OSSEC (Open Soure HIDS SECurity) Manager/Agent(Linux) Install

Steps. 1. OSSEC 최신버전 다운로드 및 체크섬 확인    1) development package 설치   2) OSSEC Manager/Agent 패키지 다운로드   3) OSSEC Manager/Agent 체크섬 파일 다운로드   4) OSSEC 체크섬 파일 확인   5) OSSEC 체크섬 확인 2. OSSEC Manager Install    1) 다운로드 받은 OSSEC 패키지 압축풀기    2) install.sh 쉘 스크립트를 실행 하여, OSSEC Install 3. Start OSSEC HIDS 4. OSSEC Agent Install (Linux) 5. UDP 1514포트 허용

OSSEC Manager/Agnet 설치는 다운로드 받은 패키지 안에 있는 install.sh 쉘 스크립트를 실행 하여, 대부분 자동으로 설치하기 때문에 복잡하지 않고 매우 단순하다. 설치하기 전에 몇 가지 질문과 설치 타입을 요구하는데 올바른 Install Type을 선택하는 것이 중요하다. 

(Install Type : 서버(Server), 에이전트(Agnet), 로컬(Local), 하이브리드(Hybrid)

1. OSSEC 최신버전 다운로드 및 체크섬 확인  

현재 OSSEC 최신 버전은 2.8.3버전이며, 여기서는 Ubuntu 14.04 LTS (Desktop) 에 OSSEC Server를 설치 할 예정이다.

Linux, Unix 계열의 시스템은 아래에서 Server/Agent Unix 패키지를 다운로드 받아 설치 하면되며, Windows 시스템 아래에서 Agent Windows 패키지를 다운로드 받아 설치한다. Windows 시스템에 Agent 설치는 다음 기회에 살펴보겠다.

1) development package 설치

OSSEC을 설치하기 전에 development package를 설치해야 한다.  

# apt-get install build-essential make libssl-dev git

2) OSSEC Manager/Agent 패키지 다운로드

# wget -U ossec https://bintray.com/artifact/download/ossec/ossec-hids/ossec-hids-2.8.3.tar.gz

3) OSSEC Manager/Agent 체크섬 파일 다운로드

# wget -U ossec http://ossec.github.io/_downloads/ossec-hids-2.8.3.tar.gz.sha256

참고 : 일부 시스템에서 체크섬을 확인하기 위한 명령어 md5, sha1이 없는 경우가 있다. 이런 경우 md5sum, sha1sum으로 대체 하기 바란다.

4) OSSEC 체크섬 파일 확인

# cat ossec-hids-2.8.3.tar.gz.sha256

5) OSSEC 체크섬 확인

# sha256sum -c  ossec-hids-2.8.3.tar.gz.sha256 ossec-hids-2.8.3.tar.gz 

2. OSSEC Manager Install

1) 다운로드 받은 OSSEC 패키지 압축풀기

# tar -zxvf ossec-hids-2.8.3.tar.gz

2) install.sh 쉘 스크립트를 실행 하여, OSSEC Install

# cd ossec-hids-2.8.3
# ./install.sh

install.sh 쉘 스크립트를 실행 시키면 아래와 같이 설치 언어를 선택하는 화면이 나타난다. 여기서 원하는 언어를 선택한다. 여기서는 영어를 선택하였다.[en]

언어를 선택 하면, 아래와 같이 정보를 출력해준다. 참고로 C 컴파일러가 미리 설치되어 있어야 한다고 설명하고 있다.

설치를 하기 위해 엔터를 눌러주면 아래와 같이 Install에 필요한 몇가지 질문을 한다. 

1 - Install Type 선택 : 설치하려고 하는 OSSEC Install Type 선택한다. OSSEC Manager를 설치하기 때문에 Server를 선택 한다

2 - 설치 경로 지정 : 여기서는 기본 폴더인 /var/ossec을 선택

3 - OSSEC HIDS 설정 

3.1 - 이벤트 발생 시 E-Mail을 받아 볼것인지 선택 : 필자는 n를 선택하였다. 

       여기서 y를 선택하면 받는 사람의 E-Mail 주소와 smtp 서버를 지정한다.

3.2 - 무결성 체크 데몬 실행 여부 선택 : y 선택 시 OSSEC이 시작되면 무결성 체크 데몬을 실행 시킨다.

3.3 - rootkit 탐지 엔진 실행 여부 선택 : y 선택 시 OSSEC이 시작되면 rootkit 탐지 엔진을 실행 시킨다.  

3.4 - 실시간 응답 사용 여부 선택 : y 선택 시 실시간으로 응답을 받는다.

     - 방화벽이 중지되면 응답을 받을 지 여부 선택 : y 선택 시 방화벽이 중지되면 응답을 받는다. 

     - 화이트 리스트 IP를 지정 여부를 선택 : 화이트 리스트 IP가 있으면 y를 선택 후 지정한다.

3.5 - 원격 syslog 분석을 활성화 여부를 선택 

3.6 - 3.5에서 y를 선택할 경우 분석할 syslog 파일들을보여준다.

질문에 답을 다했다면, 엔터를 눌러 설치를 진행 한다. 

설치가 완료되면, 아래와 같이 OSSEC를 시작하는 방법과 중지 시키는 방법, 설정 파일 위치 정보를 출력한다.

3. Start OSSEC HIDS

# cd /var/ossec/bin
/var/ossec/bin#./ossec-control start 

4. OSSEC Agent Install (Linux)

Linux, Unix 계열의 시스템에 OSSEC Agent를 설치는 아래와 같으며, Agent 설치 패키지는 앞서 다운로드 받은 ossec-hids-2.8.3.tar.gz 파일을 이용한다.

Agent를 설치하고자 하는 시스템에서 앞서 Manager를 설치할 때와 동일하게 압축을 풀어준 후 install.sh 쉘 스크립트를 실행 시킨다. install.sh 

쉘 스크립트를 실행 시키면 앞서 Manager 설치때와 동일하게 언어를 선택하게 된다. 

언어를 선택 하였으면 다음으로 설치 Type을 선택하는 메시지가 나타난다. 여기서는 Agent를 설치하는것이 때문에 Agent를 선택한다.

설치 Type을 선택하면, 다음으로 설치 경로를 지정하는 메시지가 나타난다. 여기서는 기본 설치 경로를 선택하였다. 

설치 경로를 선택하였으면, 다음으로 OSSEC Server (Manager) IP를 입력하는 메시지가 나타난다. 앞서 설치한 Manager의 IP를 입력한다. 

Manager의 IP를 입력하였으면, 이후 내용들은 Manager 설치 할때와 비슷하기 때문에 다시 언급하지 않겠다. 설치가 완료되면 Manager에서와 동일하게 OSSEC을 실행시켜주면 된다.

5. UDP 1514포트 허용

OSSEC 서버와 OSSEC 에이전트는 UDP 1514 포트로 통신하기 때문에, UDP 1514포트가 방화벽으로 막혀 있다면 통신을 할 수 없어 정상적으로 사용할 수 없다. 

OSSEC 서버와 OSSEC 에이전트에서 방화벽이 설정되어 있지 않다면 생략해도 된다.

1) OSSEC 서버에서 OSSEC 에이전트 UDP 1514 포트 허용 (인바운드) 

# iptables -A INPUT -p UDP --dport 1514 -s 192.168.1.163 -j ACCEPT

2) OSSEC 에이전트에서 OSSEC 서버 UDP 1514 포트 허용 (인바운드)

# iptables -A INPUT -p UDP --dport 1514 -s 192.168.1.160 -j ACCEPT

3) OSSEC 서버와 OSSEC 에이전트에서 모든 아웃바운드 트래픽 허용

# iptables -A OUTPUT -j ACCEPT