Agentur für Neue Medien


Intrusion Detection System auf einem 1und1 Plesk Root-Server installieren

Wer seinen 1und1 Plesk Root-Server vor Hacker-Angriffen schützen möchte, sollte auf dem Server ein Intrusion Detection System installieren. OSSEC ist ein solches Intrusion Detection System, das auf Open-Source basiert und kostenlos ist. Es entdeckt nicht nur Hacker-Angriffe und meldet diese an den Administrator per E-Mail, sondern wird auch selbständig aktiv und sperrt z.B. die IP-Adressen der Angreifer.

Die Installation von OSSEC auf einem Suse Linux-Server (in diesem Fall von 1und1 mit Plesk) ist recht einfach:

Zunächst sollte man sicher gehen, dass ein C-Compiler (gcc oder cc) und make auf dem Server installiert ist. Am einfachsten kann man das überprüfen, indem man gcc --help und make --help in der Konsole eingibt. Wenn dann keine Fehlermeldungen, dass der Befehl nicht gefunden werden konnte, erscheint, ist alles bereit. Anderenfalls kann man beides sehr einfach mit YAST nachinstallieren.

  1. Als erstes Laden wir uns OSSEC herunter mit:
    wget www.ossec.net/files/ossec-hids-2.5.1.tar.gz 
  2. Dann entpacken wir das tar.gz-File mit:
    tar xvfz ossec-hids-2.5.1.tar.gz
  3. Nun können wir das Installations-Skript ausführen mit:
    ossec-hids-2.5.1/install.sh
  4. Als erstes wird nach der Sprache gefragt, die sie mit de auf Deutsch einstellen
  5. Wenn Sie nach der Art der Installation gefragt werden, geben sie lokal an
  6. Die Frage nach dem Installations-Ordner können Sie einfach mit der Return-Taste bestätigen
  7. Die Frage, ob Sie per Mail alarmiert werden wollen, sollten Sie bejahen und anschließend Ihre E-Mail-Adresse angeben.
  8. Während der Installation müssen Sie nun noch eine Reihe von Fragen beantworten, die Sie alle mit j beantworten können (außer die Frage ob sie weitere IP-Adressen zur White List hinzufügen wollen).

Das war es schon und es sollte eine erfolgreiche Installation gemeldet werden.

Nun können Sie OSSEC mit folgendem Befehl starten:

/var/ossec/bin/ossec-control start

Übrigens wird OSSEC ab sofort bei einem Neustart des Servers auch automatisch gestartet.

Stoppen läßt sich OSSEC mit:
/var/ossec/bin/ossec-control stop

Und neustarten mit:

/var/ossec/bin/ossec-control restart

Die Konfigurationsdatei finden Sie unter:

/var/ossec/etc/ossec.conf

Eigene Regeln und Ausnahmen können bei Bedarf in der folgenden Datei definiert werden:

/var/ossec/rules/local_rules.xml

 

 

 

comments powered by Disqus

Copyright SKom 2006

Ecke rechts unten