OSSSEC Nedir, Kurulum ve Kullanımı

What Will I Learn?

What is OSSEC. Installation in linux environment. Configurations and use.

What Will I Learn?

• OSSEC nedir?
• Linux ortamda kurulumu.
• Kullanımı için gerekli konfigürasyonları ve kullanımı.

source

Requirements

Write here a bullet list of the requirements for the user in order to follow this tutorial.

• GCC Bileşeni
• OSSEC Yazlımı
• Build-Essential Paketi

Difficulty

• Basic

OSSEC Nedir

OSSEC kelimesini açtığımızda Open Source Based Intrusion Detection anlamındadır.Adından da anlaşılacağı gibi Open Source yani açık kaynak kodlu bir saldırı tespit sistemidir.
Windows, Linux, Freebsd gibi sistemlere kurulabilir.Bu yazılım bilgisayarımızda çalışan uygulamaları denetler ve arka planda gerçekleşen verilerin alım ve gönderimini denetler
Bir diğer başlıca özellikleri;

• Rootkit Detection:Dosyalarımızı gizleyerek işletim sisteminin hata bazı hataları vermemesine yardımcı olur.

• Log Analysis:Kayıt dosyalarını görüntüler.Saldırı tespitini analiz edebilir.

• Active Response:Yazılım otomatik komut çalıştırabilir.Örneğin; herhangi bir saldırı anında otomatik olarak bu komut çalışacak ve güvenlik duvarına komut verebilecektir.

####OSSEC Kurulumu
Ben kurulumları Debian tabanlı bir Linux dağıtımı kullanarak yapacağım. Kurulum Yöntemi her dağıtım için hemen hemen aynı olduğundan kendi tercih ettiğiniz bir dağıtımı kullanabilirisiniz.

Öncelikle yukarda belirttiğim gerekli yazılımlar arasında Debian için "Build-Essential Paketi" sizde kurulu olmayabilir.Kurmak için;

# apt-get install build-essential

Diyerek gerekli yazılımı kuralım.
Ardından OSSEC yazılımını indirmek için aşağıdaki kodu çalıştıralım.

wget https://www.ossec.net/files/ossec-hids-2.9.tar.gz

Bu komut ile dosyamızı normal klasöre dönüştürelim.

tar xvfz ossec-hids-2.9.tar.gz

Bu komut ile klasöre giriş yapalım ve install.sh diyerek kurulumu başlatalım.

cd ossec-hids-2.9

bash install.sh

Yukarıdaki işlemleri gerçekleştirdikten sonra kurulum tamamlanmış olacak.Tabi kurulum sırasında bizlere bazı sorular gelecektir.sorular şu sekildedir:
Burada programı kullacağımız dili seçiyoruz.Ben ingilizce için "en" diyorum

(en/br/cn/de/el/es/fr/hu/it/jp/nl/pl/ru/sr/tr) [en]: en

Ardından ne tip kurulum yapmak istediğimizi soracaktır. Server'a kurmak için "server" normal kurulum için "agent" diyebilirsiniz. Ben agent diyorum

Ossec’in nereye kurulmasını istediğinizi soracak. Burayı default olarak bırakabiliriz,“Enter” ile devam ediyoruz:

Bu bölüm ise HIDS yapılandırmaları ile ilgili bölümdür. Uyarıları email olarak alıp almak istemediğimiz soruyor. Bu kısımda “y” diyerek bu özelliği özelliğini devreye alalım; e-maillerin gönderileceği posta adresini ve cihazın ip adresini girelim.

onfiguring the OSSEC HIDS.  

Do you want e-mail notification? (y/n) [y]: y 
- What's your e-mail address? [email protected] 
- What's your SMTP server ip/host? 192.168.1.3

Ardından dosya bütünlük kontrolünü çalıştırmak için “y” diyerek bu özelliği aktif edelim.

Do you want to run the integrity check daemon? (y/n) [y]: y  

- Running syscheck (integrity check daemon).

Ardından, sırasıyla şekilde rootkit detection, active response ve syslog özelliklerini aktifleştirmek isteyip istemediğimiz soracaktır.Bunlara ihtiyacınıza göre "n" ya da “y” diyerek cevap verelim.

1- Do you want to run the rootkit detection engine? (y/n) [y]: y  

- Linux Running rootcheck (rootkit detection).


2- Active response allows you to execute a specific command based on the events received. For example,  you can block an IP address or disable access for  a specific user.  

More information at:  http://www.ossec.net/en/manual.html#active-response  - Do you want to enable active response? (y/n) [y]: n


3- Do you want to enable remote syslog (port 514 udp)? (y/n) [y]:  

- Remote syslog enabled

Tüm bu tanımlama ve konfigrasyonların ardından "Enter" diyip geçebileceğimiz bir kaç bildiri gelecek.
Aşağıdaki kodu yazarak servisi yeniden başlatın.

/var/ossec/bin/ossec-control restart

Servisleri calıştırmak ve durdurmak için bu kodu yazın

/var/ossec/bin/ossec-control {start|stop}

Bu yazılımı aynı şekilde Windows işletimleri için de kurup kullanabilirsiniz.Grafiksel arayüzü sayesinde yukarıdaki gibi konfigürasyonları kolayca yaparak kullanabilirsiniz.

OSSEC web sitesi için: https://ossec.github.io

OSSEC indirmek için: https://ossec.github.io/downloads.html

OSSEC Github deposu için: https://github.com/ossec/ossec-hids

---

Posted on Utopian.io - Rewarding Open Source Contributors

---