Cách nâng cấp OSSEC 2.8.1 lên OSSEC 2.8.2

OSSEC là một hệ thống phát hiện xâm nhập dựa trên server (HIDS) open-souce , thực hiện phân tích log , kiểm tra tính toàn vẹn, giám sát register Windows, phát hiện rootkit, cảnh báo dựa trên thời gian và phản hồi tích cực. Nó có thể được cài đặt để giám sát một server hoặc hàng nghìn server .

Hướng dẫn này chỉ ra cách nâng cấp bản cài đặt OSSEC 2.8.1 lên bản phát hành mới nhất, OSSEC 2.8.2, giải quyết một lỗi mới được phát hiện gần đây.

Yêu cầu

Server đã chạy OSSEC 2.8.1, hãy cài đặt theo các hướng dẫn của ta dành cho Ubuntu 14.04 , Debian 8 hoặc Fedora 21 .

Nếu bạn đã cài đặt OSSEC 2.8.1 trên FreeBSD 10.1 bằng hướng dẫn này , bạn có thể dễ dàng thực hiện nâng cấp bằng cách sử dụng trình quản lý gói của bản phân phối đó và không cần phải làm theo hướng dẫn này.

Bước 1 - Download và xác minh OSSEC 2.8.2

Bước đầu tiên để nâng cấp OSSEC là download tarball và file tổng kiểm tra của nó, file này sẽ được sử dụng để xác minh tarball không bị xâm phạm.

Đầu tiên, download tarball mới.

wget -U ossec http://www.ossec.net/files/ossec-hids-2.8.2.tar.gz

Sau đó download file tổng kiểm tra.

wget -U ossec http://www.ossec.net/files/ossec-hids-2.8.2-checksum.txt

Để xác minh tarball không bị xâm phạm, trước tiên hãy xác minh tổng kiểm tra MD5.

md5sum -c ossec-hids-2.8.2-checksum.txt

Đầu ra phải là:

kết quả md5sum

ossec-hids-2.8.2.tar.gz: OK md5sum: WARNING: 1 line is improperly formatted

Sau đó xác minh tổng kiểm tra SHA1.

sha1sum -c ossec-hids-2.8.2-checksum.txt

Sản lượng mong đợi là:

kết quả sha1sum

ossec-hids-2.8.2.tar.gz: OK sha1sum: WARNING: 1 line is improperly formatted

Bước 2 - Sửa lỗi

Mặc dù OSSEC 2.8.2 đã sửa một lỗi bảo mật, nhưng nó không giải quyết được một lỗi lâu dài khiến OSSEC overrides lên nội dung của file /etc/hosts.deny . Bản sửa lỗi cho điều đó phải được áp dụng theo cách thủ công trước khi bắt đầu nâng cấp. Và cách khắc phục liên quan đến việc chỉnh sửa một file trong tarball mới download .

Điều đó nghĩa là trước tiên ta phải extract tarball.

tar xf ossec-hids-2.8.2.tar.gz

Nó phải được extract vào một folder có tên bao gồm số version của chương trình. Thay đổi ( cd ) vào folder đó.

cd ossec-hids-2.8.2

Tệp mà ta cần chỉnh sửa, host-deny.sh , nằm trong folder active-response . Vì vậy, hãy mở nó bằng cách sử dụng:

nano active-response/host-deny.sh

Ở cuối file , hãy tìm hai dòng trong mã bắt đầu bằng TMP_FILE = , bên dưới comment # Xóa khỏi hosts.deny . Chỉnh sửa cả hai dòng để loại bỏ khoảng trắng ở hai bên của dấu = để khối mã trông như thế này.

Khối mã host-deny.sh đã sửa đổi

# Deleting from hosts.deny elif [ "x${ACTION}" = "xdelete" ]; then    lock;    TMP_FILE=`mktemp /var/ossec/ossec-hosts.XXXXXXXXXX`    if [ "X${TMP_FILE}" = "X" ]; then      # Cheap fake tmpfile, but should be harder then no random data      TMP_FILE="/var/ossec/ossec-hosts.`cat /dev/urandom | tr -dc 'a-zA-Z0-9' | fold -w 32 | head -1 `"     fi

Lưu và đóng file .

Bước 3 - Nâng cấp OSSEC 2.8.1

Bây giờ ta có thể bắt đầu nâng cấp.

sudo ./install.sh

Bạn sẽ được yêu cầu chọn ngôn ngữ cài đặt. Nhấn ENTER để chấp nhận giá trị mặc định hoặc nhập mã gồm 2 chữ cái đại diện cho ngôn ngữ bạn muốn , sau đó nhấn ENTER . Làm theo hướng dẫn trên màn hình, tại một số điểm, bạn sẽ được hỏi hai câu hỏi đơn giản. Nhập y , sau đó nhấn ENTER .

Dấu nhắc câu hỏi OSSEC

- You already have OSSEC installed. Do you want to update it? (y/n): y  - Do you want to update the rules? (y/n): y

Quá trình nâng cấp sẽ mất khoảng hai phút. Trình cài đặt sẽ dừng sau đó khởi động lại OSSEC ở cuối và bạn sẽ nhận được email xác nhận OSSEC đã khởi động lại.

Bạn có thể kiểm tra kỹ điều này bằng cách truy vấn trạng thái của OSSEC.

sudo /var/ossec/bin/ossec-control status

Kết quả kết quả phải cho biết tất cả các quá trình đang chạy .

Kết luận

Theo các bước đơn giản sau, bạn vừa nâng cấp OSSEC 2.8.1 lên OSSEC 2.8.2.

Tags:

Các tin liên quan