OSSEC HIDS Installation auf Debian

Allgemein

Diese Anleitung beschreibt die Installation des OSSEC HIDS Servers auf aktuellen Debian-Systemen (Bookworm / Trixie) unter Verwendung des Atomic Repositories und der modernen Methode zur Schlüsselverwaltung, da apt-key veraltet ist.


1. 🔑 Atomic Repository Schlüssel importieren



Wir verwenden die Keyring-Methode, um den GPG-Schlüssel von Atomic sicher in den APT-Schlüsselspeicher zu importieren.


1. GPG-Schlüssel herunterladen
sudo wget -4 https://www.atomicorp.com/RPM-GPG-KEY.atomicorp.txt

2. Schlüssel in den GPG-Ring importieren
gpg --import RPM-GPG-KEY.atomicorp.txt

3. Schlüssel (ID FFBD5D0A4520AFA9) in das APT-Format exportieren und speichern
sudo gpg --export FFBD5D0A4520AFA9 > /usr/share/keyrings/atomicorp.gpg

4. Temporäre Datei entfernen


rm RPM-GPG-KEY.atomicorp.txt


2. 📁 APT Repository hinzufügen


Erstellen Sie eine Konfigurationsdatei für das Atomic-Repository. Wir verwenden hier bookworm, da der Anbieter Atomic die neuere trixie-Suite noch nicht offiziell unterstützt.

Erstellen Sie die Datei /etc/apt/sources.list.d/atomic.sources:


sudo vi /etc/apt/sources.list.d/atomic.sources

Inhalt der Datei:
Code-Snippet

Types: deb
URIs: https://updates.atomicorp.com/channels/atomic/debian
Suites: bookworm
Components: main
Signed-By: /usr/share/keyrings/atomicorp.gpg



3. ⚙️ Installation und Start



Aktualisieren Sie die Paketlisten und installieren Sie den OSSEC HIDS Server.


# Paketlisten aktualisieren
sudo apt update

# OSSEC installieren
sudo apt install ossec-hids-server

# Dienst starten (und Konfiguration laden)
sudo service ossec restart

 


4. 📝 Grundlegende Nachkonfiguration (Active Response & E-Mail)



Die wichtigsten Sicherheits- und Kommunikations-Einstellungen werden in der Hauptkonfigurationsdatei angepasst.


sudo vi /var/ossec/etc/ossec.conf

A. Whitelist und Active Response (Firewall-Blockierung)

Diese Konfiguration blockiert automatisch alle Angreifer, die einen Alarm mit Level 7 oder höher auslösen (z.B. Bruteforce, Web-Exploits).

Stellen Sie sicher, dass Ihre IP-Adresse in der White List eingetragen ist, um sich nicht selbst auszusperren.
XML

<global>
<white_list>127.0.0.1</white_list>
<white_list>IHRE.EIGENE.FESTE.IP</white_list>
</global>

<active-response>
<command>firewall-drop</command>
<location>local</location>
<level>7</level>
<timeout>3600</timeout>
</active-response>

B. E-Mail-Benachrichtigung optimieren

Reduzieren Sie die E-Mail-Flut, indem Sie nur über kritische Vorfälle ab Level 8 benachrichtigt werden.
XML

<alerts><email_alert_level>8</email_alert_level><log_alert_level>3</log_alert_level>...</alerts>


5. ⏱️ Syscheck-Intervall optimieren



Der Syscheck-Daemon überwacht wichtige Systemdateien auf Änderungen (Integritätsprüfung). Die Standardfrequenz beträgt oft 12 Stunden (43200s). Für eine bessere Überwachung sollten Sie diesen Wert verkürzen.

Suchen Sie den <syscheck>-Block in der ossec.conf und stellen Sie die Frequenz ein:
XML

<syscheck>
<frequency>21600</frequency>

<scan_time>0</scan_time>
...
</syscheck>


6. ✅ Konfiguration anwenden



Speichern aller Änderungen in der ossec.conf und  den Dienst neustarten, um ihn zu aktivieren.


sudo service ossec restart





 

 

Kommentar hinterlassen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert