Instale OSSEC y OSSEC Web UI en Ubuntu

Install Ossec Ossec Web Ui Ubuntu

Instale OSSEC y OSSEC Web UI en Ubuntu


OSSEC es un sistema de detección de intrusiones de código abierto (HIDS) basado en host que puede ejecutarse en Linux, Solaris, FreeBSD, Windows y otros sistemas. OSSEC trabaja en un modelo de servidor / cliente. El cliente OSSEC realiza análisis de registros, monitoreo de políticas, verificaciones de integridad de archivos, alertas en tiempo real, detección de rootkits y respuesta activa.
OSSEC tiene HIDS (detección de intrusiones basada en host), monitoreo de registros y SIM / SIEM como una solución simple para la administración de la interfaz de usuario web.

1. Entorno de instalación

Máquina virtual Ubuntu 18.04 VMware (la versión 16.04 también debería funcionar)

Dos, configurar las dependencias de instalación

OSSEC requiere PHP, gcc, libc y Apache Web Server. Instálelos ejecutando el siguiente comando:



1. Paquete de dependencia OSSEC

  1. Instale build-essential para compilar e instalar OSSEC. Para utilizar la biblioteca pcre2 del sistema, instale el paquete libpcre2-dev:
    |_+_|
  2. Para admitir la base de datos, es necesario instalar los paquetes mysql-server y libmysqld-dev:
    |_+_|
  3. Instale la biblioteca libevent:
    |_+_|

2. Instale Apache y actualice el firewall.

El servidor web Apache es uno de los servidores web más populares del mundo. Está bien documentado y se ha utilizado ampliamente durante la mayor parte de la historia de la web, lo que la convierte en una excelente opción para alojar sitios web.



Instale Apache usando el administrador de paquetes apt de Ubuntu:



|_+_|

Ajuste el firewall para permitir la comunicación web

A continuación, asumiendo que ha seguido las instrucciones de configuración inicial del servidor y habilitado el firewall UFW, asegúrese de que su firewall permita el tráfico HTTP y HTTPS. Puede verificar si UFW tiene un archivo de configuración de la aplicación para Apache, como se muestra a continuación

|_+_|

imagen
Si observa el archivo de configuración de Apache Full, debería mostrar que habilita el tráfico a los puertos 80 y 443:

|_+_|

imagen
Permita el tráfico HTTP y HTTPS entrante para este perfil:



|_+_|

Puede realizar de inmediato una inspección en el sitio y verificar que todo vaya según el plan accediendo a la dirección IP pública del servidor en un navegador web:
imagen
Verá la página web predeterminada de Ubuntu 18.04 Apache, que se utiliza con fines informativos y de prueba. Debe tener un aspecto como este: imagen
Si ve esta página, su servidor web ahora se puede instalar correctamente y acceder a través del firewall.

3. Instale PHP

Ahora su servidor web está en funcionamiento y MySQL se instaló en el primer paso. PHP es el componente de su configuración, procesará el código para mostrar contenido dinámico. Puede ejecutar scripts, conectarse a su base de datos MySQL para obtener información y entregar el contenido procesado a su servidor web para su visualización.
Una vez más, instale PHP usando el sistema apt. Además, esta vez se incluyen algunos paquetes de ayuda para que el código PHP pueda ejecutarse en el servidor Apache y comunicarse con su base de datos MySQL:

|_+_|

En la mayoría de los casos, debe modificar la forma en que Apache proporciona archivos cuando solicita directorios. Actualmente, si un usuario solicita un directorio del servidor, Apache buscará primero un archivo llamado index.html. Queremos decirle al servidor web que prefiera archivos PHP que otros, así que primero deje que Apache busque un archivo index.php.

Para hacer esto, ingrese el siguiente comando para abrir el archivo dir.conf en un editor de texto con privilegios de root:

|_+_|

imagen
Mueva el archivo de índice PHP (resaltado arriba) a la primera posición después de la especificación DirectoryIndex, como se muestra a continuación:
imagen
Cuando termine, presione CTRL + X para guardar y cerrar el archivo. Confirme el guardado escribiendo Y, y luego presione ENTER para confirmar la ubicación de guardado del archivo.

Después de eso, reinicie el servidor web Apache para reconocer sus cambios. Ingrese lo siguiente para completar esta operación

|_+_|

Tres, descargue e instale OSSEC

1. Descargue la última versión:

|_+_|

2. Ingrese al directorio y ejecute install.sh:

|_+_|

3. Instale de acuerdo con las indicaciones. Elija chino y comience la instalación:
imagen
4. Elija el método de instalación:
El documento oficial dice que hay 4 métodos de instalación: servidor, cliente, local o híbrido (servidor, agente, local o híbrido), pero no hay más explicaciones. Encontré una explicación sobre este problema de GitHub: la instalación del servidor y la instalación local son esencialmente lo mismo, y si se usa la instalación local, habrá problemas con los paquetes de instalación de yum más adelante. Así que elija la instalación del servidor.
imagen
5. Seleccione la ruta de instalación y presione Entrar directamente de forma predeterminada.
6. Varias configuraciones, excepto 3-1 para configurar su propio buzón de correo de la siguiente manera, presione Enter hasta el final.

|_+_|

imagen
La instalación está completa:
imagen
OSSEC abierto:

|_+_|

imagen

Cuarto, configure OSSEC

El archivo de configuración predeterminado de OSSEC se encuentra en /var/ossec/etc/ossec.conf. De forma predeterminada, cuando se agrega un nuevo archivo al servidor, OSSEC no enviará una advertencia por correo electrónico. Puede hacer esto editando el archivo ossec.conf:

|_+_|

Encuentra las siguientes líneas:

|_+_|

Reemplácelos con:

|_+_|

De forma predeterminada, OSSEC no envía alertas en tiempo real. Para habilitar esta configuración, busque la siguiente línea

|_+_|

Y reemplácelos con:

|_+_|

Cuando termine, guarde y cierre el archivo. A continuación, debe editar el archivo de reglas local_rules.xml y agregar reglas para los nuevos archivos agregados al sistema.

|_+_|

Agregue las siguientes reglas entre:

|_+_|

guardar documento. Luego, reinicie el servicio de control OSSEC para aplicar todos los cambios

|_+_|

Cinco, instale la interfaz de usuario web de OSSEC

OSSEC HIDS tiene una interfaz web simple que debe descargarse:

|_+_|

Mover al directorio / srv

|_+_|

Ingrese e inicie la instalación:

|_+_|

Aparece la siguiente interfaz, simplemente configure el nombre de usuario y la contraseña:

|_+_|

Cree el archivo de configuración de Apache VirtualHost:

|_+_|

Pon el siguiente contenido en el archivo:

|_+_|

Nota: Reemplace example.com con su nombre de dominio, guarde el archivo y salga.

Habilite el módulo de reescritura de Apache:

|_+_|

Ver el estado de ejecución de Apache:

|_+_|

imagen

Seis, abre la interfaz

Abra http://your_server_ip.com en un navegador web y realice la verificación de identidad. Después de iniciar sesión, puede ingresar al panel de administración:

Las siguientes son referencias para este artículo:

Cómo instalar OSSEC HIDS en el sistema Ubuntu 18.04 / Debian 9
Pasos detallados para instalar OSSEC en Ubuntu 16.04
Cómo instalar Linux, Apache, MySQL, PHP (LAMP) en Ubuntu 18.04
Cómo instalar OSSEC en Ubuntu 16.04