介绍
OSSEC是一个开源的,基于主机的入侵检测系统(HIDS),它执行日志分析,完整性检查,Windows注册表监控, rootkit检测,基于时间的警报和积极响应。
本教程展示了如何将 OSSEC 2.8.1 安装升级到最新版本,即 OSSEC 2.8.2,该版本解决了最近发现的错误。
前提条件
- 一个已经运行 OSSEC 2.8.1 的 Droplet,设置为 Ubuntu 14.04, Debian 8,或 Fedora 21的教程。
如果您使用 本教程在 FreeBSD 10.1 上安装了 OSSEC 2.8.1,则可以轻松地使用该发行版的包管理器进行升级,无需遵循本指南。
步骤 1 — 下载和验证 OSSEC 2.8.2
OSSEC 升级的第一步是下载 tarball 及其支票金额文件,将用于验证 tarball 没有受到威胁。
首先,下载新的 tarball。
1wget -U ossec http://www.ossec.net/files/ossec-hids-2.8.2.tar.gz
然后下载支票金额文件。
1wget -U ossec http://www.ossec.net/files/ossec-hids-2.8.2-checksum.txt
若要確定 tarball 沒有受到損害,請先驗證 MD5 檢查總值。
1md5sum -c ossec-hids-2.8.2-checksum.txt
产量应该是:
1[label md5sum output]
2ossec-hids-2.8.2.tar.gz: OK
3md5sum: WARNING: 1 line is improperly formatted
然后检查 SHA1 检查总数。
1sha1sum -c ossec-hids-2.8.2-checksum.txt
预计产量是:
1[label sha1sum output]
2ossec-hids-2.8.2.tar.gz: OK
3sha1sum: WARNING: 1 line is improperly formatted
步骤二:修复一个bug
尽管 OSSEC 2.8.2 修复了安全漏洞,但它没有解决一个长期存在的漏洞,导致 OSSEC 重写 /etc/hosts.deny 文件的内容。
这意味着我们必须先解包包。
1tar xf ossec-hids-2.8.2.tar.gz
它应该被解包到一个目录,其名称包括该程序的版本号. 更改(cd)到该目录。
1cd ossec-hids-2.8.2
我們需要編輯的檔案 host-deny.sh 位於 'active-response' 目錄中,因此請使用:
1nano active-response/host-deny.sh
在文件的末尾,寻找代码中的两个行以 **TMP_FILE =**开始,在 #从 hosts.deny 评论中删除下面。
1[label Modified host-deny.sh code block]
2# Deleting from hosts.deny
3elif [ "x${ACTION}" = "xdelete" ]; then
4 lock;
5 TMP_FILE=`mktemp /var/ossec/ossec-hosts.XXXXXXXXXX`
6 if [ "X${TMP_FILE}" = "X" ]; then
7 # Cheap fake tmpfile, but should be harder then no random data
8 TMP_FILE="/var/ossec/ossec-hosts.`cat /dev/urandom | tr -dc 'a-zA-Z0-9' | fold -w 32 | head -1 `"
9 fi
保存并关闭文件。
步骤 3 – 升级 OSSEC 2.8.1
现在我们可以开始升级。
1sudo ./install.sh
您将被要求选择安装语言. 按 ENTER 以接受默认值,或键入代表您偏好语言的 2 个字母代码,然后按 ENTER. 按照屏幕上的指示,在某个时候,您将被问到两个简单的问题。
1[label OSSEC question prompts]
2- You already have OSSEC installed. Do you want to update it? (y/n): y
3 - Do you want to update the rules? (y/n): y
安装程序将停止然后在结束时重新启动 OSSEC,您应该收到确认 OSSEC 已重新启动的电子邮件。
您可以通过查询OSEC的状态来双重检查。
1sudo /var/ossec/bin/ossec-control status
输出应该表明所有流程都在 运行。
结论
通过遵循这些简单的步骤,您刚刚升级了 OSSEC 2.8.1 到 OSSEC 2.8.2。