UbuntuにOSSECとOSSECWebUIをインストールする
Install Ossec Ossec Web Ui Ubuntu
UbuntuにOSSECとOSSECWebUIをインストールする
OSSECは、Linux、Solaris、FreeBSD、Windows、およびその他のシステムで実行できるホストベースのオープンソース侵入検知システム(HIDS)です。 OSSECはサーバー/クライアントモデルで動作します。 OSSECクライアントは、ログ分析、ポリシーモニタリング、ファイル整合性チェック、リアルタイムアラート、ルートキット検出、およびアクティブな応答を実行します。
OSSECには、Web UI管理のシンプルなソリューションとして、HIDS(ホストベースの侵入検知)、ログモニタリング、SIM / SIEMがあります。
1.設置環境
Ubuntu 18.04 VMware仮想マシン(16.04バージョンも機能するはずです)
2つ目は、インストールの依存関係を構成することです
OSSECには、PHP、gcc、libc、およびApacheWebサーバーが必要です。次のコマンドを実行して、それらをインストールします。
1.OSSEC依存関係パッケージ
- OSSECをコンパイルしてインストールするためにビルドエッセンシャルをインストールします。システムのpcre2ライブラリを使用するには、libpcre2-devパッケージをインストールします。
apt-get install build-essential make zlib1g-dev libpcre2-dev
- データベースをサポートするには、mysql-serverおよびlibmysqld-devパッケージをインストールする必要があります。
sudo apt-get install mysql-server libmysqld-dev
- libeventライブラリをインストールします。
apt-get install libevent-dev
2. Apacheをインストールし、ファイアウォールを更新します
Apache Webサーバーは、世界で最も人気のあるWebサーバーの1つです。これは十分に文書化されており、Webの歴史のほとんどで広く使用されているため、Webサイトをホストするのに最適です。
Ubuntuのパッケージマネージャーaptを使用してApacheをインストールします。
sudo apt update sudo apt install apache2
Web通信を許可するようにファイアウォールを調整します
次に、サーバーの初期設定手順に従い、UFWファイアウォールを有効にしたと仮定して、ファイアウォールがHTTPおよびHTTPSトラフィックを許可していることを確認します。以下に示すように、UFWにApacheのアプリケーション構成ファイルがあるかどうかを確認できます。
sudo ufw app list
Apache Full構成ファイルを見ると、ポート80および443へのトラフィックが有効になっていることが示されているはずです。
sudo ufw app info 'Apache Full'
このプロファイルの着信HTTPおよびHTTPSトラフィックを許可します。
sudo ufw allow in 'Apache Full'
WebブラウザでサーバーのパブリックIPアドレスにアクセスすることにより、すぐにオンサイト検査を実施し、すべてが計画どおりに進んでいることを確認できます。
情報とテストの目的で使用されるデフォルトのUbuntu18.04 ApacheWebページが表示されます。次のようになります。
このページが表示されている場合は、Webサーバーを適切にインストールし、ファイアウォールを介してアクセスできるようになっています。
3.PHPをインストールします
これでWebサーバーが稼働し、最初のステップでMySQLがインストールされました。 PHPはセットアップのコンポーネントであり、動的コンテンツを表示するためにコードを処理します。スクリプトを実行し、MySQLデータベースに接続して情報を取得し、処理されたコンテンツをWebサーバーに配信して表示することができます。
もう一度、aptシステムを使用してPHPをインストールします。さらに、PHPコードをApacheサーバーで実行し、MySQLデータベースと通信できるように、今回はいくつかのヘルパーパッケージが含まれています。
sudo apt install php libapache2-mod-php php-mysql
ほとんどの場合、ディレクトリを要求するときにApacheがファイルを提供する方法を変更する必要があります。現在、ユーザーがサーバーにディレクトリを要求すると、Apacheは最初にindex.htmlという名前のファイルを探します。 Webサーバーに他のファイルよりもPHPファイルを優先するように指示したいので、最初にApacheにindex.phpファイルを検索させます。
これを行うには、次のコマンドを入力して、root権限でテキストエディタでdir.confファイルを開きます。
sudo nano /etc/apache2/mods-enabled/dir.conf
以下に示すように、PHPインデックスファイル(上で強調表示)をDirectoryIndex仕様の後の最初の位置に移動します。
終了したら、CTRL + Xを押してファイルを保存して閉じます。 Yと入力して保存を確認し、Enterキーを押してファイルの保存場所を確認します。
その後、ApacheWebサーバーを再起動して変更を認識します。この操作を完了するには、次のように入力します
sudo systemctl restart apache2
3、OSSECをダウンロードしてインストールします
1.最新リリースをダウンロードします。
git clone https://github.com/ossec/ossec-hids
2.ディレクトリを入力し、install.shを実行します。
sudo ./install.sh
3.プロンプトに従ってインストールします。中国語を選択してインストールを開始します。
4.インストール方法を選択します。
公式文書には、サーバー、クライアント、ローカルまたはハイブリッド(サーバー、エージェント、ローカル、またはハイブリッド)の4つのインストール方法があると記載されていますが、それ以上の説明はありません。このGitHubの問題についての説明を見つけました。サーバーのインストールとローカルのインストールは基本的に同じであり、ローカルのインストールを使用すると、後でyumインストールパッケージで問題が発生します。したがって、サーバーのインストールを選択します。
5.インストールパスを選択し、デフォルトで直接Enterキーを押します
6.次のように独自のメールボックスを構成する3-1を除いて、さまざまな構成で、Enterキーを最後まで押します。
3.1- Do you want to receive e-mail alerts? (y/n) [y]: y Please enter your e-mail address? ****@***.com
インストールが完了しました:
OSSECを開きます。
sudo /var/ossec/bin/ossec-control start
第4に、OSSECを構成します
デフォルトのOSSEC構成ファイルは/var/ossec/etc/ossec.confにあります。デフォルトでは、新しいファイルがサーバーに追加されても、OSSECは電子メール警告を送信しません。これを行うには、ossec.confファイルを編集します。
nano /var/ossec/etc/ossec.conf
次の行を見つけます。
79200
それらを次のように置き換えます。
60 yes
デフォルトでは、OSSECはリアルタイムアラートを送信しません。この設定を有効にするには、次の行を探します
/etc,/usr/bin,/usr/sbin /bin,/sbin
そして、それらを次のように置き換えます。
/etc,/usr/bin,/usr/sbin /var/www,/bin,/sbin
終了したら、ファイルを保存して閉じます。次に、ルールファイルlocal_rules.xmlを編集し、システムに追加された新しいファイルのルールを追加する必要があります。
nano /var/ossec/rules/local_rules.xml
次のルールを間に追加します。
ossec syscheck_new_entry File added to the system. syscheck,
ドキュメントを保存します。次に、OSSEC制御サービスを再起動して、すべての変更を適用します
/var/ossec/bin/ossec-control restart
5、OSSEC WebUIをインストールします
OSSEC HIDSには、ダウンロードする必要のあるシンプルなWebインターフェイスがあります。
git clone https://github.com/ossec/ossec-wui.git
/ srvディレクトリに移動します
sudo mv ossec-wui /srv
インストールを入力して開始します。
cd /srv/ossec-wui sudo ./setup.sh
次のインターフェイスが表示されます。ユーザー名とパスワードを設定するだけです。
Set the administrator username/password and Web server username: trap: SIGHUP: bad trap Setting up ossec ui... Username: admin New password: Re-type new password: Adding password for user admin Enter your web server user name (e.g. apache, www, nobody, www-data, ...) www-data You must restart your web server after this setup is done. Setup completed successfully.
ApacheVirtualHost構成ファイルを作成します。
sudo vim /etc/apache2/sites-enabled/ossec-wui.conf
次のコンテンツをファイルに入れます。
DocumentRoot /srv/ossec-wui/ ServerName ossec.example.com ServerAlias www.ossec.example.com ServerAdmin root@xxxxx Options +FollowSymlinks AllowOverride All Require all granted ErrorLog /var/log/apache2/moodle-error.log CustomLog /var/log/apache2/moodle-access.log combined
注:example.comをドメイン名に置き換え、ファイルを保存して終了します。
Apache書き換えモジュールを有効にします。
sudo a2enmod rewrite sudo systemctl restart apache2
Apacheの実行ステータスを表示します。
sudo systemctl status apache2.service
6、インターフェースを開きます
Webブラウザでhttp://your_server_ip.comを開き、本人確認を実行します。ログイン後、管理パネルに入ることができます。
以下は、この記事のリファレンスです。
Ubuntu 18.04 / Debian9システムにOSSECHIDSをインストールする方法
Ubuntu16.04にOSSECをインストールするための詳細な手順
Linux、Apache、MySQL、PHP(LAMP)をUbuntu18.04にインストールする方法
Ubuntu16.04にOSSECをインストールする方法