如何将OSSEC2.8.1升级到OSSEC2.8.2

介绍

OSSEC 是一个开源的、基于主机的入侵检测系统 (HIDS)，它执行日志分析、完整性检查、Windows 注册表监控、rootkit 检测、基于时间的警报和主动响应。可以安装它来监控单个服务器或数千台服务器。

本教程展示了如何将 OSSEC 2.8.1 的安装升级到最新版本 OSSEC 2.8.2，该版本解决了最近发现的错误。

先决条件

一个已经运行 OSSEC 2.8.1 的 Droplet，按照我们针对 Ubuntu 14.04、Debian 8 或 Fedora 21 的教程进行设置。

如果您使用 this tutorial 在 FreeBSD 10.1 上安装了 OSSEC 2.8.1，则可以使用该发行版的包管理器轻松执行升级，而无需遵循本指南。

第 1 步 — 下载和验证 OSSEC 2.8.2

升级 OSSEC 的第一步是下载 tarball 及其校验和文件，该文件将用于验证 tarball 是否被破坏。

首先，下载新的压缩包。

wget -U ossec http://www.ossec.net/files/ossec-hids-2.8.2.tar.gz

然后下载校验和文件。

wget -U ossec http://www.ossec.net/files/ossec-hids-2.8.2-checksum.txt

要验证 tarball 没有被破坏，首先验证 MD5 校验和。

md5sum -c ossec-hids-2.8.2-checksum.txt

输出应该是：

md5sum 输出

ossec-hids-2.8.2.tar.gz: OK
md5sum: WARNING: 1 line is improperly formatted

然后验证 SHA1 校验和。

sha1sum -c ossec-hids-2.8.2-checksum.txt

预期的输出是：

sha1sum 输出

ossec-hids-2.8.2.tar.gz: OK
sha1sum: WARNING: 1 line is improperly formatted

第 2 步 — 修复错误

尽管 OSSEC 2.8.2 修复了一个安全漏洞，但它并没有解决导致 OSSEC 覆盖 /etc/hosts.deny 文件内容的长期漏洞。必须在启动升级之前手动应用此修复程序。修复涉及编辑新下载的 tarball 中的文件。

这意味着我们必须首先解压缩 tarball。

tar xf ossec-hids-2.8.2.tar.gz

应将其解压缩到名称中包含程序版本号的目录中。将 (cd) 更改为该目录。

cd ossec-hids-2.8.2

我们需要编辑的文件 host-deny.sh 位于 active-response 目录中。所以打开它使用：

nano active-response/host-deny.sh

在文件末尾，在 # Deleting from hosts.deny 注释 下方的代码中查找以 TMP_FILE = 开头的两行。编辑这两行以删除 = 符号两侧的空格，使代码块看起来像这样。

修改 host-deny.sh 代码块

# Deleting from hosts.deny
elif [ "x${ACTION}" = "xdelete" ]; then
   lock;
   TMP_FILE=`mktemp /var/ossec/ossec-hosts.XXXXXXXXXX`
   if [ "X${TMP_FILE}" = "X" ]; then
     # Cheap fake tmpfile, but should be harder then no random data
     TMP_FILE="/var/ossec/ossec-hosts.`cat /dev/urandom | tr -dc 'a-zA-Z0-9' | fold -w 32 | head -1 `" 
   fi

保存并关闭文件。

第 3 步 — 升级 OSSEC 2.8.1

现在我们可以开始升级了。

sudo ./install.sh

系统将提示您选择安装语言。按 ENTER 接受默认值，或输入代表首选语言的 2 字母代码，然后按 ENTER。按照屏幕上的说明，在某些时候，您会被问到两个简单的问题。对于每个，键入 y，然后按 ENTER。

OSSEC 问题提示

- You already have OSSEC installed. Do you want to update it? (y/n): y
 - Do you want to update the rules? (y/n): y

升级过程大约需要两分钟。安装程序将停止，然后在最后重新启动 OSSEC，您应该会收到一封确认 OSSEC 已重新启动的电子邮件。

您可以通过查询 OSSEC 的状态来仔细检查这一点。

sudo /var/ossec/bin/ossec-control status

输出应表明所有进程都在运行。

结论

按照这些简单的步骤，您刚刚将 OSSEC 2.8.1 升级到 OSSEC 2.8.2。