Après l'installation qui se passe très simplement et la vérification de l'installation (cf article précédent) il va falloir tester ce logiciel, ce qui peut prendre un certain temps !
J'avais malheureusement oublié d'installer le support MYSQL, j'ai du réaliser une petite manipulation pour activer le support Mysql et relancer l'installation.
Activation du support Mysql :
- Charger la bibliothèque de développement ((mysql-devel.i386 sur Centos)
- aller dans le répertoire "src" de l'installateur et lancer la commande
make setdb
Qui réponds gentiment :
============================================================
Error: PostgreSQL client libraries not installed.
Info: Compiled with MySQL support.
============================================================
Il faut ensuite relancer le script "install.sh",
Après avoir choisi le français, je choisis de mettre à jour mon installation ainsi que les règles. La compilation démarre ... et se termine par l'installation.
| ........ OSSEC HIDS v2.4.1 Stopped Starting OSSEC HIDS v2.4.1 (by Trend Micro Inc.)... Started ossec-maild... Started ossec-execd... Started ossec-analysisd... Started ossec-logcollector... Started ossec-syscheckd... Started ossec-monitord... Completed. - Configuration correctement terminée. - Pour démarrer OSSEC HIDS: /var/ossec/bin/ossec-control start - Pour arrêter OSSEC HIDS: /var/ossec/bin/ossec-control stop - La configuration peut être visualisée ou modifiée dans /var/ossec/etc/ossec.conf Merci d'utiliser OSSEC HIDS. Si vous avez des questions, suggestions ou si vous trouvez un bug, contactez nous sur contact@ossec.net ou en utilisant la liste de diffusion publique sur ossec-list@ossec.net ( http://www.ossec.net/en/mailing_lists.html ). Plus d'information peut être trouver sur http://www.ossec.net --- Appuyez sur Entrée pour finir (peut-être plus d'info plus bas). --- - Mise à jour complète. |
Il faut ensuite s'occuper de la base de données :
- Créer la base
- Créer l'utilisateur
- Donner les droits adéquats à l'utilisateur sur la base
- Créer le schéma en allant dans le répertoire d'installation puis dans "src/os_dbd" où un fichier "mysql.schema" n'attends que votre bon vouloir et la commande :
mysql --user=le_user --password=le_password -D la_base <mysql.schema
Après contrôle 8 tables sont créées dans le schéma.
Il est temps d'aller ajouter le paramétrage qui va bien dans le fichier (xml) de configuration de OSSEC. Il suffit d'ajouter en tête du fichier /var/ossec/etc/ossec.conf le petit bout de XML suivant :
| <ossec_config> <database_output> <hostname>le_host</hostname> <port>3306</port> <username>ossec_user</username> <password>ossec_password</password> <database>ossec_database</database> <type>mysql</type> </database_output> </ossec_config> |
Exécuter avec ferveur l'incantation suivante :
- /var/ossec/bin/ossec-control enable database
- Stopper et relancer le service.
L'enregistrement est alors effectué dans la base Mysql (Postgresql est aussi admis).
Petite remarque : l'installation crée de nouveaux utilisateurs et un groupe "ossec" et la plupart des process ne tournent pas avec les privilèges de "root" ce qui est un gage de stabilité/sécurité.
Tests en cours .... la suite au prochain article.