You are here

HomeSécurité, mesures, monitoringOSSEC

OSSEC : Installation serveur

3 July, 2010 - 13:58 — jpp

Si comme moi vous trouvez OSSEC pas mal vous pouvez installer des agents sur d'autres machines, pour cela il vous suffira de modifier votre machine originale en mode "serveur".
Il faut malheureusement détruire son installation existante et refaire une installation.
Détruire les éléments suivants :
/var/ossec
/etc/ossec-init.conf
/etc/init.d/ossec
et
./rc.d/rc2.d/S99ossec
./rc.d/rc0.d/K15ossec
./rc.d/rc4.d/S99ossec
./rc.d/rc1.d/K15ossec
./rc.d/rc5.d/S99ossec
./rc.d/rc6.d/K15ossec
./rc.d/rc3.d/S99ossec

Il suffit allors comme d'habitude de se rendre dans le répertoire d'installation et de lancer l'inévitable "install.sh".
Si vous désirez utiliser le stockage dans une base Mysql, n'oubliez pas d'activer la fonctionnaité "Mysql" (voir article).
On choisit la langue, et on frappe "Entrée" sur l'invite ...
======================================================================

... /...
 -- Appuyez sur Entrée pour continuer ou Ctrl-C pour annuler. --



1- Quel type d'installation voulez-vous (serveur, agent, local ou aide) ? serveur

  - Installation du serveur choisie.



2- Définition de l'environnement d'installation.
 
- Choisissez votre répertoire d'installation de OSSEC HIDS [/var/ossec]:

    - L'installation sera faite sur  /var/ossec .



3- Configuration de OSSEC HIDS.



  3.1- Voulez-vous une alerte par email ? (o/n) [o]: o

   - Quel est votre adresse email ? toto@monserveur

   - Quel est l'adresse IP ou le nom d'hôte de votre serveur SMTP ? 192.168.1.xxx



  3.2- Voulez-vous démarrer le démon de vérification d'intégrité ? (o/n) [o]: O

   - Lancement de syscheck (démon de vérification d'int&grité).



  3.3- Voulez-vous démarrer le moteur de détection de rootkit ? (o/n) [o]: O

   - Lancement de rootcheck (détection de rootkit).



  3.4- La réponse active vous permet d'éxécuter des commandes

       spécifiques en fonction d'événement. Par exemple,

       vous pouvez bloquer une adresse IP ou interdire

       l'accès à un utilisateur spécifique.

       Plus d'information sur :

       http://www.ossec.net/en/manual.html#active-response

      

   - voulez-vous démarrer la réponse active ? (o/n) [o]: O

     - Réponse active activée.

  

   - Par défaut, nous pouvons activer le contrôle d'hôte

     et le pare-feu (firewall-drop). Le premier ajoute

     un hôte dans /etc/hosts.deny et le second bloquera

     l'hôte dans iptables (sous linux) ou dans ipfilter

     (sous Solaris, FreeBSD ou NetSBD).

   - Ils peuvent aussi être utilisés pour arrêter les scans

     en force brute de SSHD, les scans de ports ou d'autres

     formes d'attaques. Vous pouvez aussi les bloquer par

     rapport à des événements snort, par exemple.



   - Voulez-vous activer la réponse pare-feu (firewall-drop) ? (o/n) [o]: o

    - liste blanche (white list) par défaut pour la réponse active :

      - 192.168.1.xxx

      - 192.168.1.xxx



   - Voulez-vous d'autres adresses IP dans votre liste (white list) ? (o/n)? [n]: o

   - IPs (séparées par des espaces) : 192.168.1.xxx



  3.5- Voulez-vous activer fonctionnalités syslog (port udp 514) ? (o/n) [o]: n

   --- Fonctionnalité syslog désactivée.



  3.6- Mise en place de la configuration pour analyser les logs suivants :

    -- /var/log/messages

    -- /var/log/secure

    -- /var/log/maillog

    -- /var/log/httpd/error_log (apache log)

    -- /var/log/httpd/access_log (apache log)



 - Si vous voulez surveiller d'autres fichiers, changez

   le fichier ossec.conf en ajoutant une nouvelle valeur

   de nom de fichier local.

   Pour toutes vos questions sur la configuration,

   consultez notre site web http://www.ossec.net .

  

... ... ... la compil se passe ... ... ...
 
 - Le Système est Redhat Linux.

 - Script d'initialisation modifié pour démarrer OSSEC HIDS pendant le boot.



 - Configuration correctement terminée.



 - Pour démarrer OSSEC HIDS:

        /var/ossec/bin/ossec-control start



 - Pour arrêter OSSEC HIDS:

        /var/ossec/bin/ossec-control stop



 - La configuration peut être visualisée ou modifiée dans /var/ossec/etc/ossec.conf



    Merci d'utiliser OSSEC HIDS.

    Si vous avez des questions, suggestions ou si vous trouvez

    un bug, contactez nous sur contact@ossec.net ou en utilisant la

    liste de diffusion publique sur ossec-list@ossec.net

    ( http://www.ossec.net/en/mailing_lists.html ).

    Plus d'information peut être trouver sur http://www.ossec.net



    ---  Appuyez sur Entrée pour finir (peut-être plus d'info plus bas). ---


 - Vous devez ajouter le(s) agent(s) avant qu'ils aient un accès autorisé.

   Lancez 'manage_agent' pour les ajouter ou les supprimer:



   /var/ossec/bin/manage_agents



   Plus d'information sur:

   http://www.ossec.net/en/manual.html#ma

====================================================================

Dès le service lancé on constate l'ouverture d'un port en écoute :
lsof -Pn | grep UDP | grep oss
ossec-rem 5859    ossecr    4u     IPv4     152930                 UDP *:1514
après avoir démarré un poste muni d'un agent on peut voir dans le log de celui-ci la trace de la connection au serveur OSSEC (/var/ossec/logs/ossec.log) :
2010/06/30 14:24:03 ossec-agentd(4102): INFO: Connected to the server (192.168.1.124:1514).
2010/06/30 14:29:37 ossec-syscheckd: INFO: Finished creating syscheck database (pre-scan completed).

Pour le reste du fonctionnnement il est identique à celui de la version locale.




système: 
Linux
installation
securité