Note : cet article est ancien (historique presque) voir la dernière version ici.
L'installation pour tests a été faite sur une machine Centos 5.5 virtualisée avec XEN.
Après récupération des sources (pour moi version 2.4.1) et détarage dans un répertoire d'installation il suffit de lancer le script "install.sh"
Après le choix de la langue (fr pour moi) un récapitulatif de votre système s'affiche
=====================================================================
| OSSEC HIDS v2.4.1 Script d'installation - http://www.ossec.net Vous êtes sur le point d'installer OSSEC HIDS. Vous devez avoir une compilateur C préinstallé sur votre système. Si vous avez des questions ou des commentaires, envoyez un email à dcid@ossec.net (ou daniel.cid@gmail.com). - Système: Linux machine.domaine 2.6.18-194.3.1.el5 - Utilisateur: root - Hôte: machine.domaine -- Appuyez sur Entrée pour continuer ou Ctrl-C pour annuler. -- |
======================================================================
On appuye bien sûr sur entrée ... et l'on doit alors choisir l'option d'installation entre :
serveur serveur d'analyse OSSEC
agent agent transmettant à un serveur
local machine indépendante
Pour cette première approche je choisis "local"
Pour le répertoire d'installation je garde "/var/ossec". Je configure les alertes par Email et saisis une adresse mail valide en précisant le serveur de mail à utiliser (localhost) puisque j'ai un serveur Postfix local.
Je précise ensuite que je veux démarrer le démon de controle d'intégrité et le moteur de détection de rootkit.
=======================================================================
| 1- Quel type d'installation voulez-vous (serveur, agent, local ou aide) ? local - Installation en local choisie. 2- Définition de l'environnement d'installation. - Choisissez votre répertoire d'installation de OSSEC HIDS [/var/ossec]: - L'installation sera faite sur /var/ossec . 3- Configuration de OSSEC HIDS. 3.1- Voulez-vous une alerte par email ? (o/n) [o]: o - Quel est votre adresse email ? xxxxxx@xxxxxx - Quel est l'adresse IP ou le nom d'hôte de votre serveur SMTP ? localhost 3.2- Voulez-vous démarrer le démon de vérification d'intégrité ? (o/n) [o]: o - Lancement de syscheck (démon de vérification d'intégrité). 3.3- Voulez-vous démarrer le moteur de détection de rootkit ? (o/n) [o]: o 3.4- La réponse active vous permet d'éxécuter des commandes spécifiques en fonction d'évènement. Par exemple, vous pouvez bloquer une adresse IP ou interdire l'accès à un utilisateur spécifique. Plus d'information sur : http://www.ossec.net/en/manual.html#active-response - voulez-vous démarrer la réponse active ? (o/n) [o]: o - Par défaut, nous pouvons activer le contrôle d'hôte et le pare-feu (firewall-drop). Le premier ajoute un hôte dans /etc/hosts.deny et le second bloquera l'hôte dans iptables (sous linux) ou dans ipfilter (sous Solaris, FreeBSD ou NetSBD). - Ils peuvent aussi être utilisés pour arrêter les scans en force brute de SSHD, les scans de ports ou d'autres formes d'attaques. Vous pouvez aussi les bloquer par rapport à des évènements snort, par exemple. - Voulez-vous activer la réponse pare-feu (firewall-drop) ? (o/n) [o]: o - pare-feu (firewall-drop) activé (local) pour les levels >= 6 - liste blanche (white list) par défaut pour la réponse active : - 192.168.1.x - 192.168.1.y - Voulez-vous d'autres adresses IP dans votre liste (white list) ? (o/n)? [n] o |
=============================================================================
J'ajoute ici les adresses IP que je ne veux pas voir bannir lors des tests ...
=============================================================================
| 3.6- Mise en place de la configuration pour analyser les logs suivants : -- /var/log/messages -- /var/log/secure -- /var/log/maillog - Si vous voulez surveiller d'autres fichiers, changez le fichier ossec.conf en ajoutant une nouvelle valeur de nom de fichier local. Pour toutes vos questions sur la configuration, consultez notre site web http://www.ossec.net . --- Appuyez sur Entrée pour continuer --- |
=============================================================================
Ensuite la compilation commence et est très courte .
=============================================================================
| - Configuration correctement terminée. - Pour démarrer OSSEC HIDS: /var/ossec/bin/ossec-control start - Pour arrêter OSSEC HIDS: /var/ossec/bin/ossec-control stop - La configuration peut être visualisée ou modifiée dans /var/ossec/etc/ossec.conf Merci d'utiliser OSSEC HIDS. Si vous avez des questions, suggestions ou si vous trouvez un bug, contactez nous sur contact@ossec.net ou en utilisant la liste de diffusion publique sur ossec-list@ossec.net ( http://www.ossec.net/en/mailing_lists.html ). Plus d'information peut être trouver sur http://www.ossec.net --- Appuyez sur Entrée pour finir (peut-être plus d'info plus bas). --- |
=============================================================================
Un script de démarrage "/etc/init.d/ossec" a été ajouté et activé correctement dans la machine.
Un petit reboot pour valider le tout et ça repart, on peut au passage voir le démarrage de OSSEC. Un premier mail de lancement est aussitôt envoyé, c'est une alerte de niveau 3 (les niveaux vont de 1 à 15, 15 étant l'alerte maxi) me signalant le démarrage du démon :
OSSEC HIDS Notification.
2010 Jun 29 14:06:13
Received From:machine.domaine->ossec-monitord
Rule: 502 fired (level 3) -> "Ossec server started."
Portion of the log(s):
ossec: Ossec started.
--END OF NOTIFICATION
Je me connecte en "root" sur la machine, nouvelle alerte de niveau 4 cette fois.
Je me connecte avec un autre utilisateur cela déclenche un nouveau mail de "first time user logged in". Une autre connexion avec le même utilisateur ne déclenche aucun mail. Tout cela semble bel et bon.