation en français, choisissez [fr]
  ** A Magyar nyelvű telepítéshez válassza [hu].
  ** Per l'installazione in Italiano, scegli [it].
  ** 日本語でインストールします.選択して下さい.[jp].
  ** Voor installatie in het Nederlands, kies [nl].
  ** Aby instalować w języku Polskim, wybierz [pl].
  ** Для инструкций по установке на русском ,введите [ru].
  ** Za instalaciju na srpskom, izaberi [sr].
  ** Türkçe kurulum için seçin [tr].
**(en/br/cn/de/el/es/fr/hu/it/jp/nl/pl/ru/sr/tr) [en]: en
**OSSEC HIDS v3.6.0 Installation Script - http://www.ossec.net

Dil seçiminde en seçeneği ile ilerliyoruz.

OSSEC HIDS v3.6.0 Installation Script - http://www.ossec.net
 
 You are about to start the installation process of the OSSEC HIDS.
 You must have a C compiler pre-installed in your system.

  -- Press ENTER to continue or Ctrl-C to abort. --

OSSEC kurulum sürecini enter ile başlatıyoruz.

1- What kind of installation do you want (server, agent, local, hybrid or help)? agent

  - Agent(client) installation chosen.

Agent kurulumu yapacağımız için agent yazarak ilerliyoruz.

2- Setting up the installation environment.

 - Choose where to install the OSSEC HIDS [/var/ossec]: 

    - Installation will be made at  /var/ossec .

Kurulum ortamını öntanımlı olarak bırakmak için enter ile ilerliyoruz.

3- Configuring the OSSEC HIDS.

  3.1- What's the IP Address or hostname of the OSSEC HIDS server?: 192.168.1.5

   - Adding Server IP 192.168.1.5

Manager IP adresimiz olan 192.168.1.5 IP adresini yazarak ilerliyoruz.

  3.2- Do you want to run the integrity check daemon? (y/n) [y]: y

   - Running syscheck (integrity check daemon).

Bütünlük kontrollerini etkinleştirmek için y seçeneği ile ilerliyoruz.

  3.3- Do you want to run the rootkit detection engine? (y/n) [y]: y

   - Running rootcheck (rootkit detection).

Rootkit algılamanın etkilenleştirilmesi için y seçeneği ile ilerliyoruz.

  3.4- Active response allows you to execute a specific 
       command based on the events received. For example,
       you can block an IP address or disable access for
       a specific user.  
       More information at:
       http://www.ossec.net/en/manual.html#active-response
       
   - Do you want to enable active response? (y/n) [y]: n

     - Active response disabled.

Active response özelliğini kullanmayacağımız için n seçeneği ile ilerliyoruz.

  3.5- Setting the configuration to analyze the following logs:
    -- /var/log/auth.log
    -- /var/log/syslog
    -- /var/log/dpkg.log

 - If you want to monitor any other file, just change 
   the ossec.conf and add a new localfile entry.
   Any questions about the configuration can be answered
   by visiting us online at http://www.ossec.net .
   
   
   --- Press ENTER to continue ---

Analiz edilecek log dosyalarını bu adımda görebilirsiniz. Enter ile ilerliyoruz.

 - System is Debian (Ubuntu or derivative).
 - Init script modified to start OSSEC HIDS during boot.

 - Configuration finished properly.

 - To start OSSEC HIDS:
      /var/ossec/bin/ossec-control start

 - To stop OSSEC HIDS:
      /var/ossec/bin/ossec-control stop

 - The configuration can be viewed or modified at /var/ossec/etc/ossec.conf


    Thanks for using the OSSEC HIDS.
    If you have any question, suggestion or if you find any bug,
    contact us at https://github.com/ossec/ossec-hids or using
    our public maillist at  
    https://groups.google.com/forum/#!forum/ossec-list

    More information can be found at http://www.ossec.net

    ---  Press ENTER to finish (maybe more information below). ---

Enter ile yapılandırmayı sonlandırıyoruz.

Agent Tanımlama

manage_agents ile manager tarafında agent tanımı yaparak agent için oluşturulan anahtarı alacağız.

# /var/ossec/bin/manage_agents
****************************************
* OSSEC HIDS v3.6.0 Agent manager.     *
* The following options are available: *
****************************************
   (A)dd an agent (A).
   (E)xtract key for an agent (E).
   (L)ist already added agents (L).
   (R)emove an agent (R).
   (Q)uit.
Choose your action: A,E,L,R or Q: A

- Adding a new agent (use '\q' to return to the main menu).
  Please provide the following:
   * A name for the new agent: A1
   * The IP Address of the new agent: 192.168.1.6
   * An ID for the new agent[001]: 
Agent information:
   ID:001
   Name:A1
   IP Address:192.168.1.6

Confirm adding it?(y/n): y
Agent added with ID 001.


****************************************
* OSSEC HIDS v3.6.0 Agent manager.     *
* The following options are available: *
****************************************
   (A)dd an agent (A).
   (E)xtract key for an agent (E).
   (L)ist already added agents (L).
   (R)emove an agent (R).
   (Q)uit.
Choose your action: A,E,L,R or Q: E

Available agents: 
   ID: 001, Name: A1, IP: 192.168.1.6
Provide the ID of the agent to extract the key (or '\q' to quit): 001

Agent key information for '001' is: 
MDAxIEExIDE5Mi4xNjguMS4zIDY1NTUwNzk1NjFjYWExMGYwNTY3NjhiZDMyNTk1NWUwYzRlNDNiYTY4NjgzMGQ4NGVjZWQ1NzAxNjJmNDVlOTE=

** Press ENTER to return to the main menu.

Manager tarafında yaptığımız değişikliğin geçerli olması için OSSEC servislerini yeniden başlatıyoruz.

# /var/ossec/bin/ossec-control restart

Aldığımız agent anahtarını agent tarafına geçiş yaparak import ediyoruz.

# /var/ossec/bin/manage_agents

****************************************
* OSSEC HIDS v3.6.0 Agent manager.     *
* The following options are available: *
****************************************
   (I)mport key from the server (I).
   (Q)uit.
Choose your action: I or Q: I

* Provide the Key generated by the server.
* The best approach is to cut and paste it.
*** OBS: Do not include spaces or new lines.

Paste it here (or '\q' to quit): MDAxIEExIDE5Mi4xNjguMS4zIDY1NTUwNzk1NjFjYWExMGYwNTY3NjhiZDMyNTk1NWUwYzRlNDNiYTY4NjgzMGQ4NGVjZWQ1NzAxNjJmNDVlOTE=

Agent information:
   ID:001
   Name:A1
   IP Address:192.168.1.6

Confirm adding it?(y/n): y
Added.

Agent tarafında yaptığımız değişikliğin geçerli olması için OSSEC servislerini yeniden başlatıyoruz.

# /var/ossec/bin/ossec-control restart
SECSTACK
Author

SECSTACK

View Comments