Deinen Server mit einem Host-basierten Intrusion Detection System sichern
2 OSSEC HIDS starten und ausführen
Um OSSEC HIDS zu starten, führen wir diesen Befehl aus:
/etc/init.d/ossec start
Die Ausgabe sollte wie folgt aussehen:
server1:/etc/init.d# /etc/init.d/ossec start
Starting OSSEC HIDS v0.9-1 (by Daniel B. Cid)…
Started ossec-maild…
Started ossec-execd…
Started ossec-analysisd…
Started ossec-logcollector…
Started ossec-syscheckd…
Completed.
server1:/etc/init.d#
Wie Dir vielleicht während der Installation von OSSEC HIDS aufgefallen ist, hat der Installer auch die notwendigen System Startup Links für OSSEC HIDS erstellt, so dass OSSEC HIDS automatisch gestartet wird, wenn Du Dein System startest/neu startest.
Nachdem OSSEC HIDS gestartet ist, läuft es still im Hintergrund und führt Log-Datei-Anlaysen, Integritätschecks, rootkit Erkennung etc. aus. Um zu überprüfen, dass es läuft, kannst Du Folgendes ausführen
ps aux
In der Ausgabe solltest Du etwas in der Art finden:
ossecm 2038 0.0 0.4 1860 792 ? S 12:40 0:00 /var/ossec/bin/ossec-maild root 2042 0.0 0.3 1736 648 ? S 12:40 0:00 /var/ossec/bin/ossec-execd ossec 2046 0.2 0.5 2192 1136 ? S 12:40 0:00 /var/ossec/bin/ossec-analysisd root 2050 0.0 0.2 1592 556 ? S 12:40 0:00 /var/ossec/bin/ossec-logcollector root 2054 12.2 0.3 1756 616 ? S 12:40 0:05 /var/ossec/bin/ossec-syscheckd
Die OSSEC HIDS Log-Datei ist /var/ossec/logs/ossec.log, also kannst Du diese überprüfen, um herauszufinden, was los ist, z.B. mit dem tail Befehl.
tail -f /var/ossec/logs/ossec.log
zeigt, was in Echtzeit passiert. Drücke STRG-C um ihn zu verlassen.
tail -n 100 /var/ossec/logs/ossec.log
zeigt Dir die letzten 100 Zeilen der OSSEC HIDS Log-Datei.
Wenn OSSEC HIDS etwas verdächtiges erkennt, sendet es eine E-Mail mit einem Bereicht an die Adresse, die Du während der Installation angegeben hast:
Wenn Du OSSEC HIDS‘ Einstellungen ändern möchtest (z.B. die E-Mail Adresse ändern, benutzerdefinierte Rulesets hinzufügen, etc.), kannst Du die Konfigurationsdatei /var/ossec/etc/ossec.conf (im XML Format) bearbeiten indem Du einen Kommandozeilen-Editor wie vi verwendest:
vi /var/ossec/etc/ossec.conf
Die Datei sieht wie folgt aus:
<ossec_config> <global> <email_notification>yes</email_notification> <email_to>example@example.com</email_to> <smtp_server>mail.example.com.</smtp_server> <email_from>ossecm@example.com</email_from> </global> [...] |
Wenn Du die Datei änderst, pass auf, dass Du OSSEC HIDS danach neu startest:
/etc/init.d/ossec restart
Um zu erfahren, wie Du benutzerdefinierte Rulesets etc. hinzufügen der OSSEC HIDS Konfiguration hinzufügen kannst, sieh Dir bitte das OSSEC HIDS Manual an: http://www.ossec.net/en/manual.html
3 Links
- OSSEC HIDS: http://www.ossec.net