OSSEC

Host-basiertes IDS auf Open-Source-Basis

Seite: 2/2

Installation und Ersteinrichtung von OSSEC

Unter Linux müssen Administratoren die Installationsdatei zunächst extrahieren.
Unter Linux müssen Administratoren die Installationsdatei zunächst extrahieren.
(Bild: Thomas Joos)
Wollen Administratoren OSSEC installieren, steht auf der Homepage des Entwicklers eine umfassende Anleitung zur Verfügung. Unter Linux wird nach dem Entpacken zur Installation die Datei „install.sh“ aufgerufen. Steht kein Extrahier-Tool zur Verfügung, können Administratoren im Terminal auch „gunzip“ und „tar“ verwenden, wie in der Abbildung zu sehen ist.

Die Installation von OSSEC.
Die Installation von OSSEC.
(Bild: Thomas Joos)
Während der Installation werden die einzelnen Bereiche ausgewählt, die installiert werden sollen. Um den Server-Dienst direkt auf dem System zu installieren, wird „lokal“ als Option eingegeben. Das Installationsverzeichnis kann auf den Standardeingaben belassen werden.

Während der Installation werden die zu installierenden Dienste ausgewählt.
Während der Installation werden die zu installierenden Dienste ausgewählt.
(Bild: Thomas Joos)
Im Rahmen der Installation werden dann die einzelnen Dienste ausgewählt, die installiert werden sollen. Über den Installationsassistenten können Administratoren gleich auswählen, ob die E-Mail-Benachrichtigung verwendet werden soll sowie die Installation der Dienste syscheck (integrity check daemon), RootCheck (rootkit detection engine), Active Response und die IP-White-List.

Nach der Installation werden die Dienste von OSSEC gestartet.
Nach der Installation werden die Dienste von OSSEC gestartet.
(Bild: Thomas Joos)
Nach Auswahl der Dienste werden die notwendigen Systemdateien installiert. Nach der Installation wird mit „cd /var/ossec/bin“ in das Installationsverzeichnis von OSSEC gewechselt. Mit dem Befehl „./ossec-control start“ werden die Dienste gestartet. Die Weboberfläche wird getrennt von der Serverlösung auf dem Server installiert.

Weboberfläche installieren

Die Weboberfläche steht im Download-Bereich von OSSEC ebenfalls als TAR-Datei zur Verfügung. Auch diese muss auf den Server heruntergeladen und extrahiert werden, genauso wie die Serverdienste. Wenn auf dem Linux-Server noch kein Webserver zur Verfügung steht, muss dieser natürlich vor der Installation der Weboberfläche installiert und eingerichtet werden.

Für die Weboberfläche von OSSEC wird Apache auf dem Linux-Server benötigt.
Für die Weboberfläche von OSSEC wird Apache auf dem Linux-Server benötigt.
(Bild: Thomas Joos)
Um zum Beispiel Apache unter Kali zu verwenden, wird der Befehl „apt-get install apache2“ verwendet. Je nach Linux-Distribution muss natürlich ein anderer Paketmanager angesprochen werden. Nach der Installation wird der Dienst mit „service apache2 start“ gestartet. Im Webbrowser lässt sich die Installation durch Eingabe der URL http://127.0.0.1 überprüfen.

Funktioniert der Webserver in Linux, muss das extrahierte Verzeichnis mit der Weboberfläche von OSSEC in das Verzeichnis „/var/www“ kopiert werden. Dabei handelt es sich um das Stammverzeichnis des Apache-Webservers. Der Befehl dazu lautet zum Beispiel „mv ossec-wui-0.8 /var/www/ossec“.

Nach der erfolgreichen Installation steht die Weboberfläche von OSSEC zur Verfügung.
Nach der erfolgreichen Installation steht die Weboberfläche von OSSEC zur Verfügung.
(Bild: Thomas Joos)
Danach wird mit „cd /var/www/ossec“ in das Verzeichnis gewechselt und mit „./setup.sh“ die Installation der Oberfläche durchgeführt. Nach der Installation muss Apache noch mit dem Befehl „apache2ctl restart“ neu gestartet werden. Im Anschluss lässt sich die Weboberfläche über die Adresse http://127.0.0.1/ossec öffnen.

Weboberfläche konfigurieren

Nach einigen Änderungen in den Berechtigungen steht OSSEC zur Verfügung.
Nach einigen Änderungen in den Berechtigungen steht OSSEC zur Verfügung.
(Bild: Thomas Joos)
Damit die Weboberfläche funktioniert, sind im Terminal noch einige Befehle notwendig, um die Web-Verzeichnisse verwenden zu können. Diese Befehle sind in der vorangestellten Abbildung zu sehen. Im Anschluss sollten Administratoren OSSEC neu starten:

Im Terminal von OSSEC lassen sich die Dienste neu starten
Im Terminal von OSSEC lassen sich die Dienste neu starten
(Bild: Thomas Joos)
Die für den Neustart erforderlichen Dienste sind hier zu sehen. Die weitere Einrichtung des Servers und die Anbindung von Agenten sollten auf Grundlage der bereits erwähnten OSSEC-Dokumentation erfolgen. Sobald der Server erst einmal funktioniert, können Administratoren nach und nach neue Überwachungen integrieren.

(ID:43347047)

Über den Autor

 Thomas Joos

Thomas Joos

Freiberuflicher Autor und Journalist